Identitetsriskbedömning: Varför det är viktigt och när man bör använda det

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Vad är identitetsriskbedömning?
  3. Vilka signaler driver vanligtvis identitetsanalys?
    1. Enhetssignaler
    2. Nätverkssignaler
    3. Beteendebiometri
    4. Signaler för identitetsattribut
    5. Kontoövergripande kopplingar
  4. Varför misslyckas statiska regler där identitetsriskbedömning lyckas?
    1. Binära beslut om kontinuerliga fördelningar
    2. Angriparens anpassning
    3. Gråzonen
  5. Var spelar identitetsriskbedömning roll?
    1. Skapande av konto
    2. Aktivering av gratis provperiod
    3. Inlösen av kampanjer och värvningar
    4. Inloggning
  6. Hur utvärderar man en plattform för identitetsriskbedömning?
    1. Signaltäckning och aktualitet
    2. Realtidsprestanda
    3. Precision och andel falska positiva
    4. Integrationsalternativ
    5. Driftsverktyg
  7. Hur driver och justerar man ett identitetsriskbedömningssystem över tid?
    1. Ange trösklar baserade på risktolerans
    2. Övervaka förskjutning
    3. Bygg återkopplingsloopar
    4. Se över trösklar regelbundet
  8. Hur Stripe Radar kan hjälpa till

För att skapa ett konto måste en användare ange någon kombination av e-postadress, telefonnummer och namn. Men eftersom den här informationen kan fabriceras på sekunder ger den inte mycket användbar information om användarens faktiska identitet. Andra datapunkter är betydligt mer relevanta: enheten användaren befinner sig på, nätverket de ansluter från, hur de rört sig genom ditt registreringsformulär och mer.

Identitetsriskbedömning är den cybersäkerhetsprocess som tilldelar en risknivå till en identitet och omvandlar dessa överskjutande signaler till ett beslut. Nedan förklarar vi vad identitetsriskbedömning är, varför statiska regler inte kan upptäcka moderna missbruksmönster och hur man utvärderar och hanterar ett bedömningssystem när det väl är på plats.

Viktiga punkter

  • Identitetsriskbedömning väger dussintals signaler samtidigt istället för att förlita sig på ett enda attribut. Det är betydligt svårare för angripare att kringgå än statiska regeluppsättningar.

  • Aktivering av provperioder, inlösen av kampanjer och inloggningar är några av de mest värdefulla tillfällena att tillämpa bedömningen.

  • Team bör alltid använda löpande tröskelinställningar och återkopplingsloopar när de driftsätter en bedömningsplattform.

Vad är identitetsriskbedömning?

Identitetsriskbedömning tilldelar ett numeriskt eller kategoriskt riskvärde till ett identitetsförsök baserat på den samlade vikten av signaler som är närvarande i det ögonblicket. Istället för att fokusera på om användarens e-postadress i sig är verklig tittar det på om försöket som helhet stämmer överens med hur ett legitimt försök från en verklig användare skulle se ut.

Vilka signaler driver vanligtvis identitetsanalys?

Ingen enskild datapunkt berättar om en registrering är legitim. Plattformar för identitetsanalys och riskbedömning aggregerar signaler inom fem distinkta kategorier:

Enhetssignaler

Ett enhetsfingeravtryck aggregerar webbläsarversion, installerade typsnitt, skärmupplösning och hårdvaruspecifikationer till en pseudonym identifierare som kvarstår mellan sessioner. Det innebär att en enhet kopplad till tidigare bedrägeri eller missbruk flaggas även när kontots inloggningsuppgifter ändras. Plattformar letar också efter tecken på automatisering, som headless-webbläsare, saknade förväntade API:er eller attributkombinationer som inte förekommer i verkliga konsumentenheter.

Nätverkssignaler

IP-rykte spelar större roll än själva IP-adressen – till exempel om den är kopplad till ett datacenter, en känd leverantör av virtuella privata nätverk (VPN), Tor-utgångsnoder eller ett bostadsproxynätverk som kriminella använder för att imitera vanlig konsumenttrafik. Hastighet på nätverksnivå, exempelvis 50 registreringar från samma undernätverk på en timme, är i sig en signal om bedräglig aktivitet.

