เข้าสู่ระบบ 

Account takeover fraud explained: What it is and how businesses can prevent it

Radar
Radar

ต้านการฉ้อโกงด้วยประสิทธิภาพที่ทรงพลังของเครือข่าย Stripe

ดูข้อมูลเพิ่มเติม 
  1. บทแนะนำ
  2. การฉ้อโกงด้วยการเข้าควบคุมบัญชี (ATO) คืออะไร
  3. ประเภทการฉ้อโกงด้วยการเข้าควบคุมบัญชี
  4. วิธีที่การฉ้อโกงด้วยการเข้าควบคุมบัญชีส่งผลกับธุรกิจ
  5. วิธีการตรวจจับและป้องกันการฉ้อโกงด้วยการเข้าควบคุมบัญชี
  6. เริ่มใช้งาน Stripe 

การฉ้อโกงเป็นความท้าทายระดับสูงสำหรับเจ้าของธุรกิจ คุณสามารถนำเสนอผลิตภัณฑ์ที่เป็นที่ต้องการอย่างมาก รวบรวมลูกค้าที่ภักดีและรักษาบริการลูกค้าที่ยอดเยี่ยมได้ แต่สิ่งเหล่านี้จะไม่สามารถปกป้องธุรกิจของคุณจากผู้กระทำผิดกฎหมายที่พยายามละเมิดบัญชีผู้ใช้ของคุณได้ การฉ้อโกงด้วยการเข้าควบคุมบัญชีเป็นหนึ่งในรูปแบบการขโมยข้อมูลระบุตัวตนที่พบบ่อยที่สุด โดยคิดเป็น 53% ของการฉ้อโกงบัญชีทั้งหมดที่มีอยู่ในปี 2019 การฉ้อโกงประเภทนี้เป็นความรับผิดที่สําคัญสําหรับธุรกิจ การฉ้อโกงด้วยการเข้าควบคุมบัญชีทําให้ธุรกิจในสหรัฐอเมริกามีค่าใช้จ่ายกว่า 2.5 หมื่นล้านดอลลาร์สหรัฐในปี 2020 สูงขึ้น 500% จากปี 2017 ตามงานวิจัยของ Juniper Research การละเมิดบัญชีเหล่านี้อาจสร้างความเสียหายต่อชื่อเสียงของธุรกิจ รวมถึงความเชื่อใจที่สร้างไว้กับลูกค้าปัจจุบัน

เนื่องจากจำนวนเงินที่สูญเสียไปจากการฉ้อโกงด้วยการเข้าควบคุมบัญชีเพิ่มขึ้นทุกปี ธุรกิจออนไลน์จึงต้องมีแผนในการตรวจจับและบล็อกผู้กระทำการฉ้อโกงก่อนที่พวกเขาจะลงมือ สิ่งที่คุณต้องรู้เพื่อตรวจจับและป้องกันการฉ้อโกงด้วยการเข้าควบคุมบัญชี

บทความนี้ให้ข้อมูลอะไรบ้าง

  • การฉ้อโกงด้วยการเข้าควบคุมบัญชี (ATO) คืออะไร
  • ประเภทการฉ้อโกงด้วยการเข้าควบคุมบัญชี
  • วิธีที่การฉ้อโกงด้วยการเข้าควบคุมบัญชีส่งผลกับธุรกิจ
  • วิธีการตรวจจับและป้องกันการฉ้อโกงด้วยการเข้าควบคุมบัญชี

