Years ago, I had to get hold of a personal document that I needed from a government office. I had brought with me all of the documentation that I was told I needed, but there was an issue — a bureaucratic technicality that rendered one of the pieces of documentation invalid in the eyes of the clerk.
I tried to argue that if we zoomed out and looked at the big picture, it was clear that I was me and entitled to my own document. The clerk would not hear of it, though, and replied, “It should not be easy to get this document.” I did not agree and quipped, “It should be easy to get this document if one is entitled to it.” Unfortunately, that remark did not get me the document, and I was forced to return another day.
The reason I am sharing this story with you is because it can teach us an important lesson about balancing fraud and user experience. My example illustrates how off-base the conventional wisdom is that says making something harder for a legitimate user to get reduces risk. If a user is legitimate, and if we know they are legitimate, then why would we ever want to make their user experience more challenging?
جو کچھ کرتا ہے وہ ایک اور قسم کا خطرہ پیش کرتا ہے - وہ خطرہ جسے صارف ترک کردے گا اور اپنی ضرورت کی چیز حاصل کرنے کے لیے کہیں اور چلا جائے گا۔ جب مجھے حکومت سے اپنے دستاویز کی ضرورت پڑی تو میرے پاس کہیں اور جانے کا اختیار نہیں تھا۔ دوسری طرف، آپ کی آن لائن ایپلیکیشن کے صارفین کے پاس زیادہ تر معاملات میں یہ اختیار ہوتا ہے۔ یہ سوچنے کے قابل ہے کہ کس طرح صارف کے تجربے کو دھوکہ دہی کے نقصانات کا پتہ لگانے اور کم کرنے کی ضرورت کے مقابلے میں متوازن بنایا جا سکتا ہے۔
یہ پانچ طریقے ہیں جن سے انٹرپرائزز اپنی دھوکہ دہی کا پتہ لگانے کی صلاحیتوں کو بہتر بنا سکتے ہیں تاکہ دھوکہ دہی کا پتہ لگانے اور صارف کے تجربے میں بہتر توازن پیدا کیا جا سکے۔
1. ڈیوائس کی ذہانت
میں اکثر حیران ہوتا ہوں کہ دھوکہ دہی کے کتنے اصول IP پتوں پر فوکس کرتے ہیں۔ جیسا کہ آپ جانتے ہو، IP پتے معمولی ہیں۔ دھوکہ باز کو تبدیل کرنے کے لیے — جس لمحے آپ انہیں ایک IP ایڈریس سے بلاک کرتے ہیں، وہ دوسرے پر چلے جاتے ہیں۔ پورے ممالک یا IP پتوں کی حدود کو مسدود کرنے کے لیے بھی ایسا ہی ہوتا ہے - ایک دھوکہ باز کے لیے اسے نظرانداز کرنا معمولی بات ہے۔ IP پتوں پر توجہ مرکوز کرنے سے ناقابل بھروسہ اصول بنتے ہیں جو غلط مثبتات کی ایک بڑی مقدار پیدا کرتے ہیں۔
Reliable device identification, on the other hand, is entirely different. Being able to identify and track end-user sessions via their device identifiers, rather than their IP addresses, enables fraud teams to hone in on devices that are interacting with the application. This allows for fraud teams to perform a variety of checks and analyses that leverage device identification, such as looking for known fraudster devices, looking for devices that log into a relatively high number of accounts, and other methods.
2. طرز عمل کی ذہانت
It can be quite difficult to differentiate between legitimate users and fraudsters at layer 7 (the application layer) of the OSI model. Moving up to پرت 8, or the user layer, however, makes that differentiation much more plausible.
In most cases, legitimate users and fraudsters behave differently within sessions. This is mainly because they have different objectives and levels of familiarity with the online application. Studying end-user behavior gives enterprises another tool they can use to more accurately differentiate between fraud and legitimate traffic.
3. ماحولیاتی ذہانت
In many cases, environmental clues (the environment being where the end user is coming from) exist that can help a fraud team differentiate between fraud and legitimate traffic. Having insight into and properly leveraging these environmental clues takes some investment, though it pays huge dividends when it comes to more accurately detecting fraud.
4. معروف صارف کی شناخت
جیسے جیسے تنظیمیں یہ سمجھنے میں بہتر ہو جاتی ہیں کہ دھوکہ دہی والی ٹریفک کیسی نظر آتی ہے، وہ ایک اور فائدہ بھی حاصل کرتی ہیں: وہ یہ پہچاننے میں بہتر ہو جاتی ہیں کہ اچھی ٹریفک اور کیا معروف اچھے صارفین look like. In other words, if I can be reasonably confident that the session in question and the end user navigating it are both good, I can be reasonably confident that I don’t need to pile on tons of friction in the form of authentication requests, multifactor authentication (MFA) challenges, or otherwise.
5. سیشن فوکس
کچھ ٹیمیں کسی حد تک لین دین پر توجہ مرکوز کرتی ہیں۔ یہ ایک تنکے کے ذریعے سمندر کی خوبصورتی کو دیکھنے کی کوشش کرنے جیسا ہے۔ یہ سچ ہے کہ آپ سمندر کا ایک حصہ دیکھ سکتے ہیں، لیکن آپ اس کا زیادہ تر حصہ یاد کرتے ہیں۔ اسی طرح، انفرادی ٹرانزیکشنز یا ٹرانزیکشنز کے گروپس کے بجائے اختتامی صارف کے سیشن کے پورے حصے کو دیکھنا، جعلی ٹریفک کو جائز ٹریفک سے زیادہ درست طریقے سے الگ کرنے کا ایک بہترین طریقہ ہے۔ اوپر بیان کردہ تکنیک، دوسروں کے ساتھ، سب کیا ہو رہا ہے اس کے وسیع، زیادہ اسٹریٹجک نقطہ نظر کے ساتھ بہت بہتر کام کرتی ہیں۔
رگڑ کو کم کریں۔
Enterprises do not need to choose between effective fraud detection and ease of use. It is possible to manage and mitigate risk without introducing additional friction to your end users as they journey through your online applications. The time has come to throw out the conventional wisdom that says otherwise.
