かつてはショッピングモールが賑わっていたホリデーシーズンは、クリックやカートのオンライン上での熱狂の季節へと変化した。しかし、買い物客がお買い得品を探している間、詐欺師は盗んだ認証情報、合成 ID、AI を利用したツールを駆使してあらゆる機会を悪用して利益を狙っています。絶対に欲しいギフトを買いだめするボットから、賢い買い物客を騙すディープフェイクまで、ホリデーシーズンの詐欺はこれまでになく巧妙で、被害が大きくなっています。
休日を除いて、小売業者は1日あたり569,000件を超えるAI駆動型攻撃を経験しています。ChatGPT のリリース後、フィッシングが 1265% 急増したので、驚くことではありません。過去 2 年間、犯罪者は生成 AI (GenAI) を使用してその技術を磨き上げ、新しい種類の欺瞞的な詐欺を急速に進化させてきました。
ホリデーショッピングも加えて混ぜ合わせましょう。昨年のブラックフライデーでは、全「買い物客」のうち35.7%が実はボットや偽のユーザーだった。人間とボットの増加によりオンライン トラフィックが急増する中、小売業者は詐欺だけでなく、顧客の購買意欲をそぐ可能性のある大量のトラフィックや潜在的な障害にも備える必要があります。
オンライン小売業者の場合は、読み続けてください。この記事では、進化する脅威の状況を調査し、顧客のホリデー ショッピング体験を保護するための実用的な手順の概要を説明します。
Gartner IAM に参加しますか?あなたの回復力を強化しましょう。
戦略セッションに申し込む あなたの問題を解決します 具体的な課題。
進化する詐欺:グリンチが新たなテクノロジーを駆使
AIとディープフェイク技術によって詐欺の能力が強化され、非常に説得力のある休日詐欺が生まれています。これらは、最も用心深い買い物客でさえも騙し、統合が不十分で複雑さによって妨げられることが多い大多数の顧客 ID およびアクセス管理 (CIAM) および不正防止システムによる検出を回避できます。
AIを利用したフィッシングやなりすましが顧客や小売業者を騙す
- 偽のオファーとメール: AI によって生成されたフィッシング メールは、正規の小売業者のメールを完璧な精度で模倣し、完璧なギフトを購入したい買い物客を狙います。人気商品が「再入荷しました!」とか「サイバーマンデーセール!」で大幅割引で販売されているなどと顧客に偽って通知するフィッシングメールが表示されることが予想されます。
- 偽装ウェブサイト: 詐欺師は信頼できる小売業者を模倣したクローンサイトを作成しますが、多くの場合、URL がわずかに変更されているため、見逃されやすいです。忙しくて急いでいる休日の買い物客は、偽のサイトに騙され、何も考えずに認証情報を入力してしまう可能性が高くなります。
- 悪意のある広告と電子スキミング: 悪意のある広告が正規のサイトに侵入するため、ホリデー ショッピング シーズン中は広告エコシステムが武器になります。クリックすると、一部の悪質な広告がスキミング コードを支払いページに挿入し、クレジットカード情報を盗みます。AI を使用すると、よりリアルなデコイ インターフェースと、検出を回避するために動作を適応させる動的スクリプトを使用して、電子スキミングが作成されます。
- 偽のログイン オーバーレイを備えたトロイの木馬: ほとんどのAndroid トロイの木馬は銀行アプリをターゲットにしていますが、オンライン小売業者をターゲットにするものもあります。注目すべき例としては、人気のあるユーティリティ アプリを装った Marcher や Gustuff などがあります。彼らの手口は数多くありますが、その中には、正規のサイトに偽のログインフォームを重ねたり、キーロガーを使用して知らない顧客から認証情報やワンタイムパスコード (OTP) を収集したりすることが含まれます。犯罪者は MFA でログインし、アカウントを乗っ取って買い物をするだけです。
- ディープフェイク — 詐欺の新たな顔と声: ホリデー シーズン中、生成された音声がカスタマー サービス担当者や家族になりすまし、顧客を騙して機密性の高いアカウントの詳細を共有させたり、不正な取引を承認させたりします。小売業者をターゲットにする場合、詐欺師はディープフェイクを使用して顔の特徴や声を非常に正確にシミュレートし、一部の生体認証を欺くことができます。重要なポイント: 単一ポイントソリューションに頼るだけでは不十分です。
小売業者はボットによる攻撃の猛攻に直面
- グリンチ ボット: これらのボットは需要の高い在庫を購入して買いだめし、詐欺師が高額で商品を転売できるようにします。GenAI により、悪質なボットは人間の行動を模倣し、複雑なやり取りを処理できるようになり、標準的なボット検出システムを回避できるようになります。悪意のあるボットは、検出を回避するために IP を切り替えたり、デバイスのなりすましを行ったりもします。確かに、小売業者は在庫を販売していますが、特別な贈り物を購入したい新規顧客を獲得する可能性は低くなります。顧客は、その必需品を競合他社または詐欺師自身から購入せざるを得なくなります。
- クレデンシャル スタッフィングと ATO : 詐欺師は、ストッキングに詰め込むのではなく、盗んだクレデンシャルを多くの小売サイトのログイン情報に詰め込みます。これは効果があるので、なくなることのない古いトリックです。ほとんどの人が同じパスワードを再利用しているという事実を利用して、ボットを使用してログインし、アカウントを乗っ取ります。ATO は、2024 年にオンライン小売業者が経験するすべての詐欺の 32% を占めます。