การฉ้อโกงด้วยการเข้าควบคุมบัญชี (ATO) คืออะไร

การฉ้อโกงด้วยการเข้าควบคุมบัญชี หรือที่เรียกว่าการเจาะระบบเข้าบัญชี จะเกิดขึ้นเมื่อมิจฉาชีพเข้าควบคุมบัญชีของลูกค้าที่ถูกต้องตามกฎหมายเพื่อดึงข้อมูลบัญชีหรือถอนเงิน ซึ่งการกระทำนี้เกี่ยวข้องกับบัญชีออนไลน์ทุกประเภท ตั้งแต่บัญชีธนาคารไปจนถึงบัญชีธุรกิจจัดส่งอาหาร มิจฉาชีพสามารถใช้ข้อมูลที่ดึงมาปลอมแปลงเป็นลูกค้าและเปิดบัญชีธนาคารใหม่ สั่งบัตรเครดิตใหม่ แลกรับคะแนนสะสม หรือสั่งซื้อของบนเว็บไซต์ชอปปิงหรือเว็บไซต์จัดส่งอาหารของร้านอาหาร ทั้งนี้ขึ้นอยู่กับประเภทบัญชีที่ถูกเจาะเข้าระบบ อีกทั้งยังสามารถใช้ข้อมูลที่ได้รับเพื่อเข้าถึงบัญชีอื่นๆ หรือขายข้อมูลบัญชีให้กับมิจฉาชีพรายอื่นๆ ด้วย

ประเภทการฉ้อโกงด้วยการเข้าควบคุมบัญชี

การศึกษาในปี 2020 โดย Aite Group พบว่า 38% ของผู้บริโภคระบุว่าเมื่อเร็วๆ นี้พวกเขาตกเป็นเหยื่อการฉ้อโกงด้วยการเข้าควบคุมบัญชี การฉ้อโกงประเภทนี้อาจเกิดขึ้นได้ในหลายรูปแบบ

  • ฟิชชิ่ง
    โดยทั่วไปแล้วการหลอกลวงแบบฟิชชิ่งจะเกิดขึ้นผ่านทางอีเมลหรือข้อความ ลูกค้าจะได้รับข้อความขอเงินบริจาคหรือขอข้อมูลส่วนตัว หรือสั่งให้ลูกค้าคลิกที่ลิงก์หรือไฟล์แนบที่จะติดตั้งมัลแวร์ในอุปกรณ์โดยอัตโนมัติ

  • มัลแวร์
    ซอฟต์แวร์ที่ประสงค์ร้าย หรือที่เรียกกันว่ามัลแวร์ คือซอฟต์แวร์บุกรุกใดๆ ที่ออกแบบมาเพื่อสร้างความเสียหายหรือสามารถเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต โทรจันคือมัลแวร์ประเภทหนึ่งที่ควบคุมอุปกรณ์ของผู้ใช้ทําให้แฮกเกอร์สามารถดักจับข้อมูลได้ เช่น ข้อมูลบัญชีธนาคารหรือรายละเอียดบัตรเครดิต โทรจันธนาคารบนอุปกรณ์เคลื่อนที่ได้รับการออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูลจากบัญชีธนาคาร โดยมักจะแสดงหน้าปลอมที่เลียนแบบแอปพลิเคชันธนาคารจริงบนอุปกรณ์เคลื่อนที่ ซึ่งโทรจันเหล่านี้ใช้ในการดึงข้อมูลบัญชีและการอนุญาตของผู้ใช้

  • การยัดข้อมูลประจําตัว (Credential stuffing)
    การใช้รายการข้อมูลประจำตัวของผู้ใช้ที่ถูกโจรกรรมหรือถูกขโมยเพื่อเจาะเข้าสู่ระบบบัญชีเรียกว่าการยัดข้อมูลประจําตัว (Credential stuffing) นี่เรียกว่าการโจมตีแบบเล่นซ้ำ (breach replay attacks) เนื่องจากผู้คนจำนวนมากใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันสำหรับหลายๆ บัญชี การเปิดเผยข้อมูลประจำตัวสำหรับบัญชีเดียวอาจทำให้แฮกเกอร์เข้าถึงบัญชีต่างๆ ได้หลายบัญชี

  • การเจาะข้อมูลประจำตัว
    การลองใส่ชื่อผู้ใช้และรหัสผ่านที่แตกต่างกันจนกว่าจะปลดล็อคบัญชีได้สำเร็จ เรียกว่าการแฮ็กข้อมูลประจำตัวหรือการโจมตีด้วยกำลัง (brute-force attacks) สแกมเมอร์มักใช้รายการรหัสผ่านทั่วไปที่สร้างโดยบอทเพื่อค้นหารหัสผ่านที่ถูกต้อง หรือใช้บอทเพื่อลองใช้ชุดอักขระสุ่มต่างๆ จนกว่าจะได้รหัสผ่านของผู้ใช้รายหนึ่งๆ