Beteendebiometri

Skrivrytm, musrörelsemönster, tid spenderad på varje fält och huruvida en användare kopierar och klistrar in kontra skriver sin e-postadress – allt detta ger mätbara mönster. Bottar och skriptade verktyg genererar statistiskt distinkta signaturer jämfört med människor, och det är ett pågående ingenjörsproblem för angripare att naturalisera dessa mönster.

Signaler för identitetsattribut

E-postadressens ålder, domänrykte, huruvida adressen matchar mönster för e-postadresser för engångsbruk, telefonnummertyp (t.ex. Voice over Internet Protocol eller VoIP, utfärdat av mobiloperatör) är svaga signaler var för sig, men i kombination med andra är de betydelsefulla.

Kontoövergripande kopplingar

Om fem konton delar ett enhetsfingeravtryck, eller 20 konton skapades från samma IP-intervall under en vecka, är dessa kopplingar signaler. En plattform med bred täckning över många företag kan identifiera mönster som ingen enskild operatör någonsin skulle se på egen hand.

Varför misslyckas statiska regler där identitetsriskbedömning lyckas?

Statiska regler är fasta mål. Angripare byter till bostadsproxyservrar när datacenter-IP-adresser blockeras, övergår till anpassade domäner när regler för engångsadresser aktiveras och sprider trafik över IP-adresser när hastighetsbegränsningar slås på.

Så här hanterar bedömning dessa fellägen:

Binära beslut om kontinuerliga fördelningar

Verklig trafik befinner sig på ett spektrum mellan legitim och bedräglig, och överlappningszonen är bred. En VPN-användare med en ren historik och normalt beteende är annorlunda än en VPN-användare på en flaggad bostadsproxyserver med botliknande skrivmönster och en tre minuter gammal e-postadress. En statisk regel kan inte uttrycka den skillnaden, men en bedömning klarar av det.

Angriparens anpassning

När bedragare byter taktik märker ett regelbaserat system ingenting förrän någon skriver en ny regel. Ett bedömningssystem som tränats på beteendemönster kan upptäcka den nya taktiken som en avvikelse i förhållande till sin baslinje för legitim trafik, ofta innan den uttryckligen markerats som bedräglig.

Gråzonen

Många produktionssystem använder hårda regler för tydligt diskvalificerande signaler, såsom känd skadlig infrastruktur eller matchningar på sanktionslistor, och gör bedömningar för allt däremellan.

Var spelar identitetsriskbedömning roll?

Mönster för missbruk följer användare genom hela deras livscykel på din plattform. Riskbedömning tillämpas vid var och en av följande punkter, där identitet bekräftas eller potentiellt utnyttjas.

Skapande av konto

Några uppenbara mål för missbruk är utnyttjande av gratisnivåer, farmande av uppgifter, falska granskningskonton och kampanjutnyttjande. En bedömning vid registreringen är din första och ibland enda möjlighet att fånga detta innan kontot är aktivt.

Aktivering av gratis provperiod

Missbruk av provperioder följer ett förutsägbart mönster: skapa ett konto, aktivera en provperiod, förbruka den, skapa ett nytt konto. Bedömning vid aktivering av provperioder, utöver vid registrering, fångar användare som redan lyckats ta sig igenom den inledande kontrollen.

Inlösen av kampanjer och värvningar

Missbruk av kampanjer följer vissa infrastrukturmönster. Bedömning vid inlösentillfället fångar konton som klarade kontrollen vid registrering men nu uppvisar beteende som korrelerar med missbruk.

Inloggning

Kontoövertagande är en annan hotmodell än bedrägeri med nya konton, men signalerna överlappar. Avvikande inloggningsförsök motiverar ett eget bedömningslager.

Vissa plattformar bedömer kontinuerligt under en session. En användare som klarar bedömningen vid registrering men sedan försöker göra API-anrop med hög frekvens, massexport av data eller upprepade betalningsfel bedöms på nytt utifrån det beteendet. Stripe Radar bedömer transaktioner med hjälp av signaler från hela Stripes nätverk, vilket ger insyn i mönster som enskilda företag inte kan se på egen hand. För företag som bygger registreringsskydd kopplat till Stripe-betalningar fungerar detta bedömningslager vid betalningsstadiet som ett sista skyddsnät mot bedrägeri som passerat tidigare kontroller.

