すべての e コマース ビジネス オーナーが知っておくべき 4 種類の詐欺

(これは、e コマース マーチャントをチャージバックから保護する Card-Not-Present (CNP) 詐欺防止活動である ClearSale の友人からのゲスト投稿です。)

詐欺は増加しており、消費者は免れられません。2017 年の Equifax 侵害で機密性の高い個人データが流出した 1 億 4,500 万人のアメリカ人がそれを証明しています。 しかし、電子商取引業者は、電子商取引詐欺の存在を認める以上のことを行う必要があります。 彼らは、詐欺が実行される具体的な方法を認識している必要があります。

オンライン小売業者が最新の詐欺の手口について理解すればするほど、ビジネスと顧客の両方を保護する準備が整います。 では、e コマース詐欺とは具体的にどのようなものでしょうか。 すべてのオンライン小売業者が警戒すべき 4 つの一般的な詐欺の種類を見てみましょう。

1. フィッシング

サイバー犯罪者は、顧客をだまして重要な個人情報を漏らす方法としてフィッシングをますます使用しています。 このタイプの攻撃では、第三者が信頼できるブランドを模倣し、電子通信 (Web サイト、電子メール、テキストなど) を使用して、無防備な顧客にオンライン バンキングの資格情報、クレジット カード番号、社会保障番号、ユーザー名とパスワードなどの情報を開示するよう説得します。 .

顧客がリンクをクリックすると、偽の (しかし非常に説得力があるように見える) Web サイトに移動し、そこで機密データを入力するよう求められます。 その場合、詐欺師は情報を取得し、それを使用して詐欺や個人情報の盗難を犯します。 さらに悪いことに、顧客は損害を与えるためにデータを入力する必要さえありません。 リンク自体をクリックするだけで、顧客のコンピューターに感染し、個人情報を収集するマルウェアがインストールされる可能性があります。

加盟店ができること

フィッシング詐欺の頻度と巧妙さが増しているため、電子メールで個人データを要求することは決してないことを顧客に伝えてください。 また、次のように伝えます。

• リンクをクリックする代わりに、新しいブラウザ ウィンドウを開きます。 たとえば、電子メールが PayPal から送信されたように見える場合は、新しいブラウザ ウィンドウから直接 PayPal にアクセスして、アカウントのメッセージを確認する必要があります。 確信が持てない場合は、メールを送信したと思われる会社に連絡する必要があります。会社は、メールが本物であるかどうかを喜んで知らせてくれます (そうでない場合は、注意を喚起することに感謝します)。 .
• 機密情報を入力する前に、Web サイトが安全であることを必ず確認してください (「https」で始まるなど)。
• リンクをクリックする前にマウスをリンクの上に置いて、目的のサイトに誘導されていることを確認します。

2. 意図しない詐欺

顧客がビジネスに対して意図しない詐欺行為を行う場合、マーチャントを欺く悪意を持ってそれを行うことはありません。 代わりに、顧客は、請求が誤りであるか、正当に払い戻しを受けるべきであると心から (しかし誤って) 信じています。 サブスクリプション ベースの商品やサービスを提供する業者は、この種の詐欺に遭遇することがよくあります。 たとえば、顧客は、購入した覚えのないサブスクリプションに対して請求され、この見慣れない購入に対してチャージバックを要求します。

顧客がマーチャントに対してチャージバックを提出するその他の一般的な理由には、次のようなものがあります。

• 返品ポリシーの誤解
• アカウントの明細書になじみのないマーチャント名が表示されているが、実際には、取引を行ったマーチャントの運営名または親会社にすぎない
• 別の家族が購入を承認したことに気付かない

加盟店ができること

顧客に情報を提供し、優れた顧客サービスを提供することは、意図しない詐欺のリスクを軽減するために不可欠です。 マーチャントは次のことを行う必要があります。

• 定期的な請求額と請求日を事前に顧客に通知します。
• 顧客が定期的なサブスクリプションを簡単にキャンセルできるようにします。
• クレジット カードの明細に表示される会社名を顧客に知らせます。
• 24 時間年中無休のカスタマー サービスを提供して、顧客の質問や懸念に対処します。