  • การโจมตีแบบ Man-in-the-middle
    การโจมตีแบบ Man-in-the-middle (MITM) จะเกิดขึ้นเมื่อมิจฉาชีพพบวิธีที่จะแทรกแซงระหว่างผู้ใช้กับแอปพลิเคชันที่พวกเขาพยายามเข้าถึง เช่น เว็บไซต์อีคอมเมิร์ซหรือแอปพลิเคชันธนาคารบนมือถือ ประเภทการโจมตีแบบ man-in-the-middle ที่พบเห็นได้ทั่วไปคือการตั้งค่าจุดเชื่อมต่อ WiFi ปลอม และการขโมยข้อมูลการเข้าสู่ระบบ รายละเอียดบัญชี และหมายเลขบัตรเครดิตจากบุคคลที่พยายามเชื่อมต่อกับจุดเชื่อมต่อดังกล่าว

  • การไฮแจ็กเซสชัน
    การควบคุมเซสชันเมื่อผู้ใช้ลงชื่อเข้าใช้บริการออนไลน์ถือเป็นการไฮแจ็กเซสชัน ตัวอย่างเช่น หากผู้ใช้เข้าสู่ระบบบัญชีของตนกับร้านค้าออนไลน์เพื่อซื้อสินค้าใหม่ ผู้บุกรุกสามารถขโมยรายละเอียดบัตรเครดิตทั้งหมดที่จำเป็นสำหรับการเรียกเก็บเงินที่เป็นการฉ้อโกงได้

  • การสลับซิมการ์ด
    การสลับซิมการ์ดคือการที่มิจฉาชีพที่ติดต่อไปยังผู้ให้บริการโทรศัพท์มือถือของเหยื่อและปลอมตัวเป็นเหยื่อเพื่อหลอกให้พนักงานศูนย์บริการโทรศัพท์ย้ายหมายเลขโทรศัพท์ของเหยื่อไปยังซิมการ์ดอื่น การควบคุมหมายเลขโทรศัพท์ของเหยื่อทำให้มิจฉาชีพสามารถเข้าถึงรายละเอียดธนาคารหรือทำธุรกรรมที่ต้องมีการพิสูจน์ตัวตนด้วยข้อความได้

วิธีที่การฉ้อโกงด้วยการเข้าควบคุมบัญชีส่งผลกับธุรกิจ

กิจกรรมฉ้อโกงประเภทใดๆ ก็ตามก่อให้เกิดความเสี่ยงร้ายแรงต่อธุรกิจออนไลน์ และการฉ้อโกงด้วยการเข้าควบคุมบัญชีก็เป็นหนึ่งในนั้น นับตั้งแต่ปัญหาการรักษาลูกค้าไว้ไปจนถึงค่าปรับ นี่ต่อไปนี้เป็นวิธีที่การฉ้อโกงด้วยการเข้าควบคุมบัญชีอาจสร้างความเสียหายให้กับธุรกิจของคุณได้

ความเสียหายต่อชื่อเสียง
ชื่อเสียงของธุรกิจอาจได้รับความเสียหายอย่างรุนแรงจากการละเมิดบัญชี ลูกค้าให้ความใส่ใจในการรักษาข้อมูลส่วนบุคคลและความปลอดภัยของข้อมูล การได้ยินเรื่องการฉ้อโกงด้วยการเข้าควบคุมบัญชีบนโซเชียลมีเดียหรือในข่าวต่างๆ อาจทำให้ลูกค้าเปลี่ยนใจไม่เปิดบัญชีกับธุรกิจนั้น ความเสียหายต่อชื่อเสียงอาจเกิดขึ้นได้อย่างรวดเร็ว แต่การกู้คืนใช้เวลานานกว่ามาก

