För flera år sedan var jag tvungen att få tag på ett personligt dokument som jag behövde från ett regeringskansli. Jag hade tagit med mig all dokumentation som jag fick höra att jag behövde, men det fanns ett problem – en byråkratisk teknik som gjorde en av dokumentationen ogiltig i expeditens ögon.
Jag försökte hävda att om vi zoomade ut och tittade på helheten så stod det klart att jag var jag och hade rätt till mitt eget dokument. Kontoristen ville dock inte höra talas om det och svarade: "Det borde inte vara lätt att få det här dokumentet." Jag höll inte med och skämtade: "Det borde vara lätt att få det här dokumentet om man har rätt till det." Tyvärr gav den kommentaren mig inte dokumentet, och jag var tvungen att återvända en annan dag.
Anledningen till att jag delar den här historien med dig är att den kan lära oss en viktig läxa om att balansera bedrägeri och användarupplevelse. Mitt exempel illustrerar hur off-base den konventionella visdomen är som säger att göra något svårare för en legitim användare att få minskar risken. Om en användare är legitim och om vi vet att de är legitima, varför skulle vi då någonsin vilja göra deras användarupplevelse mer utmanande?
Allt som gör det är att introducera en annan typ av risk - risken att användaren ger upp och går någon annanstans för att få det de behöver. Jag hade inte möjlighet att gå någon annanstans när jag behövde mitt dokument från regeringen. Användarna av din onlineapplikation, å andra sidan, har väldigt mycket det alternativet i de flesta fall. Det är värt att tänka på hur användarupplevelsen kan balanseras mot behovet av att upptäcka och mildra bedrägeriförluster.
Här är fem sätt som företag kan förbättra sina funktioner för upptäckt av bedrägerier för att bättre balansera bedrägeriupptäckt och användarupplevelse.
1. Device Intelligence
Jag blir ofta förvånad över hur många bedrägeriregler som fokuserar på IP-adresser. Som du vet, IP-adresser är triviala för en bedragare att ändra sig - så fort du blockerar dem från en IP-adress går de vidare till en annan. Detsamma gäller för att blockera hela länder eller intervall av IP-adresser - det är trivialt för en bedragare att kringgå det. Att fokusera på IP-adresser skapar opålitliga regler som genererar en enorm mängd falska positiva resultat.
Pålitlig enhetsidentifiering, å andra sidan, är helt annorlunda. Att kunna identifiera och spåra slutanvändarsessioner via deras enhetsidentifierare, snarare än deras IP-adresser, gör det möjligt för bedrägeriteam att finslipa enheter som interagerar med applikationen. Detta gör det möjligt för bedrägeriteam att utföra en mängd olika kontroller och analyser som utnyttjar enhetsidentifiering, som att leta efter kända bedragareenheter, leta efter enheter som loggar in på ett relativt stort antal konton och andra metoder.
2. Beteendeintelligens
Det kan vara ganska svårt att skilja mellan legitima användare och bedragare på lager 7 (applikationslagret) i OSI-modellen. Flytta upp till lager 8, eller användarlagret, gör dock den differentieringen mycket mer rimlig.
I de flesta fall beter sig legitima användare och bedragare på olika sätt under sessioner. Detta beror främst på att de har olika mål och nivåer av förtrogenhet med onlineapplikationen. Att studera slutanvändarnas beteende ger företag ytterligare ett verktyg de kan använda för att mer exakt skilja mellan bedrägeri och legitim trafik.
3. Miljöintelligens
I många fall finns miljöledtrådar (miljön är där slutanvändaren kommer ifrån) som kan hjälpa ett bedrägeriteam att skilja mellan bedrägeri och legitim trafik. Att ha insikt i och korrekt utnyttja dessa miljöledningar kräver en del investeringar, även om det ger enorm utdelning när det gäller att mer exakt upptäcka bedrägerier.
4. Känd bra användaridentifikation
När organisationer blir bättre på att förstå hur bedräglig trafik ser ut, skördar de också en annan fördel: De blir bättre på att identifiera vilken bra trafik och vad kända bra användare ser ut som. Med andra ord, om jag kan vara någorlunda säker på att sessionen i fråga och slutanvändaren som navigerar i den båda är bra, kan jag vara rimligt säker på att jag inte behöver samla på mig massor av friktion i form av autentiseringsbegäranden, multifaktor autentiseringsutmaningar (MFA) eller annat.
5. Sessionsfokus
Vissa team fokuserar något närsynt på transaktioner. Det är lite som att försöka se havets skönhet genom ett sugrör. Visserligen kan du se en del av havet, men du missar det mesta. På samma sätt är det ett bra sätt att separera bedräglig trafik från legitim trafik genom att se över hela slutanvändarsessionen snarare än på enskilda transaktioner eller grupper av transaktioner. De ovan nämnda teknikerna, tillsammans med andra, fungerar alla mycket bättre med en bredare, mer strategisk syn på vad som pågår.
Minska friktionen
Företag behöver inte välja mellan effektiv upptäckt av bedrägerier och enkel användning. Det är möjligt att hantera och minska risker utan att införa ytterligare friktion för dina slutanvändare när de reser genom dina onlineapplikationer. Det är dags att kasta ut den konventionella visdomen som säger något annat.
