Bedrägerier är en stor utmaning för företagare. Du kan ha en populär produkt, många lojala kunder och erbjuda fantastisk kundservice, men inget av detta kommer att skydda ditt företag från bedrägliga aktörer som försöker bryta sig in i dina användares konton. Kontokapningsbedrägerier är en av de vanligaste formerna av identitetsstöld och utgjorde 53 % av alla befintliga kontobedrägerier 2019. Denna typ av bedrägerier är ett stort ansvar för företag. Kontokapningsbedrägerier kostade amerikanska företag 25,6 miljarder USD 2020 – en ökning med 500 % från 2017, enligt Juniper Research. Dessa kontointrång kan skada ett företags anseende såväl som det förtroende det har byggt upp hos befintliga kunder.

Eftersom mängden pengar som går förlorade på grund av kontokapningsbedrägerier ökar varje år behöver onlineföretag en plan för att upptäcka och blockera bedrägliga aktörer innan de slår till. Här är vad du behöver veta för att identifiera och förhindra kontokapningsbedrägerier.

Vad innehåller den här artikeln?

• Vad är kontokapningsbedrägeri?
  
• Typer av kontokapningsbedrägeri
  
• Så skadar kontokapningsbedrägeri företag
  
• Sätt att identifiera och förhindra kontokapningsbedrägerier
  

Vad är kontokapningsbedrägeri?

Kontokapningsbedrägeri, även känt som kontointrång eller hackat konto, är när en bedräglig aktör tar kontroll över en legitim kunds konto för att tillskansa sig kontoinformation eller pengar. Detta kan gälla alla typer av onlinekonton, från bankkonton till konton hos matleveransföretag. Beroende på vilken typ av konto som har utsatts för intrånget kan den bedrägliga aktören använda den information man fått åtkomst till för att utge sig för att vara kunden och öppna ett nytt bankkonto, beställa ett nytt kreditkort, lösa in bonuspoäng eller handla eller beställa mat på webbplatser. De kan också använda informationen de får tillgång till för att komma åt andra konton eller sälja kontoinformationen till illasinnade aktörer.

Typer av kontokapningsbedrägeri

Enligt en studie från 2020 av Aite Group sa 38 % av konsumenter att de nyligen hade blivit utsatta för kontokapningsbedrägeri. Denna typ av bedrägeri kan ske på många olika sätt.

• Nätfiske
  Nätfiskebedrägerier sker vanligtvis via e-post eller sms. Kunden får ett meddelande som ber om donationer eller personlig information, eller som uppmanar dem att klicka på en länk eller bilaga som automatiskt installerar skadlig kod på deras enhet.

• Skadlig programvara
  Skadlig programvara, även känt som sabotageprogram, är all programvara som utvecklats i syfte att genom intrång skada eller få obehörig åtkomst till en enhet. En trojan är en typ av skadlig kod som tar kontroll över en användares enhet, vilket gör det möjligt för hackare att fånga upp information, t.ex. bankkonto- eller kreditkortsuppgifter. Mobilbanktrojaner är speciellt utformade för att stjäla från bankkonton och visar ofta en falsk sida som liknar en riktig mobilbankapp. Sidan används för att inhämta användarens konto- och auktoriseringsuppgifter.

• Stulen inloggningsattack (credential stuffing)
  Att använda listor över komprometterade eller stulna användaruppgifter för att bryta sig in i ett konto kallas stulen inloggningsattack. Det engelska namnet är credential stuffing. Eftersom många använder samma kombination av användarnamn och lösenord för flera konton kan hackare få tillgång till flera konton om de upptäcker inloggningsuppgifter för ett konto.

• Uttömmande attack
  Att försöka få åtkomst genom att prova olika kombinationer av användarnamn och lösenord tills man lyckas låsa upp kontot kallas för uttömmande attack eller brute force-attack. Bedragare använder ofta listor med vanliga lösenord som skapats av bottar för att hitta ett giltigt lösenord, eller så använder de bottar för att prova olika kombinationer av slumpmässiga tecken tills de avslöjar en användares lösenord.

• Man-i-mitten-attack
  En man-i-mitten-attack (man-in-the-middle, MITM) inträffar när en bedräglig aktör hittar ett sätt att komma emellan en användare och ett program som de försöker komma åt, till exempel en e-handelswebbplats eller mobilbankapp. En vanlig typ av man-i-mitten-attack innebär att man skapar en bedräglig wifi-hotspot och stjäl inloggningsuppgifter, kontouppgifter och kreditkortsnummer från personer som försöker ansluta till denna hotspot.

• Sessionskapning
  Att ta kontroll över sessionen när en användare loggar in på en onlinetjänst betraktas som sessionskapning. Om en användare till exempel loggar in på sitt konto hos en nätbutik för att göra ett nytt köp, kan kaparen stjäla alla kreditkortsuppgifter som behövs för att göra bedrägliga debiteringar.

• SIM swap fraud
  Detta är en typ av bedrägeri där någon annans SIM-kort används. En bedräglig aktör kontaktar offrets mobiltelefonoperatör och utger sig för att vara offret för att lura en medarbetare på kundtjänst att flytta offrets telefonnummer till ett annat SIM-kort. Genom att ta kontroll över offrets telefonnummer kan den bedrägliga aktören få tillgång till bankuppgifter eller utföra transaktioner som kräver autentisering via sms.

