Co zatem możemy zrobić, gdy zostanie wykryte nadużycie? Tutaj możliwości jest co najmniej kilka. Jeżeli korzystamy z systemów IVR (Interactive Voice Response), możemy użyć ich na przykład do nawiązania połączenia z właścicielem konta i przeprowadzić dodatkową weryfikację, prosząc o podanie uzgodnionej wcześniej frazy, danych z umowy lub też innych szczegółów znanych tylko jemu. Możemy również zaprząc do pracy system powiadamiania SMS-em albo zwyczajnie przesłać e-maila. Najprostszym scenariuszem weryfikacji w takim przypadku może być SMS zwrotny, który potwierdza wolę przeprowadzenia transakcji. Wreszcie można wykorzystać człowieka, który otrzyma powiadomienie o podejrzanej transakcji i wykona telefon do posiadacza konta. Po takiej pozytywnej weryfikacji, wzór zachowania użytkownika powinien zostać uaktualniony w systemie.

Problem bezpieczeństwa transakcji elektronicznych dostrzegany jest także w szerszym kontekście niż walka o rynek. Dlatego też podejmowane są inicjatywy typu "porozumienie bez barier" - jak na przykład współpraca dwóch rywali firm Entrust i Verisign w celu zbudowania otwartej także dla innych bazy danych, zawierającej informacje o elektronicznych fałszerstwach i fałszerzach - Fraud Intelligence Network, budowanej według standardów IETF -http://wiki.tools.ietf.org/html/draft-mraihi-inch-thraud-07 . Warto wspomnieć także o inicjatywach podejmowanych przez największych wystawców kart kredytowych - Visa i Mastercard. Visa lansuje program Visa 3D (3-Domain) Secure; Mastercard - MasterCard Secure Code. W obu przypadkach chodzi o to samo. Posiadacz karty może dokonywać za jej pośrednictwem transakcji tylko wówczas, jeżeli wcześniej nada jej hasło w specjalnym serwisie - najczęściej prowadzonym przez bank. Od tej pory każda transakcja wymaga dodatkowego uwierzytelnienia tym hasłem. Koncepcja byłaby świetna, gdyby nie phishing. Hasło musi zostać gdzieś wpisane, a zwykły użytkownik może mieć problemy z rozpoznaniem podrobionej strony. Jest to jednak jakiś krok naprzód.

Na zakupy...

Dobre rozwiązanie antyfraudowe powinno charakteryzować się kilkoma cechami, które wymagają weryfikacji poprzez testy i wdrożenia pilotażowe. System FDS musi być elastyczny i dopasowywać się do potrzeb konkretnego kontekstu biznesowego. W związku ze złożonym charakterem transakcji online nie można opierać się tylko i wyłącznie na jednym mechanizmie, np. CDI. Konieczna jest kombinacja kilku technologii. System musi cechować niski współczynnik fałszywych alarmów, co w dużej mierze zależy od jakości usług konsultingowych - większość producentów dostarcza platformę deweloperską, która powinna być odpowiednio zaprogramowana. Wysoki współczynnik fałszywych alarmów oznacza konieczność zatrudnienia dodatkowych osób do obsługi incydentów oraz niepotrzebnie angażuje użytkowników (dodatkowa weryfikacja poprawnych transakcji). Nie bez znaczenia jest też zdolność do nieprzerwanej pracy, włącznie z funkcjonalnością wysokiej dostępności. A skoro o tym mowa, to warto sprawdzić, czy ilość transakcji, które muszą zostać obsłużone (często liczone w TPS - Transactions Per Second), nie przekracza możliwości produktu. Po wdrożeniu oddany do eksploatacji system powinien być łatwy w zarządzaniu, umożliwiać szybki dostęp do zdarzeń i incydentów, a także zapewniać mechanizmy obsługi tych drugich. Przydadzą się też wszelkie funkcje typu computer forensics, które pomogą przeprowadzić dochodzenie i zebrać niezbędne dowody na potrzeby postępowania sądowego. Rozwiązanie musi również umieć działać proaktywnie i umożliwiać integrację z systemami dodatkowej weryfikacji tożsamości. Wreszcie - co podkreślane jest w odniesieniu do każdego systemu związanego z bezpieczeństwem - należy zwrócić uwagę na możliwości raportowania. Nic nam nie przyjdzie z implementacji systemu, jeżeli nie będziemy potrafili dowieść jego skuteczności.

