){kind=small}
モバイルアイデンティティにおけるカスタマージャーニーに合わせた不正防止策
所要時間:1 分
不正はカスタマージャーニーを通じて様々な形で現れる。データ漏洩の世界的なコストは、2024年には488万ドルに達する (IBMレポート).2025年までに サイバー犯罪のコストは年間10兆5,000億ドルに達すると予測されている。兆ドルに達すると予測されている。フィッシング、リカバリーの不正使用、メッセージによる詐欺が大規模に発生している。この記事では、各詐欺の種類を一般的に発生するステージにマッピングし、電話インテリジェンスがコミュニケーションをより効果的、革新的、かつ安全にする方法を紹介します。
電話インテリジェンスとは、Vonage Identity Insightsを使用して、番号の有効性、到達可能性、回線タイプ、キャリア、加入者の一致、および最近のSIMスワップまたはポーティング活動を明らかにするキャリアおよびKYCデータセットからのリアルタイムのシグナルを指します。
これは、攻撃者が既存のユーザー・アカウントにアクセスすることで発生する。ATOは多くの場合、フィッシング、クレデンシャル・スタッフィング、または最近のSIM交換から始まります。ベロシティ攻撃や複数のデバイスにまたがる使用の兆候に注意してください。
なりすましは、詐欺師が本人のデバイスやアカウントにアクセスすることなく、本人になりすますことで起こります。一般的な手口には次のようなものがあります:一般的な手口には、発信者番号通知なりすまし、ソーシャル・エンジニアリング、盗まれた個人識別情報(PII)の使用などがあります。
実在するデータと偽造されたデータを組み合わせて、検証チェックをパスする。これらの ID は、銀行口座の開設、ローンの申込み、クレジットの申込みなど、価値の高 いアクションが試みられるまで、多くの場合休眠状態にある。
完全な詐欺ではないが、アカウント共有は利用規約に違反し、ユーザー行動を不明瞭にするため、予測モデルや詐欺スコアリングシステムに損害を与える。アカウント共有は、複数の人が同じログイン認証情報を使用する場合に発生する脆弱性である。常に悪意があるわけではありませんが、異常値を膨らませることで不正検知モデルを歪める可能性があるため、アカウントの共有は強く推奨されるべきです。
詐欺の種類は、一般的に合成IDである。正規の番号が偽の名前と組み合わされている場合がある。偽の番号が本物の電子メールアドレスと組み合わされている場合もある。詐欺師は、プロモーションや無料トライアルにアクセスするために自動化されたフローを使用する。
詐欺の種類は通常、なりすましである。詐欺師はこう言うかもしれない:「携帯電話をなくしてしまったので、新しいSIMに番号を移せないか?彼らはしばしば、盗んだ個人情報となりすました発信者番号を組み合わせて、サポート・エージェントを騙す。
最も一般的な詐欺の種類はアカウント乗っ取りである。SIMスワップ、盗まれたSIMカード、侵害されたモバイル・デバイスが、この不正行為の引き金となることが多い。アカウントに侵入すると、攻撃者は認証情報をリセットしたり、資金を流出させたりする。
不正の種類には、Account Sharing(Account共有)やSynthetic Identity(合成ID)などがある。1つのアカウントに複数のユーザーがアクセスすることで、測定基準が歪む可能性がある。不正グループはまた、プロモーション特典や無料トライアルを採掘するために、合成アカウントを作成します。
を使用して、関連するすべてのチェックを 1 回の API 呼び出しで実行できます。 Identity Insights API.
不正のタイプがAccount乗っ取りの場合、以下のインサイトを使用することができます: SIMスワップ, 位置確認, 現在のキャリアおよび Numbers フォーマット.合成IDとなりすましを扱っている場合、以下の洞察力を使うことができる: 加入者一致, 元のキャリア, 現在のキャリアそして Numbers フォーマット.
危険なシグナルが自動的に悪意のあるユーザーを意味するわけではありません。最近のSIM交換は、完全に正常なデバイスのアップグレードである可能性があります。
シグナルを文脈として扱う。タイミングと組み合わせが理にかなったものである場合はステップアップし、パターンが境界線上にある場合は監視し、複雑な拒否は明確なマルチシグナルリスクのために保留する。このレイヤーアプローチは、日常的なユーザーの流れを維持しながら、悪質な行為者を早期に捕捉する。
Identity Insightsは、1回のAPIコールで関連するすべてのチェックにアクセスできる。あるいは、ブランドがカスタマージャーニーに特化したセキュリティポリシーを定義している場合、以前の結果に応じて一連の Insights リクエストをトリガーすることもできる。
たとえば、電話番号の形式が無効であるか、携帯電話番号でない場合、セキュ リティ手順を増やすか、さらなる情報を要求せずに身元を拒否する。
最近のSIMスワップが検出された場合、ブランドは(すでにセキュリティのステップが強化されているため)位置情報の検証をスキップするか、またはその旅に関する追加情報を収集するために位置情報の検証を実行することを選択するかもしれない。
結局のところ、セキュリティ、顧客との摩擦、コストの間で適切なトレードオフを見つけることです。例えば、オンボーディングの場合、摩擦を減らし、より多くのリスクを受け入れることを好むかもしれない。
不正防止ツールセットだけでなく、カスタマージャーニーでリードする。不正の発生箇所をマッピングし、その時点で重要なチェックのみを適用し、追加のシグナルが必要な場合はIdentity Insightsを呼び出します。
ご質問がある場合、またはあなたが作っているものを共有したい場合は、こちらをクリックしてください。
会話に参加する VonageコミュニティSlack
登録する 開発者ニュースレター
フォローする X(旧ツイッター)最新情報
チュートリアルを見る YouTubeチャンネル
LinkedInの LinkedIn の Vonage デベロッパーページ
最新の開発者向けニュース、ヒント、イベント情報をお届けします。