ปัญหาการรักษาไว้ซึ่งลูกค้า
ข่าวการเจาะระบบอาจส่งผลต่อลูกค้าปัจจุบันได้เช่นกัน ผู้ที่ไม่ได้รับผลกระทบจากการละเมิดอาจตกใจและปิดบัญชีของตนเป็นการป้องกันไว้ก่อน การสํารวจของ Vodafone ทั่วโลก พบว่า 89% ของธุรกิจระบุว่าการปรับปรุงการรักษาความปลอดภัยทางไซเบอร์จะช่วยยกระดับความภักดีและความไว้วางใจของลูกค้า

ค่าปรับ
ค่าปรับที่เกี่ยวข้องกับการฉ้อโกงด้วยการเข้าควบคุมบัญชีอาจมีจำนวนสูง หากแฮกเกอร์ทำการซื้อสินค้าโดยฉ้อโกงผ่านบัญชีของลูกค้า ปกติแล้ว เจ้าของบัญชีจะได้รับเงินคืนจากบริษัทผู้ออกบัตรเครดิตหลังจากโต้แย้งการอ้างสิทธิ์ดังกล่าว อย่างไรก็ตาม ธุรกิจที่ขายสินค้าที่มิจฉาชีพซื้อไปจะสูญเสียรายได้ สูญเสียผลิตภัณฑ์ที่จัดส่งให้กับมิจฉาชีพ และโดยทั่วไปจะต้องจ่ายค่าธรรมเนียมการดึงเงินคืนให้กับผู้ประมวลผลการชำระเงินด้วย หากเกิดการฉ้อโกงขึ้นเรื่อยๆ ธุรกิจก็อาจเสียค่าใช้จ่ายมากขึ้นไปกว่านี้ ธุรกิจที่ประสบปัญหาการฉ้อโกงในอัตราสูงอาจถูกจัดให้อยู่ในโปรแกรมการติดตามตรวจสอบการดึงเงินคืนของเครือข่าย โดยจะถูกเรียกเก็บค่าธรรมเนียมการดำเนินการชำระเงินที่สูงขึ้น หรืออาจถึงขั้นถูกแบนโดยผู้ประมวลผลการชำระเงินก็ได้

นอกจากค่าธรรมเนียมการดึงเงินคืนแล้ว กฎระเบียบว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (GDPR) และกฎหมายความเป็นส่วนตัวอื่นๆ อาจส่งผลให้ต้องเสียค่าปรับในกรณีที่ไม่สามารถปกป้องข้อมูลของลูกค้าได้ ภายใต้กฎ GDPR ค่าปรับจะเป็นสัดส่วนกับกรณีที่เกิดขึ้น แต่ธุรกิจที่พบว่ากระทำการละเมิดที่ไม่ร้ายแรงอาจถูกปรับเป็นเงินหลายล้านยูโร

วิธีการตรวจจับและป้องกันการฉ้อโกงด้วยการเข้าควบคุมบัญชี

กุญแจสำคัญในการปกป้องธุรกิจของคุณจากการฉ้อโกงด้วยการเข้าควบคุมบัญชีคือการดำเนินการเชิงรุก แทนที่จะเป็นการตอบสนอง นั่นหมายถึงการนํามาตรการมาใช้ตรวจจับและบล็อกมิจฉาชีพก่อนที่มิจฉาชีพจะมีโอกาสลงมือ เนื่องจากการฉ้อโกงด้วยการเข้าควบคุมบัญชีประเภทต่างๆ มีรูปแบบการดำเนินการที่แตกต่างกัน ธุรกิจต่างๆ จึงต้องระมัดระวังเมื่อต้องตรวจจับและป้องกัน