Rynek FDS jest jeszcze stosunkowo młody, a mechanizmy przeciwdziałania nadużyciom online są ciągle doskonalone. Ale czy nie miło dostać czasem telefon z banku, który wyraża troskę o bezpieczeństwo naszych pieniędzy?

Yohai Einav, Senior Fraud Researcher, Verisign Identity & Authentication Services

Obecnie można zauważyć, że większość wysiłków wkładanych w rozwój systemów FDS (Fraud Detection Systems) ukierunkowana jest na ochronę tzw. wrót do zamku - tj. ochronę strony logowania portalu transakcyjnego. A przecież to nie tutaj dokonywane są fałszerstwa i nie da się bezpośrednio wyłudzić żadnych pieniędzy - to tylko brama dostępowa. Dlatego też użytkownik powinien móc, oczywiście po uwierzytelnieniu, zalogować się do portalu, chyba że rezultat oceny ryzyka związanej z danymi logowania jest zbyt wysoki. Tak czy inaczej rezultat ten nie powinien być jedynym, a raczej dopełniać pozostałe elementy oceny ryzyka.

Po dostaniu się do wnętrza systemu użytkownik może wykonywać wiele operacji. Z każdą z nich wiąże się potencjalne zagrożenie. Oto kilka przykładów takich ryzykownych operacji oraz sposobów, na które system FDS może je wykrywać.

• Zmiana informacji osobowych - oszust może próbować zmienić dane właściciela konta tak, aby środki finansowe trafiły na inne konto. Takie działanie może być wychwycone i zostać przypisane mu określone ryzyko. Ryzyko związane ze zmianą adresu e-mail jest znacznie mniejsze niż przy zmianie numeru telefonu czy adresu billingowego.
• Dodanie do konta stałego odbiorcy płatności - oszust próbuje przelać pieniądze na konto, nad którym sprawuje kontrolę. Dodawanie stałych odbiorców nie jest czynnością typową. Jeżeli wcześniej na koncie takie operacje nie były dokonywane, a tym bardziej jeżeli dodawanych jest wielu odbiorców, ryzyko związane z taką operacją rośnie.
• Wykonywanie przelewów - płacenie rachunków wielu firmom czy osobom może w wielu przypadkach być działaniem typowym. Sprawca może jednak próbować dokonać nieautoryzowanego przelewu. Poprzez monitorowanie wysokości przelewów czy sprawdzanie danych odbiorców wychwycenie nadużycia jest bardzo prawdopodobne. Tutaj stopień ryzyka jest wysoki, ponieważ operacja może skutkować wyprowadzeniem pieniędzy.
• Transfer środków pomiędzy kontami tego samego banku - przelewy tego rodzaju są słabiej kontrolowane i wykonywane szybciej. Do wykrycia nadużycia można tutaj wykorzystać badanie wysokości przelewów, ich częstotliwość, geolokację płatnika i odbiorcy przelewu.
• Akcje - oszust będzie próbował "napompować" cenę akcji, wykorzystując do tego celu konto użytkownika, a potem sprzedać je z zyskiem. Monitoring tego typu działań jest prosty. Opiera się na badaniu aktywności na kontach brokerskich czy wychwytywaniu nagłych skoków liczby aktywów.
• Wypłata środków - w tym przypadku oszust dokonuje przelewu na konto podstawionej "mrówki", która tuż po jego otrzymaniu przekazuje pieniądze w postaci gotówki (za pośrednictwem takich usług, jak Western Union) na ręce oszusta. Monitoring tego typu zjawiska to badanie depozytów składanych na konta, ich częstotliwości i wysokości. To także sprawdzanie, czy odbiorcą przelewu nie jest Western Union czy Money Gram. Taki wzór aktywności może wskazywać również na oszustwa związane z kartami kredytowymi czy debetowymi (aby móc przelać pieniądze do WU, wymagane jest użycie kart), a to już zupełnie nowa gra.

Oprócz monitorowania operacji ważne jest także wychwytywanie ich sekwencji i na tej podstawie precyzowanie ryzyka. Analiza behawioralna oraz reguły to nie wszystko. Instytucje finansowe powinny współpracować i współdzielić informacje, m.in. takie jak czarne listy kont bankowych.