Så skadar kontokapningsbedrägeri företag

Alla typer av bedräglig aktivitet utgör en allvarlig risk för onlineföretag, och kontokapningsbedrägerier är inget undantag. Här är de sätt på vilka kontokapningsbedrägeri kan skada ditt företag; det handlar om allt från problem med att behålla kunder till ekonomiska konsekvenser.

Skadat anseende
Ett företags anseende kan skadas allvarligt av ett kontointrång. Det är viktigt för kunder att deras personuppgifter och data är säkra och skyddade, och när de hör om kontokapningsbedrägerier på sociala medier eller i nyheterna kan det avskräcka dem från att öppna ett konto hos det företaget. Ett anseende skadas snabbt, men att bygga upp det igen tar mycket längre tid.

Problem med kundretention
Nyheter om att man blivit hackad kan också påverka befintliga kunder. De som inte påverkades av ett intrång kan bli skrämda och stänga sina konton som en försiktighetsåtgärd. En global undersökning av Vodafone visade att 89 % av företag sa att förbättrad cybersäkerhet skulle öka kundernas lojalitet och förtroende.

Ekonomiska påföljder
De ekonomiska påföljder som är förknippade med kontokapningsbedrägerier kan blir omfattande. Om en hackare gör ett bedrägligt köp via en kunds konto får kontoägaren vanligtvis en återbetalning från utfärdaren av kreditkortet efter att ha bestridit transaktionen. Företaget som sålde de köpta varorna förlorar dock dessa intäkter, produkterna som skickats till den bedrägliga aktören och måste vanligtvis betala en avgift för återkreditering (chargeback) till betalleverantören. Det kan bli ännu dyrare om bedrägerierna fortsätter. Ett företag som upplever en hög andel bedrägeri kan placeras i ett övervakningsprogram för återkreditering av betalningsnätverket, debiteras högre avgifter för betalningshantering eller till och med helt förbjudas av en betalleverantör.

Utöver återkrediteringsavgifter kan bestämmelser i den allmänna dataskyddsförordningen (GDPR) och andra integritetslagar också leda till böter för underlåtenhet att skydda kunduppgifter. Enligt GDP står böterna i proportion till händelsen, men företag som begått mindre allvarliga överträdelser kan bötfällas med flera miljoner euro.

Sätt att identifiera och förhindra kontokapningsbedrägerier

Nyckeln till att skydda ditt företag från kontokapningsbedrägeri är att vara proaktiv snarare än reaktiv. Detta innebär att vidta åtgärder för att identifiera och blockera bedrägliga aktörer innan de har möjlighet att utföra ett intrång. Eftersom olika typer av kontokapningsbedrägerier blir tydliga på olika sätt måste företag vara vaksamma när det gäller att upptäcka och förebygga dem.

Här är några åtgärder du kan vidta för att skydda ditt företag:

Övervaka kontoändringar
Vissa typer av bedrägeri har inbyggda varningstecken, till exempel när olika kunders uppgifter ändras samtidigt eller när flera konton plötsligt uppdateras till samma kunduppgifter. Men avancerade attacker är mer subtila och kräver att man lägger märke till ett beteendemönster, till exempel när någon uppdaterar en kunds uppgifter, snabbt loggar in från en ny enhet och sedan beställer produkter till en leveransadress som inte tidigare angivits. Maskininlärningsverktyg, som Stripe Radar, använder data för att hjälpa företag att skilja bedrägliga aktörer från verkliga kunder och kan anpassa sig till nya bedrägerimönster.

Några enkla ändringar som du kan implementera för att hjälpa till att upptäcka kontokapningar innan en bedräglig aktör kan göra verklig skada inkluderar att be användare att verifiera sin identitet innan de gör ändringar i kontouppgifter (med hjälp av tvåfaktorsautentisering) och meddela användare omedelbart om eventuella kontoändringar.

Varningar om inkonsekvent enhetsanvändning
En annan viktig aspekt av att upptäcka bedrägerier är att hålla utkik efter misstänkta enheter som är kopplade till användarkonton. Till exempel är flera konton som är kopplade till samma enhet eller konton som har ett ovanligt stort antal enheter med "okända" modeller på grund av enhetsförfalskning – som låtsas vara en annan enhet för att dölja din verkliga identitet eller lura ett system – tecken på potentiella intrång. Om IP-adresserna för inloggning finns i flera länder kan detta också vara ett tecken på ovanlig aktivitet. Att använda effektiva maskininlärningsverktyg för att upptäcka dessa avvikande mönster tidigt sparar företag tid och pengar längre fram.

Alla Stripe-konton har tillgång till maskininlärningsverktyg som gör det möjligt för företag att växa samtidigt som de skyddar sig mot bedrägerier. För att bättre förstå hur Stripe Radar använder data från hundratals miljarder dollar i betalningar varje år för att korrekt identifiera och förhindra kontokapningsbedrägerier kan du läs den här artikeln.