Jaren geleden moest ik een persoonlijk document bemachtigen dat ik nodig had van een overheidskantoor. Ik had alle documentatie bij me waarvan mij was verteld dat ik die nodig had, maar er was een probleem - een bureaucratisch technisch probleem waardoor een van de stukken documentatie ongeldig werd in de ogen van de griffier.
Ik probeerde te betogen dat als we uitzoomden en naar het grote geheel keken, het duidelijk was dat ik mezelf was en recht had op mijn eigen document. De griffier wilde er echter niet van horen en antwoordde: "Het zou niet gemakkelijk moeten zijn om aan dit document te komen." Ik was het er niet mee eens en grapte: "Het zou gemakkelijk moeten zijn om dit document te krijgen als men er recht op heeft." Helaas leverde die opmerking me het document niet op en moest ik een andere dag terugkomen.
De reden dat ik dit verhaal met u deel, is omdat het ons een belangrijke les kan leren over het balanceren van fraude en gebruikerservaring. Mijn voorbeeld illustreert hoe off-base de conventionele wijsheid is die zegt dat iets moeilijker te verkrijgen is voor een legitieme gebruiker, het risico vermindert. Als een gebruiker legitiem is, en als we weten dat ze legitiem zijn, waarom zouden we dan ooit hun gebruikerservaring uitdagender willen maken?
Het enige dat dat doet, is een ander soort risico introduceren: het risico dat de gebruiker het opgeeft en ergens anders heen gaat om te krijgen wat hij nodig heeft. Ik had niet de mogelijkheid om ergens anders heen te gaan toen ik mijn document van de overheid nodig had. De gebruikers van uw online applicatie daarentegen hebben die mogelijkheid in de meeste gevallen wel. Het is de moeite waard om na te denken over hoe de gebruikerservaring kan worden afgewogen tegen de noodzaak om fraudeverliezen op te sporen en te beperken.
Hier zijn vijf manieren waarop bedrijven hun fraudedetectiemogelijkheden kunnen verbeteren om fraudedetectie en gebruikerservaring beter in evenwicht te brengen.
1. Apparaatintelligentie
Ik sta er vaak versteld van hoeveel frauderegels zich richten op IP-adressen. Zoals u weet, IP-adressen zijn triviaal voor een fraudeur om te veranderen - zodra u ze blokkeert van het ene IP-adres, gaan ze naar het andere. Hetzelfde geldt voor het blokkeren van hele landen of reeksen van IP-adressen - het is triviaal voor een fraudeur om dat te omzeilen. Focussen op IP-adressen creรซert onbetrouwbare regels die een enorme hoeveelheid valse positieven genereren.
Betrouwbare apparaatidentificatie daarentegen is heel anders. Door sessies van eindgebruikers te kunnen identificeren en volgen via hun apparaat-ID's in plaats van hun IP-adressen, kunnen fraudeteams apparaten die interactie hebben met de applicatie in de gaten houden. Hierdoor kunnen fraudeteams verschillende controles en analyses uitvoeren die gebruikmaken van apparaatidentificatie, zoals het zoeken naar apparaten van bekende fraudeurs, het zoeken naar apparaten die inloggen op een relatief groot aantal accounts en andere methoden.
2. Gedragsintelligentie
Het kan vrij moeilijk zijn om onderscheid te maken tussen legitieme gebruikers en fraudeurs op laag 7 (de applicatielaag) van het OSI-model. Opschuiven naar laag 8, of de gebruikerslaag, maakt die differentiatie echter veel plausibeler.
In de meeste gevallen gedragen legitieme gebruikers en fraudeurs zich anders binnen sessies. Dit komt vooral omdat ze verschillende doelstellingen en niveaus van vertrouwdheid met de online applicatie hebben. Het bestuderen van het gedrag van eindgebruikers geeft ondernemingen een ander hulpmiddel dat ze kunnen gebruiken om nauwkeuriger onderscheid te maken tussen fraude en legitiem verkeer.
3. Milieu-intelligentie
In veel gevallen zijn er aanwijzingen uit de omgeving (de omgeving is waar de eindgebruiker vandaan komt) die een fraudeteam kunnen helpen onderscheid te maken tussen fraude en legitiem verkeer. Inzicht hebben in en goed gebruik maken van deze milieuaanwijzingen vergt enige investering, hoewel het enorm veel oplevert als het gaat om het nauwkeuriger opsporen van fraude.
4. Bekende goede gebruikersidentificatie
Naarmate organisaties beter begrijpen hoe frauduleus verkeer eruitziet, profiteren ze ook van een ander voordeel: ze worden beter in het identificeren van goed verkeer en wat bekende goede gebruikers ziet eruit als. Met andere woorden, als ik er redelijk zeker van kan zijn dat de sessie in kwestie en de eindgebruiker die er doorheen navigeert beide goed zijn, kan ik er redelijk zeker van zijn dat ik geen hoop wrijving hoef op te stapelen in de vorm van authenticatieverzoeken, multifactor authenticatie (MFA) uitdagingen, of anderszins.
5. Sessiefocus
Sommige teams richten zich enigszins kortzichtig op transacties. Dat is een beetje alsof je de schoonheid van de oceaan door een rietje probeert te zien. Toegegeven, je kunt een deel van de oceaan zien, maar je mist het meeste. Evenzo is het kijken naar het geheel van de eindgebruikerssessie, in plaats van naar afzonderlijke transacties of groepen transacties, een uitstekende manier om frauduleus verkeer nauwkeuriger te scheiden van legitiem verkeer. De hierboven genoemde technieken, samen met andere, werken allemaal veel beter met een bredere, meer strategische kijk op wat er aan de hand is.
Verminder de wrijving
Bedrijven hoeven niet te kiezen tussen effectieve fraudedetectie en gebruiksgemak. Het is mogelijk om risico's te beheren en te beperken zonder extra wrijving te veroorzaken voor uw eindgebruikers terwijl ze door uw online applicaties reizen. De tijd is gekomen om de conventionele wijsheid die anders zegt overboord te gooien.
