Informacje, które zasilają model statystyczny, nie decydują w 100% z osobna o zaufaniu lub nie, ale służą do określenia wynikowego poziomu ryzyka związanego z daną transakcją. Jeśli wynik ten przekracza próg ustalony w polityce zarządzania transakcjami, podejmowane są czynności, takie jak: zapis informacji do logów, użycie dodatkowego uwierzytelnienia, powiadomienie call center o konieczności potwierdzenia telefonicznego, tymczasowa blokada konta, trwała blokada konta, wymagająca uwierzytelnienia osobistego w firmie, powiadomienie organów ścigania o fraudzie.

Sieć klienta czy złodziej?

Banki często analizują adresy IP, z których korzystają fraudsterzy. Ponieważ część z tych operacji jest wykonywana za pomocą serwerów proxy uruchomionych na przejętych komputerach (jest nawet specjalny moduł do ZeuSa przeznaczony do przekazywania połączeń przez przejęty komputer będący częścią botnetu), blokowanie adresów IP może spowodować skutki w postaci zablokowania dostępu do serwisu z wielu sieci, których operatorzy korzystają z NAT.

Niektórzy dostawcy mają specjalne bazy danych, w których rejestrowane są adresy IP, a z nich następowały połączenia będące fraudami. Informacja z takiej bazy może być także połączona z systemem oceny ryzyka, który uwzględni fakt obecności (lub nie) danego adresu IP w bazie dawniejszych fraudów.

Nie tylko statyczne reguły

Początkowo stosowano głównie statyczne reguły ryzyka, opracowane dla konkretnej aplikacji przez administratorów. Chociaż są skuteczne, wymagają okresowej modyfikacji, w miarę zmian aplikacji webowej, a także dostosowania złośliwego oprogramowania przez fraudsterów. Nowoczesne rozwiązania potrafią uczyć się samoczynnie na podstawie zbieranych statystyk, co może odbywać się na początku wdrożenia w niezauważalny dla użytkowników sposób. Jednocześnie powinny być badane statystyki ogólne, które umożliwiają wykrywanie nieprawidłowości, takich jak próby logowania na różnych użytkowników z tej samej puli IP.

Dwuskładnikowe uwierzytelnienie

Jednym z najprostszych mechanizmów dwuskładnikowego uwierzytelnienia są hasła jednorazowe, zapisane na papierze, także w formie zdrapek. Hasła te są nadal stosowane przez wiele banków i dają lepszą ochronę od haseł maskowanych czy certyfikatów zapisywanych w pamięci komputera (także w zewnętrznych kartach), gdyż nie są bezpośrednio dostępne dla złodzieja dysponującego złośliwym oprogramowaniem. Nie można jednak powiedzieć, że jest to metoda w 100% odporna na ataki - złośliwe oprogramowanie (m.in. ZeuS oraz limbo) umożliwia modyfikację w locie strony wyświetlanej przez przeglądarkę w taki sposób, by dodać lub zmienić kod HTML. Można wprowadzić dowolne modyfikacje, w tym także dodać pola, które wymagają wpisania kodu ze zdrapki lub tokena. Pomysłowość złodziei nie ma granic; znany był przypadek ataku na jeden z zagranicznych banków, gdzie frausterzy uruchomili nawet fałszywe call center.

O wiele skuteczniejsze okazały się wiadomości SMS, które są związane z konkretną transakcją. Takie potwierdzenie transakcji trudno obejść, dopóki użytkownik nie loguje się z tego samego urządzenia, na które przychodzi wiadomość - a to może mieć miejsce na przykład przy korzystaniu z telefonów klasy smartphone do bankowości elektronicznej.