ขั้นตอนที่คุณสามารถดำเนินการเพื่อปกป้องธุรกิจได้มีดังนี้

การติดตามตรวจสอบการเปลี่ยนแปลงของบัญชี
การฉ้อโกงบางประเภทมาพร้อมกับสัญญาณเตือน เช่น เมื่อรายละเอียดลูกค้าที่แตกต่างกันเปลี่ยนแปลงในเวลาเดียวกัน หรือเมื่อบัญชีหลายบัญชีได้รับการอัปเดตให้มีรายละเอียดของลูกค้าเดียวกันโดยกะทันหัน แต่การโจมตีที่ซับซ้อนจะมีความละเอียดมากขึ้นและต้องมีการสังเกตรูปแบบของพฤติกรรม เช่น เมื่อมีคนอัปเดตรายละเอียดของลูกค้า เข้าสู่ระบบจากอุปกรณ์ใหม่อย่างรวดเร็ว แล้วสั่งสินค้าไปยังที่อยู่สําหรับจัดส่งที่ไม่เคยระบุไว้ก่อนหน้านี้ เครื่องมือแมชชีนเลิร์นนิง เช่น Stripe Radar ใช้ข้อมูลเพื่อช่วยให้ธุรกิจต่างๆ แยกผู้ไม่ประสงค์ดีออกจากลูกค้าตัวจริงได้ โดยมีความสามารถในการปรับให้เข้ากับรูปแบบการฉ้อโกงใหม่ๆ

การเปลี่ยนแปลงที่ไม่ซับซ้อนบางอย่างที่คุณสามารถนําไปใช้เพื่อตรวจจับการเข้าควบคุมบัญชีก่อนที่มิจฉาชีพจะสามารถสร้างความเสียหายจริงได้ รวมถึงการขอให้ผู้ใช้ยืนยันตัวตนก่อนทําการเปลี่ยนแปลงรายละเอียดบัญชี (โดยใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย) และแจ้งผู้ใช้ให้ทราบทันทีเกี่ยวกับการเปลี่ยนแปลงของบัญชี

การแจ้งเตือนอุปกรณ์ไม่สอดคล้องกัน
อีกแง่มุมที่สําคัญของการตรวจจับการฉ้อโกงคือการติดตามอุปกรณ์ที่น่าสงสัยที่เชื่อมโยงกับบัญชีผู้ใช้ ตัวอย่างเช่น บัญชีหลายบัญชีที่เชื่อมโยงกับอุปกรณ์เดียวกันหรือบัญชีที่มีอุปกรณ์ที่มีรุ่น "ไม่รู้จัก" จำนวนมากผิดปกติอันเนื่องมาจากการปลอมแปลงอุปกรณ์ โดยแสร้งทำเป็นอุปกรณ์อื่นเพื่อซ่อนตัวตนที่แท้จริงหรือหลอกลวงระบบ ถือเป็นสัญญาณบ่งชี้ถึงการละเมิดที่อาจเกิดขึ้น ที่อยู่ IP ในการเข้าสู่ระบบจากหลายประเทศอาจเป็นสัญญาณของกิจกรรมที่ผิดปกติ และการใช้พลังของแมชชีนเลิร์นนิงเพื่อตรวจจับความไม่สอดคล้องกันเหล่านี้แต่เนิ่นๆ ช่วยให้ธุรกิจประหยัดเวลาและเงินในภายหลัง

เครื่องมือแมชชีนเลิร์นนิงมีให้บริการในบัญชี Stripe ทุกบัญชีเพื่อให้ธุรกิจเติบโตไปพร้อมๆ กับการปกป้องตนเองจากการฉ้อโกง Stripe Radar ใช้ข้อมูลจากการชําระเงินหลายแสนล้านดอลลาร์สหรัฐในแต่ละปีเพื่อตรวจจับและป้องกันการฉ้อโกงด้วยการเข้าควบคุมบัญชีได้อย่างแม่นยํา ดูข้อมูลเพิ่มเติมที่นี่

เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ

บทความอื่นๆ

หากพร้อมเริ่มใช้งานแล้ว

สร้างบัญชีและเริ่มรับการชำระเงินโดยไม่ต้องทำสัญญาหรือระบุรายละเอียดเกี่ยวกับธนาคาร หรือติดต่อเราเพื่อสร้างแพ็กเกจที่ออกแบบเองสำหรับธุรกิจของคุณ
Radar

Radar

ต้านการฉ้อโกงด้วยประสิทธิภาพที่ทรงพลังของเครือข่าย Stripe

Stripe Docs เกี่ยวกับ Radar

ใช้ Stripe Radar เพื่อปกป้องธุรกิจจากการฉ้อโกง