3.中間者攻撃

顧客がオンラインで買い物をするとき、舞台裏でかなりの量のコミュニケーションが行われます。 顧客が電子商取引業者の Web サイトで自分のアカウントにアクセスすると、顧客のコンピューターはログイン情報を業者のサーバーに送信します。 サーバーがそのログイン情報を確認すると、顧客は自分のアカウントにアクセスできます。 また、顧客が商品を購入すると、加盟店のサーバーと顧客の金融機関の間で別の対話が開始されます。

一般に、これらの相互作用は平穏無事です。 しかし、中間者 (MITM) 攻撃を開始する詐欺師は、2 つの当事者間の通信を傍受し、両方になりすますことによって、情報の流れを大幅に変更します。

このデジタル盗聴により、サイバー犯罪者はトランザクションやデータ転送のリアルタイム処理を悪用し、機密データを傍受し、資金にアクセスできます。被害が発生するまで、いずれの当事者も侵害に気付かずに.

ログインが必要なサイトを持つ加盟店は、機密性の高い通信がサイバー犯罪者によって乗っ取られ、制御される可能性があります。また、顧客がアカウントからサインアウトした後も脆弱性が残る可能性があります。

加盟店ができること

MITM 攻撃は、攻撃者が送信者と受信者のなりすましに成功した場合にのみ成功します。 なりすましを防ぐために、マーチャントは次の 3 つの戦略を実装する必要があります。

1. 認証 — メッセージが正当なソースから送信されたという信頼を提供します
2. 改ざん検出 — 改ざんされた可能性のあるメッセージにフラグを立てます
3. 暗号化 — デジタル証明書を提示し、安全な接続を使用してサーバーを認証します

4.個人情報の盗難

サイバー犯罪者は、個人データを盗む方法においてますます巧妙になっています。データ侵害、携帯電話やタブレットの盗難、悪意のあるソフトウェアは、機密情報を取得する一般的な方法になっています。 2016 年には、2,900 万件を超える消費者の記録がデータ侵害の対象となり、これらのデータ侵害の 63% で、ログイン パスワードやその他の識別情報などの消費者の資格情報が盗まれました。

多くの犯罪者は、わざわざデータを盗むことさえしません。 彼らは単に他の人がそれを行うのを待ち、機密の識別データがダーク ネットで利用可能になったら購入します。 そして、その情報が自分のものになると、詐欺師はそれを使って簡単に購入したり、クレジット アカウントを申請したりできます。

加盟店ができること

ハッカーは 77% の確率で盗んだ認証情報を不正取引に使用するため、マーチャントは次の方法で会社と顧客のデータを保護することが重要です。

• 大文字と小文字、数字、記号を組み合わせたパスワードの設定をお客様に求めることで、パスワードのセキュリティを強化します。
• 顧客が注文を受け取るときに ID と元のクレジット カードを要求することで、クリック アンド コレクト購入を確認する
• すべての機密および機密のビジネスおよび顧客データを暗号化し、セキュリティ機能を回避する詐欺師にとって役に立たないようにします

積極的な姿勢で不正行為を阻止

ますます多くの顧客が、ショッピングのニーズのために e コマース マーチャントに目を向けています。 これは顧客にとってより便利ですが、購入時に物理的な支払いカードが存在しないことは、サイバー犯罪者にとって詐欺行為をより便利にします.

この詐欺のリスクはすぐになくなるわけではないため、マーチャントは、詐欺師の進化する脅威を予測して保護するために積極的に取り組む必要があります。 そこで、詐欺防止プログラムが役に立ちます。 堅牢なソリューションの実装に関しては、世界中の企業が、専門家による人間の分析と最先端の機械学習を組み合わせた ClearSale のユニークなソリューションに目を向けています。

著者について: Rafael Lourenco

Rafael Lourenco は、電子商取引業者をチャージバックから保護する Card-Not-Present 詐欺防止事業である ClearSale のエグゼクティブ バイス プレジデントです。 同社の主力製品である Total Guaranteed Protection は、オンライン小売業者向けのエンドツーエンドのアウトソーシングによる不正検出ソリューションです。 Twitter で @ClearSaleUS をフォローするか、http://clear.sale にアクセスしてください。