Table of Contents

悪い子?それとも良い子?
2022年、ホリデーシーズンの買い物客はお買い得品を探し、詐欺師は掘り出し物を探す

ブラックフライデーに店に入るのは、最高のお買い得品を手に入れるために早めに到着する何百万人もの熱心なホリデーショッピング客にとって爽快な気分です。しかし、その喧騒は誰にとっても好ましいものではありません。個人的には、家でくつろぎながらノートパソコンでプレゼントを買うのが好きです(靴は必要ありません)。休日の買い物客も同様の行動を取る人が増えています。インサイダー・インテリジェンスによると、2022年10月から12月にかけて、 eコマースは15.5%増加すると予想されている一方、店舗での売上はわずか0.9%の増加にとどまると予測されている。

インフレ、在庫不足、金利上昇の状況を考慮すると、これは楽観的な見通しです。2021 年は 20 年間で最も小売業が成長した年であり、私たちは本当にそれを上回ることができるのでしょうか?非常に多くの経済変数が影響しているため、2022年のスノードームは少し不透明になりそうです。

小売業者は市場の圧力を痛感しており、利益を上げるための創造的な新しい方法を模索しています。問題は、詐欺師も詐欺師であるということです。この記事では、買い物客攻撃者の間で人気が高まっている小売トレンドについて見ていきます。最も重要なことは、小売業者がオンラインとオフラインの両方で詐欺を防ぐために何ができるかを学ぶことです。

アカウント乗っ取りは最も危険な行為

2021年の小売データによると、サイバーマンデーはオンライン売上高が最大の日となり、109億ドルに達し、ブラックフライデーの売上高90億3000万ドルを上回りました。

インサイダー情報

オンラインで取引する人が増えると、サイバー犯罪者は、特に顧客のアカウントを乗っ取る場合に、大きな利益を得る可能性があると考えます。Impervaによると、アカウント乗っ取り(ATO)詐欺は2021年に全業界で148%増加し、現在最も一般的な個人情報詐欺の形態となっている。小売業界では、休日だけでなく年間を通じて、5 回のログインのうち 1 回が ATO 試行です

詐欺師は、フィッシング、スミッシング、クレデンシャルスタッフィング、クレデンシャルクラッキング、中間者攻撃といった、昔からある同じ手口を使います。クラックされたり、盗まれたり、購入された認証情報を使用して、顧客のアカウントにログインするだけです。これらの実証済みの ATO 手法を、新たな小売詐欺の傾向やより高度な攻撃戦術と組み合わせると、爆発的なホリデー ミックスが生まれます。

  • 今すぐ購入、後払い ATO – 小売詐欺の最新トレンドの 1 つに、Affirm や Afterpay などの貸し手による今すぐ購入、後払い (BNPL) プランがあります。サイバー犯罪者は、この人気の支払い方法で設定されたアカウントを標的にして不正な購入を行っています。簡単に勝てる可能性があり、その可能性は高まっています。Lending Treeによる2022年の調査によると、今年、消費者の43%がBNPLプランを利用したという。

    BNPL には、サイバー犯罪者が貸し手で設定された BNPL アカウントまたは小売業者で設定された顧客アカウントのいずれかを乗っ取る可能性があるため、さらなるリスクが伴います。いずれにしても、BNPL 経由で購入を承認できるようになります。

  • 回避型ボット– まず、あらゆる種類のボットが他の業界よりも小売業者に大きな打撃を与えていることに注目することが重要です。小売ウェブサイトへの攻撃の 62% は、ボットを使用して、面倒で時間のかかるタスクを自動化し、高速化しています。これは、攻撃のわずか 28.4% がボットによって自動化されているという、すべてのセクターの一般的な傾向よりもはるかに高い数値です。

    さらに憂慮すべきなのは、これらの悪質なボットの大半が、境界やアプリケーション セキュリティ、リスク検出システムにおける分断された防御の隙間をすり抜けるために高度な戦術を活用していることです。アカウントに侵入した後、彼らは発見されず匿名性を保つためにあらゆる手段を講じます。

    2021年、小売業者に対する攻撃の33%は、その出所を隠蔽した。匿名プロキシまたはフレームワークは IP アドレスを隠すため、犯人の実際の場所を追跡することは困難または不可能になります。回避型ボットは、IP アドレスを切り替えたり匿名に見せかけたりするだけでなく、人間の行動を模倣したり、デバイスのなりすましを使用したり、あらゆる方法で自分の身元を変更したり隠したりしようとします。

  • グリンチ ボット– 独自のブログ投稿に値する (近日公開予定) グリンチ ボットは、需要の高い商品を購入し、在庫を割引価格で買い占めて、詐欺師がそれをすべて値上げ価格で再販します。

