Klient korzystający z przeglądarki internetowej przy serwisie transakcyjnym jest narażony na nadużycia, spowodowane przez ataki cyberprzestępców. Standardowym narzędziem włamywaczy komputerowych jest złośliwe oprogramowanie, które potrafi przechwycić wpisywane informacje. Instytucje finansowe chronią się za pomocą zabezpieczeń technicznych, takich jak dwuskładnikowe uwierzytelnienie użytkownika, ale nie zawsze jest to możliwe i opłacalne. Choć standardem wydają się dzisiaj transakcyjne hasła jednorazowe przesyłane w wiadomości SMS, to nie każda operacja powinna być tak potwierdzana. Zazwyczaj banki w ten sposób wymagają potwierdzenia przy operacjach transferu środków na niezdefiniowany rachunek, przy definicji przelewów oraz przy zarządzaniu parametrami rachunku lub kart płatniczych. Każde użycie takiej technologii kosztuje bank wymierne pieniądze, ponadto warto wyróżnić operacje wysokiego ryzyka i właśnie przy nich stosować dodatkowe zabezpieczenia.

Które transakcje są podejrzane?

Każdy użytkownik ma właściwy dla siebie model zachowania, wynikający z jego pracy, nawyków, otoczenia i potrzeb. Dla jednego użytkownika korzystanie z bankomatów za granicą oraz z zakupów internetowych jest codziennością, inny może jedynie korzystać z kilku wybranych przez siebie urządzeń, pobierając przy tym większe kwoty. Systemy, które analizują strumień informacji o transakcjach, budują model statystyczny dla każdego użytkownika i jednocześnie oceniają poziom ryzyka związany z każdą z nowo realizowanych operacji. W praktycznych realizacjach jest to pojedyncza liczba od 0 do 1000, przy czym wartości progowe są tak dobrane, by powyżej pewnego poziomu powodować dodatkowe akcje, takie jak dodatkowe uwierzytelnienie za pomocą wstępnie ustawionego pytania osobistego, odczytu z tokena lub hasła jednorazowego.

Przy ocenie ryzyka transakcji bierze się pod uwagę parametry, które można pozyskać, integrując taki system z webowym front endem, a są to: adres IP, identyfikacja urządzenia, lista cookie w przeglądarce, cookie zapisane w aplecie Flash, język systemu operacyjnego, rodzaj przeglądarki, strefa czasowa i rozdzielczość ekranu. Na podstawie informacji o urządzeniu (czyli o czymś, co użytkownik ma) buduje się profil statystyczny wykorzystania danego komputera, a także detale, jednoznacznie identyfikujące komputer, z którego użytkownik się loguje. Informacje te, razem z nawykami użytkownika ujętymi w ramy statystyczne (godziny logowana, to, czy użytkownik korzysta z różnych komputerów i kiedy, z jakich sieci się loguje, jakie transakcje zazwyczaj wykonuje i skąd), umożliwiają ocenę typowych działań użytkownika. Dla każdego z użytkowników taki profil jest budowany z osobna, zatem jeśli jeden użytkownik często podróżuje i loguje się z różnych sieci i maszyn, a drugi korzysta niemal wyłącznie ze swojego laptopa w domu, logowanie z komputera w innym kraju będzie bardziej podejrzane w tym drugim przypadku. W systemy takie jest wbudowana także geolokalizacja, która wykrywa połączenia, które nastąpiły w krótkim czasie z różnych lokalizacji odległych geograficznie. Niektóre banki mają także podstawowe informacje o połączeniach lotniczych oraz o lokalizacjach bankomatów - ATM umieszczony na terenie strefy bezpieczeństwa nalotnisku może być uznawany za bezpieczniejszy od innych, zlokalizowanych na ulicy.