راهکارهای تشخیص و مقابله با تقلب های آنلاین در پرداخت

تقلب در تراکنش‌های آنلاین، تهدیدی رو به رشد برای کسب‌وکارها در سراسر جهان است. استاتیستا (یک پایگاه داده آماری آنلاین است که اطلاعات گسترده‌ای در زمینه‌های مختلف مانند اقتصاد، صنعت، فناوری، سلامت و بازاریابی ارائه می‌دهد) تخمین زده است که زیان تجارت الکترونیک در سراسر جهان ناشی از تقلب در پرداخت آنلاین به ۴۸ میلیارد دلار در سال ۲۰۲۳ رسیده است که نسبت به سال ۲۰۲۲، ۴۱ میلیارد دلار افزایش یافته است.

گزارش کمیسیون تجارت فدرال در سال ۲۰۲۳ نشان داده است که انتقال پول و پرداخت‌های بانکی بیشترین زیان‌های گزارش شده در سال ۲۰۲۳ را به خود اختصاص داده‌اند و در این بین کارت‌های اعتباری به عنوان رایج‌ترین روش پرداخت برای تقلب ذکر شده‌اند. کلاهبرداران دائماً تکنیک‌های خود را برای سوءاستفاده از آسیب‌پذیری‌های سیستم‌های پرداخت تطبیق می‌دهند. از حملات ربات‌های پیچیده گرفته تا طرح‌های پیشرفته مهندسی اجتماعی، آن‌ها از فناوری برای ارتکاب تقلب در مقیاسی بی‌سابقه استفاده می‌کنند.

به همین دلیل است که محافظت از کسب‌وکار در برابر تقلب در تراکنش‌ها بیش از هر زمان دیگری اهمیت دارد. تشخیص و پیشگیری از تقلب در پرداخت، چالشی پیچیده است که نیاز به راهکارهای مرتبط به هم و پویا دارد. لذا در این مقاله از آکادینو، در مورد مفاهیم کلیدی، بهترین شیوه‌ها و استراتژی‌هایی که کسب‌وکارها می‌توانند برای مقابله اثربخش با تقلب در پرداخت و تضمین ایمنی و یکپارچگی تراکنش‌های خود در جهانی که به هم متصل است، استفاده کنند، صحبت خواهیم کرد.

تقلب در پرداخت چیست؟

تقلب در پرداخت، هرگونه فعالیت نادرست یا غیرقانونی است که از سیستم‌های پرداخت برای دسترسی غیرمجاز به وجوه یا اطلاعات مالی سوءاستفاده می‌کند. این امر می‌تواند شامل سرقت هویت شخص، خرید غیرمجاز یا فریب یک شرکت برای بازپرداخت پول باشد. تقلب در پرداخت، عواقب سنگینی برای افراد، مشاغل و کل اقتصاد دارد که از مهم‌ترین تقلب‌های آنلاین در پرداخت آنلاین می‌توان به موارد زیر اشاره کرد:

فیشینگ

فیشینگ نوعی تقلب در پرداخت است که در آن مهاجمان از ایمیل‌ها، پیام‌های متنی یا وب‌سایت‌های فریبنده برای فریب افراد جهت ارائه اطلاعات حساس مانند اعتبارنامه‌های (نام کاربری و رمز عبور) ورود به سیستم، شماره کارت اعتباری و داده‌های شخصی استفاده می‌کنند. سپس کلاهبرداران از این اطلاعات برای انجام تراکنش‌های غیرمجاز یا سایر اشکال کلاهبرداری مالی استفاده می‌کنند.

سرقت هویت

سرقت هویت زمانی اتفاق می‌افتد که یک فرد متقلب اطلاعات شخصی شخص دیگری – از جمله شماره‌ تأمین اجتماعی، جزئیات حساب بانکی و شماره‌های کارت اعتباری – را به دست آورده و از آن برای جعل هویت، خریدهای غیرمجاز، افتتاح حساب‌های جدید یا ارتکاب سایر اشکال کلاهبرداری استفاده می‌کند.

