Table of Contents

APP 詐欺とは何か、そしてそれを最終的に阻止するにはどうすればよいか?

フィッシング攻撃ほど陰険なものはないと考えているなら、もう一度考え直してください。防止するのがさらに難しい別の形式のソーシャル エンジニアリングがあります。承認されたプッシュ支払い(APP)詐欺は、2022年にデジタルバンキング詐欺全体の75%という驚異的な割合を占めました。APP詐欺による金銭的損失は、今後4年間で英国、インド、米国全体で2倍になり、 2026年までに52億5,000万ドルに達すると予測されています。

APP 詐欺が増加している理由は、企業にはそれを阻止する方法がないからです。結局、顧客は喜んで支払いを承認します。これはどうして起こるのでしょうか?APP 詐欺は、詐欺師が被害者が信頼している銀行、水道、電力会社などの企業やサービスの関係者になりすまし、個人に金銭の借りがある(またはその他の嘘)と伝えることで発生します。詐欺師は、切迫感を演出することで、被害者を説得し、被害者の銀行口座から詐欺師が管理する口座(多くの場合、犯罪者に代わって違法な資金を移動するために使われるミュール口座)に資金を振り込ませます。

操り人形にされ、一瞬にして貯蓄をすべて失ってしまった被害者もいる。一度送金されると、その取引は被害者によって承認されているため、取り戻すことはほぼ不可能です。これは、「承認されたプッシュ支払い」という用語が示すとおりです。損失の責任は誰にあるのでしょうか?それは議論中の問題です。英国では、ファスターペイメントシステムの規制当局が、2024年10月から銀行に対し、企業被害者への補償を義務付ける予定だ

このブログ記事では、APP 詐欺が今日の防御をすり抜ける仕組みと、詐欺師が被害者を騙すために使用する戦術について説明します。最も重要なことは、お金が送金される前に、APP 詐欺を防止するための新しい方法と戦略について学ぶことです。

APP詐欺を防ぐのがなぜ難しいのか

従来の顧客 ID およびアクセス管理 (CIAM) ソリューションは、ログイン時にクレデンシャル スタッフィング、フィッシング、ブルート フォースなどの手段で始まるアカウント乗っ取り (ATO) 詐欺を検出するように設計されています。しかし、APP 詐欺では、正当なユーザーが送金を認証するため、同じ戦術を採用する必要はありません。その結果、一般的な ATO 検出技術は機能しなくなります。

確かに、APP 詐欺について顧客に警告しようとするかもしれませんが、私たちは皆、フィッシングやソーシャル エンジニアリングについて何年も大声で叫び続けてきましたが、結果は残念なものでした。詐欺師は、知識が乏しく、疑いの心も薄い高齢者をターゲットにして成功することが多い。

APP詐欺:その手口

彼らは詐欺の達人であり、「あなたの請求書は支払期限を過ぎています…」や「あなたのアカウントはハッキングされました」などと被害者に告げて緊急感を煽ります。説得術の鍵となるのは、被害者に関する漏洩情報を利用し、緊迫感を生み出すことだ。被害者は影響を恐れて、すぐにお金を送金します。これは、電子メール、電話、テキスト メッセージなど、さまざまなチャネルを通じて発生する可能性があります。

詐欺師がなりすましによって被害者を騙す方法の例:

  • 銀行: 詐欺師は、銀行口座に不審な動きがあったと主張し、資金を保護するために「安全な口座」に資金を移すように被害者にアドバイスします。
  • 公共料金またはサービス提供者: 被害者は未払いの請求書があると告げられることが多く、サービス (水道、電気、ガス、ケーブルテレビ、インターネット サービス) を失うことへの恐怖から、生活の快適さが断たれるのを避けるために急いで支払いをしようとします。
  • 政府機関: 詐欺師は、例えば税務署に勤務していると主張し、被害者に未払いの税金や罰金があると言います。
  • 家賃詐欺: 詐欺師は家主または不動産業者を装い、物件を確保するために被害者に保証金や最初の月の家賃を振り込むように要求します。
  • 投資機会: 詐欺師は、実際には存在しない信じられないほど良い「投資」のために資金を送金するように被害者を説得します。
  • 家族の緊急事態詐欺: 法的トラブルや医療費などの緊急事態のためにすぐにお金が必要な、困っている家族、多くの場合は孫を装います。被害者は愛する人を心配して、お金を送金します。
  • ロマンス詐欺: オンラインでつながった後、詐欺師は新しい恋愛対象者に、健康上の問題などの緊急事態があり、緊急に資金が必要であると伝えます。

これらすべての不自然なシナリオにおいて、重要な要素は欺瞞であり、被害者に正当かつ緊急の理由で送金していると信じ込ませることです。警告がポップアップ表示された場合でも、詐欺師は「それは常に表示される標準的な警告です」と言って、顧客にそれを無視するよう説得します。その窓を閉じてください。」とても滑らかです。

APP詐欺を防ぐ方法

理想的な世界では、消費者(被害者になる可能性のある人)は、特に迷惑な通信によって促された場合、送金を行う前に受取人を確認する必要があることを認識しています。しかし、フィッシング攻撃から学んだように、銀行やその他の企業は、顧客が自らを守ることに頼ることはできません。

