Öppnandet av onlinekonton förväntas öka med mer än 13 % årligen fram till slutet av 2028, vilket ökar möjligheterna för bedrägeri med nya konton. Falsk kontoskapande är processen av att öppna konton med hjälp av fabricerade eller stulna identitetssignaler. Det kan se ut som ett problem med ditt registreringssystem, men det är egentligen ett ekonomiskt problem. Angripare skapar konton i stora volymer eftersom kostnaden är låg och den potentiella avkastningen är hög. Framgångsrika förebyggande åtgärder behöver höja den kostnaden för angriparna tills verksamheten inte längre är lönsam för dem.
Nedan utforskar vi hur man identifierar falska konton, varför registrering är en föredragen ingångspunkt och hur detektering på registreringsnivå passar in i ett bredare bedrägeriförsvar.
Viktiga punkter
Falska konton är ofta en ingångspunktsinfrastruktur för missbruk nedströms, som att utnyttja kostnadsfria provperioder, dataskrapning via API och betalningsbedrägeri.
Detektering av falska konton bygger till stor del på korrelation av enhets-, nätverks-, beteende- och identitetssignaler över flera registreringsförsök.
System som detekterar falskt kontoskapande kan höja arbetet som krävs för skadliga registreringar. De kan kombineras med övervakning efter registrering för att fånga upp bedrägerier som tagit sig igenom eller konverterar senare.
Vad är skapande av falska konton?
Skapande av falska konton är en typ av bedrägeri som innebär att man öppnar konton med falsk eller stulen information. Det kan inkludera genererade e-postadresser, VoIP-telefonnummer – som tillåter telefonsamtal via virtuella nummer istället för fasta linjer – eller påhittade namn eller kombinationer av verkliga uppgifter som i verkligheten inte tillhör samma person.
Den viktigaste skillnaden mellan ett falskt konto och ett normalt är avsikten. En legitim användare registrerar sig för att använda din produkt. Ett falskt konto skapas för att utvinna värde från plattformen eller möjliggöra någon form av missbruk.
Vad motiverar skapandet av falska konton?
Skapandet av falska konton är sällan slutmålet. Det är vanligtvis infrastrukturen som möjliggör andra former av missbruk.
Här är anledningarna till att angripare skapar falska konton.
Missbruk av kostnadsfria provperioder och kampanjer
Alla typer av registreringsbonusar är måltavlor: kostnadsfria provperioder, krediter, värvningsbonusar eller registreringsbelöningar. Angripare skapar konton i stor skala för att upprepade gånger utnyttja dessa förmåner. En samordnad kampanj kan tömma en kampanjbudget på några timmar.
Skräppost och plattformsmanipulation
På marknadsplatser, sociala plattformar och recensionssajter är falska konton råmaterial för manipulation. De möjliggör falska recensioner, uppblåsta följarantal, samordnat engagemang och andra former av autentisk aktivitet.
API och dataskrapning
Webb-API:er för dataskrapning används för att extrahera data från webbplatser. Autentiserade användare får ofta högre API-frekvensgränser än anonym trafik. Falska konton låter angripare fördela skrapningsaktiviteten över flera autentiserade sessioner och kringgå begränsningar per konto.
Infrastruktur för stulen inloggningsattack
Angripare som kör kampanjer med stulna inloggningsattacker behöver infrastruktur för att göra det. Registreringsflöden kan användas för att validera e-postformat, testa vilka domäner som tar emot e-post, eller skapa konton som senare används för att testa stulna inloggningsuppgifter. I vissa fall säljs eller återanvänds nyligen skapade konton som en del av större bedrägeriverksamheter.
Förberedelse för betalningsbedrägeri
I finansiella miljöer eller på marknadsplatser kan falska konton användas för att testa stulna kortnummer, genomföra mindre carding-försök eller etablera en tillfällig företagsidentitet som ser legitim ut tillräckligt länge för att behandla bedrägliga transaktioner.
Vilka är varningssignalerna för skapandet av falska konton vid registrering?
Ingen enskild signal identifierar tillförlitligt ett falskt konto. Detektering fungerar genom att kombinera signaler som sammantaget är svåra att förklara som normalt användarbeteende.