Hur utvärderar man en plattform för identitetsriskbedömning?

Skillnaderna mellan leverantörer är inte alltid tydliga på deras marknadsföringssidor. Att välja fel plattform kan antingen blockera legitima användare eller släppa igenom missbruk.

Det här bör du titta efter i en riskbedömningsplattform:

Signaltäckning och aktualitet

Ta reda på hur många signaltyper plattformen tar in och hur aktuella dess ryktesdata är. En plattform med inaktuella IP-ryktesdata eller begränsad täckning för enhetsfingeravtryck producerar poäng som missar moderna attackmönster. Fråga leverantörer specifikt om deras kapacitet för att identifiera bostadsproxyer och beteendebiometri – det här är områden där plattformar varierar avsevärt.

Realtidsprestanda

Identitetsbedömning vid registrering behöver returnera ett resultat innan användaren förväntar sig ett svar. Latens över några hundra millisekunder börjar påverka konverteringen. Begär faktiska latenssiffror för 99:e percentilen.

Precision och andel falska positiva

Ett system som blockerar 95 % av bedrägerier men felaktigt avvisar 3 % av legitima användare kan vara nettonegativt, beroende på ditt företag. Andelen falska positiva måste mätas mot din specifika trafikprofil. När systemet flaggar ett konto bör det kunna tala om vilka signaler som drev beslutet.

Integrationsalternativ

Ta reda på om plattformen har färdiga integrationer med din stack och erbjuder ett realtids-API som passar ditt registreringsflöde. Titta på hur den hanterar beslut som behöver matas tillbaka till dina autentiserings- eller betalningssystem.

Driftsverktyg

Bedömning kräver dashboards som visar poängfördelningar, verktyg för att granska flaggade konton, möjlighet att justera trösklar och återkopplingsmekanismer som låter beslut från mänsklig granskning förbättra modellen. Plattformar som inte investerar i den här infrastrukturen blir alltmer ineffektiva över tid.

Hur driver och justerar man ett identitetsriskbedömningssystem över tid?

Att driftsätta en plattform för identitetsanalys och riskbedömning är början på en pågående process.

Det här behöver du veta från start:

Ange trösklar baserade på risktolerans

Många plattformar levereras med standardpoängtrösklar som utlöser blockering, autentiseringsfrågor eller godkännanden. Dessa standardvärden är kalibrerade för den genomsnittliga kunden, så de behöver troligtvis justeras. Kör systemet i skuggläge och undersök fördelningen av poäng mot dina kända utfall. Det berättar var dina trösklar faktiskt bör ligga.

Övervaka förskjutning

Angriparnas beteende förändras, och det gör även legitima användares beteende – särskilt när du lanserar på nya marknader, ändrar din produkt eller kör en kampanj som lockar ovanlig trafik. Poängfördelningar som förskjuts utan en motsvarande förändring i faktiska bedrägerinivåer är en signal om att något har förändrats och behöver undersökas.

Bygg återkopplingsloopar

Poängen är en prognos, men faktiska utfall är verkligheten. Plattformar som kan ta in återkoppling och justera sina modeller är mätbart mer precisa över tid än de som inte kan det.

Se över trösklar regelbundet

Team anger ofta trösklar under onboarding och återkommer inte till dem på flera månader. Under tiden förändras bedrägerinivåerna, produktytorna förändras, och den tröskel som kalibrerades för förra årets trafikprofil kan vara för aggressiv eller för tillåtande nu. Bygg en granskningsrutin som tittar på poängprestanda mot utfall och justerar därefter.

Hur Stripe Radar kan hjälpa till

Stripe Radar använder AI-modeller som tränats på data från Stripes globala nätverk och uppdateras kontinuerligt baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägerierna utvecklas.

Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.
Radar kan hjälpa ditt företag att:

  • Förhindra bedrägeriförluster: Stripe hanterar över 1 biljon USD i betalningar årligen. Denna omfattning gör det möjligt för Radar att på ett korrekt sätt upptäcka och förhindra bedrägerier, vilket sparar pengar.

  • Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.

  • Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.

Läs mer om Stripe Radar eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.