明らかにセキュリティにギャップがあり、APP 詐欺検出が切実に必要とされています。これを念頭に置いて、Transmit Security は、この非常に欺瞞的なソーシャル エンジニアリングを検出するための新しいアプローチを開発し、 3 段階のプロセスを構築しました。

  1. 疑わしい取引や行動の検出
  2. 顧客との交流を増やす
  3. 送金受取人との連絡と確認

ステップ1: 疑わしい行動や取引の検出

ユーザージャーニー全体で収集された情報に基づいて疑わしい動作を検出することが重要です。ユーザーは通常よりも頻繁に一時停止していますか?そうであれば、顧客が指導を受けている可能性があります。あるいは、彼らは「流暢すぎる」ので、通常よりも早く進んでいるのかもしれません。おそらく彼らは通常のパターンから外れた活動を行っているのでしょう。その個人の規範から逸脱した行動は、詐欺師が支配していることを示している可能性があります。Transmit Security の高度な行動バイオメトリクスを使用すると、これらすべてを検出できます。

トランザクション インテリジェンスは継続的に分析され、異常が検出されます。たとえば、送金先が新しい受取人または通常とは異なる受取人であるか、また同様の取引が頻繁に発生しているかなどです。もしそうなら、これらは明らかなリスクシグナルです。取引の規模も APP 詐欺の兆候となる場合があります。たとえば、金額が銀行の追加管理のしきい値をわずかに下回っている場合、これは詐欺師がレーダーをすり抜けようとしている可能性があります。

コンテキスト認識型のオーケストレーションされたセキュリティは、デバイスとネットワークの評判、ミュール アカウント、およびターゲットとなる銀行 (通常は口座開設プロセスが簡単な銀行) のリストもチェックします。APP 詐欺の標的になりやすいのは高齢者であるため、コールセンターの情報も調べ、顧客の年齢も考慮に入れます。

機械学習(ML)とAI リアルタイムで発生しているすべての事象の完全なコンテキストでリスク信号を分析し、疑わしい取引を検出して、お金が失われる前に APP 詐欺を阻止します。

ステップ2: 顧客との交流を増やす

Transmit Security は、顧客と詐欺師との摩擦を高め、 APP 詐欺の成功率を大幅に削減する方法を考案しました。リスクの高い取引の兆候が十分にある場合、当社のソリューションを使用すると、次のことを理解するのに役立つ答えを調査できます。

  • 移転の理由
  • 顧客がお金の受取人についてどれだけ知っているか
  • 顧客への連絡方法(連絡があった場合)
  • お金の受取人が誰なのか、電話番号、会社名、リアルタイムで確認できる情報を取得します。

上記のすべての情報により、Transmit Security は取引のリスク レベルを迅速に再評価できます。

ステップ3: 送金受取人(個人および企業)の確認と検証

個人でも企業でも、データ検証を使用して、送金先の電話番号 (プリペイド番号はリスクを示します)、電子メール アドレス (誰がいつ登録したか)、または会社の Web サイト (誰がいつ登録したか) を確認します。同時に、受信者のメールアドレスと会社の Web サイトが一致しているかどうかを確認します。

データが正当であると思われる場合、最後のステップは企業および/または個人の検証です。ビジネスを検証する際は、当社の最先端の Know Your Business (KYB) 検証方法を活用してください。個人の場合は、送金受取人に連絡し、本人確認を行って写真付き身分証明書と自撮り写真を分析します。同時に、お金の受取人のデバイスの指紋を確認することもできます。

セキュリティ検出と対応の送信

ルールとモデルが過去の観察のみに基づく従来の反応型アプローチから脱却する時が来ています。これから起こることに備えてください。

  • 高度な異常検出:異常や新たな詐欺行為の検出を効率化し、進化する脅威に常に一歩先んじます。
  • ダーク ウェブと脅威インテリジェンス: Transmit Security の脅威調査チームは、ダーク ウェブを継続的に監視し、脅威インテリジェンスを活用して新たなリスクに積極的に対処します。今後、当社は、より迅速にお客様を保護するために、APP 詐欺に関連する電子メール アドレス、標的のミュール アカウント、電話番号、デバイス ID のブラック リストを構築し続けます。

当社製品は不正管理を再定義し、最先端のテクノロジーとユーザー中心の設計を組み合わせた包括的なソリューションを提供することで、進化する APP 戦術を常に先取りできるようにします。検出と対応について詳しく知るか、ミーティングをリクエストして、最も困難な ID と詐欺の課題の解決をお手伝いします。

Authors

  • Danny Kadyshevitch, Senior Product Manager
  • Brooks Flanders, Marketing Content Manager

    米国が全国的なサイバーアラートシステムを立ち上げた2004年、世界最大級のサイバーセキュリティ企業で執筆活動を開始。当時は、企業におけるセキュリティや、通常の防御を迂回することを意図した非常に巧妙な脅威について論じていました。それから16年が経ちますが、複雑なセキュリティ問題の解決に取り組む企業を支援することへの熱意は、一向に衰えを見せません。

    View all posts