今買って後で支払う(BNPL)詐欺
- 決して返済されない即時ローン: Affirm や Afterpay などの貸し手による BNPL サービスの人気が高まるにつれ、詐欺師がこれらのプラットフォームを悪用して不正な購入を行っています。今年、アドビはBNPL支出が11月に記録的な95億ドルに達すると予測している。残念なことに、詐欺師は金銭を狙うので、小売業者はこれを予測して準備する必要があります。
- 攻撃対象領域が 2 倍になる: BNPL では、サイバー犯罪者が貸し手で設定された BNPL アカウントまたは小売業者で設定された顧客アカウントのいずれかを乗っ取ることができるため、リスクが増大します。いずれにせよ、詐欺師は顧客のアカウントを乗っ取ることでBNPL経由での購入を承認することができ、被害者と小売業者は予期せぬ借金に悩まされることになる。
ロイヤルティポイント詐欺
- 報酬ポイントの貪欲な消費: 顧客の忠誠心を高めるために設計された報酬プログラムは、セキュリティが緩いことが多いため、主なターゲットになっています。詐欺師は顧客のアカウントを乗っ取り、ロイヤルティポイントを吸い上げて現金や商品に変換します。2024年には、すべてのeコマース詐欺の31%がこれらのプログラムを標的にしています。
結果としてダウンタイムが発生する可能性もある
休日の脅威の影響は、金銭的損失、顧客からの信頼の低下、ブランドのダメージをはるかに超えています。買い物客を装う悪意のあるボットが多数存在するため、eコマース サイトはトラフィックの急増や、IAM ベンダーを標的とするサイバー攻撃への対応に備える必要があります。
停止を回避し、顧客が自分のアカウントに常時アクセスできるようにするには、小売業者は、IAM サービスが攻撃に耐えるだけの回復力があり、ログインを試みる何百万もの顧客 (またはボット) に対応できるほど拡張可能であるかどうかを検討する必要があります。
休日の騒ぎに終止符を打つ
AI 時代における新しい不正行為の種類の進化のスピードと巧妙さは、従来の ID および不正行為ソリューション、特に静的アルゴリズムと狭いルール セットに基づいてリクエストをブロックまたは異議を申し立てるソリューションを導入している小売業者にとって大きな脅威となります。
今日の高度なフィッシング キャンペーン、ソーシャル エンジニアリング、合成 ID、ディープフェイク、トロイの木馬、その他のトリックを検出するには、不正防止と ID セキュリティに、顧客の ID ライフサイクル全体にわたって異常を正確に特定できる、幅広い AI および ML 検出機能が必要です。
次の 3 つの戦略的目標を掲げて、次のホリデー シーズンに向けて準備しましょう。
- 亀裂を塞ぐ: 複数のベンダーのポイント ソリューションによって生じる複雑性の絡み合い、セキュリティ ギャップ、ID サイロを解消するには、小売業者は統合された AI 駆動型プラットフォームを必要としています。Transmit Security だけが、ID オーケストレーション、承認、パスキーと真のパスワードレス MFA を使用したフィッシング耐性認証など、ネイティブに構築された不正防止と CIAM サービスの融合を提供します。
Transmit Security の Mosaic は、すべてのアクセス要求のコンテキスト全体を分析して、今日の急速に進化する詐欺を正確、機敏、迅速に検出し、阻止します。AI と ML は異常を正確に特定し、新たな攻撃パターンが出現するとそれを学習します。顧客エクスペリエンスを最適化しながら、進化する脅威に先手を打つことができます。 - 100% の稼働率を確保: ショッピング体験を妨げる停止を防止します。Mosaic は、AWS、Azure、GCP 全体で同時に動作するアクティブ/アクティブ マルチクラウド アーキテクチャを備えた唯一の不正防止および ID プラットフォームです。セッション中のフェイルオーバーによりビジネスの継続性が確保されるため、買い物客は中断することなく業務を継続できます。
追加の冗長性のために、ID キャッシュは停止中にバックアップ認証を提供します。これにより、プライマリ インフラストラクチャに依存せずに、キャッシュされた資格情報をクラウドから提供できるようになります。根底から強靭です。 - 侵害を防止しながら、何百万もの買い物客をサポートできる規模を実現: サイバーセキュリティを中核とするエンタープライズ クラスのクラウド ネイティブ アーキテクチャは、何億人もの顧客にサービスを提供しながら、ミッション クリティカルなアプリを保護します。AIを活用したセキュリティを内蔵 組み込み API とモバイル アプリのセキュリティ、改ざん防止対策、自動異常検出、傾向分析を提供します。ボタンをクリックするだけで、静的アプリケーション セキュリティ テスト (SAST) がコードを分析して、起動前に脆弱性をフラグ付けして対処します。
当社の統合 ID セキュリティは、アカウントの開設やアカウントの回復から、高リスクの取引やエンドツーエンドの不正操作まで、最も困難な不正行為や顧客 ID の使用事例を解決します。当社の Web サイトをご覧になり、米国のトップ 10 銀行 7 行と Fortune 500 企業が Transmit Security を信頼する理由をご確認ください。