Här är några varningssignaler som kan tyda på ont uppsåt.
E-postsignaler
Engångsdomäner för e-post: Tjänster med tillfälliga inkorgar missbrukas ofta eftersom de gör det enkelt att skapa konton utan att bibehålla långvarig åtkomst. Vissa välkända leverantörer är lätta att blockera, men mindre tjänster roterar kontinuerligt domäner för att undvika blockeringslistor.
Genererade aliasmönster: Skapande av konton i stor mängd producerar ofta förutsägbara mönster och använder sekventiella variationer som "användare1@", "användare2@" och så vidare, eller långa strängar av slumpmässiga tecken.
Väldigt nya domäner: Legitima användare registrerar sig sällan med domäner som registrerades för bara några dagar sedan. Konton som använder väldigt nyligen registrerade domäner bör granskas extra noggrant.
Enhets- och nätverkssignaler
Återanvändning av enhetens fingeravtryck: Webbläsarkonfiguration, skärmupplösning, installerade teckensnitt och grafikfingeravtryck upprepas ofta i konton som skapats av samma automatiseringssystem, även när IP-adresser och identitetsuppgifter ändras.
IP-adresser från datacenter eller proxytjänster: Trafik som härrör från molnleverantörer, VPN-tjänster eller Tor-utgångsnoder bär en högre risk än trafik från privata internetleverantörer (ISP).
Registreringshastighet: En plötslig mängd nya konton från ett enskilt IP-intervall, autonomt systemnummer (ASN) eller enhets fingeravtryck kan vara en tidig indikator på en samordnad kampanj.
Beteendesignaler
Formulär som fylls i med orealistisk hastighet: En verklig person behöver tid för att läsa och fylla i fält. När ett registreringsformulär fylls i på bråkdelar av en sekund är automatisering den troliga förklaringen.
Perfekta inmatningsmönster: Människor tvekar, skriver fel och korrigerar sig själva. Ren, linjär inmatning utan pauser eller backsteg antyder ofta scriptad formulärifyllning.
Mekaniska musrörelser: Botar producerar antingen inga musrörelser alls, eller rörelsemönster som följer raka, enhetliga banor snarare än de oregelbundna mönstren hos mänsklig interaktion.
Signaler för identitetssammanhang
VoIP-telefonnummer: Nummer som tillhandahålls via VoIP-tjänster är billigare och enklare att anskaffa i mängder än mobilnummer, vilket gör dem vanliga i kampanjer för att skapa falska konton.
Inkonsekvenser i lokala inställningar: Språkinställningar, adressformat, valutainställningar och angiven geografisk plats bör ungefär stämma överens. När de inte gör det är identiteten bakom kontot mindre trovärdig.
Hur detekterar man falskt kontoskapande genom signalkorrelation?
När det gäller att detektera bedrägeri med flera konton vid registrering är enskilda signaler användbara, men den mest effektiva detekteringen kommer från korrelation mellan konton. Även när angripare varierar namn, e-postadresser och IP-adresser kvarstår andra mönster. Istället för att utvärdera registreringar en i taget grupperar många system konton i kluster baserat på delade attribut och frågar om det här klustret ser ut som normalt beteende.
Signaler som vanligtvis används för klustring inkluderar:
Likhet i enhetens fingeravtryck: Delade webbläsarkonfigurationer, skärmstorlekar eller grafiska fingeravtryck
Nätverksmönster: IP-proximitet, ASN-ägande och huruvida trafiken härstammar från hemnätverk eller molninfrastruktur
Beteendesekvenser: Ordningen och tidpunkten för åtgärder vid registrering, vilket kan identifiera verktyg för fingeravtrycksautomatisering
Överlappande identiteter: Liknande e-postadresser, återanvända telefonnummer eller delvis matchande adresser
Hastighet och acceleration: Plötsliga aktivitetstoppar från infrastruktur som tidigare inte genererade någon trafik
Vilka strategier fungerar för att förhindra skapandet av falska konton, utan att blockera riktiga användare?
Effektiva försvar mot skapandet av falska konton är uppbyggda i lager. De bör också vara proportionerliga mot den risksignal du faktiskt ser.