    確かに、小売業者は在庫を売り切っていますが、それは顧客満足度を損ない、特別な贈り物を買いたい新規顧客を獲得する可能性を低下させます。顧客は超高速ボットと競争することはできず、競合他社または詐欺師自身から必需品を購入せざるを得なくなります。さらに、小売業者はブランドの評判を守らなければなりません。彼らは市場操作や価格つり上げに目をつぶることはできない。

  • Inventory shortage phishing – Stockouts, whether caused by Grinch bots or manufacturing shortfalls, create desperate shoppers who are prime targets for phishing. This holiday season, we can expect fraudulent emails that falsely notify retail customers that popular items are, “Back in stock!” Shoppers will fall for it, typing in their credentials on a fake website without thinking twice.

  • Vishing – Voice phishing or vishing is the act of social engineering via phone. The cybercriminal may pretend to be a customer service rep with a specific retailer, calling about a special discount or an issue with their latest purchase. The goal is to gain information or manipulate the customer to take an action that compromises their account, enabling the fraudster to take it over.

  • Loyalty point fraud – Considered a ‘soft target,’ but costly nonetheless, fraudsters will takeover customer accounts to drain them of reward points that are redeemable for products, services or cash. Reward programs, created to entice and keep customers, are notorious for being poorly secured, easy to hack. 27% of all fraud attempts on ecommerce sites target loyalty programs, according to Statista. The sheer volume of attacks add up!

End holiday humbug with end-to-end account security

Strong authentication

Hands down, the best way to prevent account takeovers is to eliminate customer passwords. No password means there’s no credential to crack, phish, stuff, intercept or bypass. There are many ways to authenticate users without having to use passwords: biometrics, passkeys, magic links and one-time passcodes.

Transmit Security offers it all. Fingerprint and facial biometrics are the most secure option since they confirm the user’s identity based on unique physical attributes. Our FIDO2-certified authentication uses public key cryptography (PKI) to secure customer biometrics. Fingerprint or facial ID is used to authenticate the customer locally on the device, so the biometric and the PKI private key are never ‘in flight’ nor stored remotely.

Keep in mind, passwords cannot be used in your account recovery process or anywhere in the customer journey. This is one of many challenges we’ve solved. Transmit Security Passwordless and MFA service is able to completely eliminate passwords — whether you do it now or phase them out over time.

Real-Time Risk and Trust Assessment

Transitioning away from passwords is a great start, but the increasing sophistication of retail attacks means more fraudsters are adorned with tools and techniques designed to target the spaces between standalone detection and identity controls, even powerful ones like FIDO2 authentication.

Signs of ATO, account fraud and anonymous user attacks can be hidden in the gaps between disconnected data and tools you use before, during and after authentication. That’s why Transmit Security Account Protection continuously detects and assesses risk and trust for each user — across all their interactions, all retail apps and channels, from all customer devices.

With real-time assessments, you don’t need your own teams of in-house identity security and analytics experts to integrate tools, correlate and normalize data, or build and maintain rules. That’s a Fa-la-la-la-la if I’ve ever heard one!

Data from hundreds of telemetry types are automatically correlated in real time to each user: known or anonymous, customer or fraudster, human or bot. Continuous user profiling establishes an always-updated baseline of the specific customer’s typical behavior to identify anomalies between a user’s current and past activity.

Powered by machine learning, detection models pre-integrate advanced detection methods and telemetry including network analysis, device fingerprinting, behavioral biometrics, application activity, account changes and, of course, authentication and challenge results

Ease and orchestration tie it up with a bow

Out-of-the-box from day 1: built-in intelligence weighs multiple risk and trust indicators with the accuracy needed to trigger real-time responses. Deny, challenge, allow and trust actions can be quickly added via API to automate interdiction or alleviate friction in your applications. You can also natively orchestrate step-ups using our passwordless, MFA and ID verification services.

If you didn’t go passwordless this holiday or add real-time risk and trust assessments, we suggest making one or both part of your New Year’s resolution to prevent customer account fraud in 2023.

See why KuppingerCole named Transmit Security an ‘Overall Leader’ in 3 Leadership Compass Reports: Passwordless Authentication, CIAM and Fraud Reduction Intelligence Platforms.

Author

  • Brooks Flanders, Marketing Content Manager

    米国が全国的なサイバーアラートシステムを立ち上げた2004年、世界最大級のサイバーセキュリティ企業で執筆活動を開始。当時は、企業におけるセキュリティや、通常の防御を迂回することを意図した非常に巧妙な脅威について論じていました。それから16年が経ちますが、複雑なセキュリティ問題の解決に取り組む企業を支援することへの熱意は、一向に衰えを見せません。

    View all posts