Tänk på följande:
Frekvensbegränsning och hastighetskontroller: Att begränsa registreringar per IP-adress, enhetens fingeravtryck eller e-postdomän är ett enkelt första lager som stoppar automatisering utan att påverka riktiga användare.
Beteendebaserad bot-detektering: Osynlig beteendeanalys, som musrörelser, skrivmönster och interaktionstiming, kan filtrera bort botar utan att visa någon synlig autentiseringsfråga för människor. Svåra CAPTCHA-tester (Completely Automated Public Turing tests to tell Computers and Humans Apart) lämpar sig bäst för tvetydiga fall snarare än att tillämpas universellt.
Progressiv verifiering: Istället för att tvinga varje användare genom samma verifieringsflöde, eskalera kontrollerna bara när risken ökar. En användare som registrerar sig från ett hemnätverk med normala interaktionsmönster kan passera utan friktion, medan en IP-adress från ett datacenter kombinerat med engångsdomäner för e-post kan utlösa telefonverifiering.
Behandla verifiering som en risksignal: E-post- och telefonverifiering bör inte bara ses som hinder. Att slutföra verifiering med ett legitimt mobilnummer sänker risken och höjer kostnaden för att skapa falska konton i stor skala.
Riskbaserade spärrar: När signalerna är tvetydiga kan konton skapas i ett begränsat tillstånd, med begränsad API-åtkomst, inga provkrediter eller reducerad funktionalitet. Kapaciteten utökas när kontot uppvisar legitimt beteende över tid.
Detekteringsprogramvara: Det finns smarta verktyg för att minska bedrägerier under registreringsprocessen, som programvara som identifierar skapandet av falska konton. Du kan också överväga verktyg som flaggar misstänkt beteende i kölvattnet av skapandet av falska konton, som Stripe Radar, som använder artificiell intelligens (AI) tränad på data från miljontals globala företag för att identifiera bedrägerier mer exakt.
Räcker det att blockera falskt kontoskapande vid registrering?
Registreringskontroller är nödvändiga, men de räcker inte på egen hand. Attacktekniker utvecklas ständigt. VoIP-detektering tappar i effektivitet när angripare övergår till SIM-farmer (subscriber identity module). Enhetens fingeravtryck försvagas i takt med att automatiseringsverktygen förbättras. Alla statiska detekteringsmetoder kommer förr eller senare att kringgås.
Vad registreringsdetektering gör väl är att höja inträdesbarriären. En kampanj som tidigare krävde minimal insats kan nu kräva mer infrastruktur, mer tid och mer pengar per konto. Lågmarginalmissbruk, som att utnyttja gratisperioder, kan göra kampanjer olönsamma om det ökar.
Målinriktade bedragare kommer sannolikt att anpassa sig, vilket är anledningen till att ett effektivt system behandlar registreringsskydd som ett lager i en bredare strategi.
Så här ser en praktisk, djupgående modell ut:
Registreringskontroller: Signalkorrelation, hastighetsbegränsningar och progressiv verifiering minskar den falska kontouppsättningen innan den skapas.
Övervakning efter registrering: Ovanligt beteende, onormala betalningsmönster, misstänkt API-användning och samordnade åtgärder kan avslöja missbruk som smiter igenom.
Kontots anseende över tid: Konton som beter sig normalt i månader innan de används på ett missbrukande sätt kräver detekteringsmodeller som fokuserar på beteendeförskjutning snarare än registreringssignaler.
Att stoppa falska konton helt är inte realistiskt. Målet måste vara att göra storskaligt missbruk kostsamt, detekterbart och ohållbart.
Hur Stripe Radar kan hjälpa till
Stripe Radar använder AI-modeller som tränats på data från Stripes globala nätverk och uppdateras kontinuerligt baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägerierna utvecklas.
Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.
Radar kan hjälpa ditt företag att:
Förhindra bedrägeriförluster: Stripe hanterar över 1 biljon USD i betalningar årligen. Denna omfattning gör det möjligt för Radar att på ett korrekt sätt upptäcka och förhindra bedrägerier, vilket sparar pengar.
Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.
Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.
Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.