تقلب در استرداد وجه

تقلب یا کلاهبرداری استرداد وجه، که به عنوان “تقلب دوستانه” نیز شناخته می‌شود، زمانی اتفاق می‌افتد که مشتری با استفاده از کارت اعتباری خود خریدی انجام می‌دهد اما سپس به دروغ مبلغ را با صادرکننده کارت خود به چالش می‌کشد و ادعا می‌کند که محصول دریافت نشده یا تراکنش غیرمجاز بوده است. هدف کلاهبردار، دریافت وجه و در عین حال حفظ کالا یا خدمات است.

هک شدن ایمیل‌های تجاری

هک ایمیل تجاری (BEC) نوعی کلاهبرداری پرداخت است که در آن مجرمان خود را به عنوان مدیر شرکت یا فروشنده جعل می‌کنند تا کارمندان را برای انتقال وجه یا به اشتراک گذاشتن اطلاعات حساس فریب دهند. معمولاً این کار با هک کردن یا جعل حساب‌های ایمیل و استفاده از تاکتیک‌های مهندسی اجتماعی برای دستکاری کارمند هدف انجام می‌شود.

تقلب بدون وجود فیزیکی کارت

به تراکنش‌های متقلبانه‌ای اشاره دارد که در صورت عدم وجود کارت فیزیکی انجام می‌شوند، مانند خریدهای آنلاین یا تلفنی. کلاهبرداران از جزئیات کارت اعتباری دزدیده شده برای خریدهای غیرمجاز استفاده می‌کنند که به دلیل عدم تأیید کارت فیزیکی، تشخیص و جلوگیری از آن می‌تواند دشوار باشد.

جلوگیری از تقلب های آنلاین در پرداخت

پیشگیری از تقلب فرآیندی است که از تأثیر فعالیت‌های متقلبانه بر کسب‌وکار، مشتری یا مؤسسه مالی جلوگیری می‌کند. برای انجام مؤثر این کار، کسب‌وکارها باید کنترل کامل را حفظ کرده و حجم کار عملیاتی را کاهش دهند. این کار با ترکیب قوانین ریسک با یادگیری ماشین و بررسی‌های دستی انجام می‌شود. به منظور مقابله اثربخش با تقلب در پرداخت، شرکت‌ها باید رویکردی جامع و پیشگیرانه اتخاذ کنند که شامل درک انواع مختلف کلاهبرداری‌هایی که ممکن است با آن‌ها مواجه شوند، ارزیابی خطرات و آسیب‌پذیری‌های منحصر به فرد آن‌ها و اجرای اقدامات پیشگیرانه و تشخیصی جامع باشد.

با اولویت دادن به امنیت پرداخت و تکامل مداوم استراتژی‌ها و تاکتیک‌های خود، کسب‌وکارها می‌توانند از داده‌های مشتریان‌شان محافظت کرده و اعتماد به برند خود را حفظ نمایند. بر همین اساس در ادامه مروری بر چگونگی جلوگیری، شناسایی و واکنش به رایج‌ترین انواع تقلب‌های آنلاین در پرداخت توسط کسب‌وکارها ارائه شده است:

فیشینگ

– به کارمندان آموزش دهید تا ایمیل‌های فیشینگ را تشخیص دهند، هویت فرستنده ایمیل را تأیید کنند و عاداتی مبنی بر ایمنی در انجام کار را تمرین نمایند.

– فناوری‌های فیلترینگ و اسکن را برای مسدود کردن یا علامت‌گذاری ایمیل‌های مشکوک اجرا کنید و از DMARC (پروتکلی امنیتی برای تکمیل فرایند احراز هویت ایمیل است. صاحبان دامنه ایمیل به‌کمک این پروتکل می‌توانند مقابل ایمیل‌های جعلی مقابله نمایند) برای احراز هویت فرستنده استفاده کنید.

– برای محافظت از سیستم‌های داخلی، فایروال‌ها، سیستم‌های تشخیص نفوذ و تقسیم‌بندی شبکه را مستقر کنید و نرم‌افزارها و سیستم‌ها را به‌روز نگه دارید.

– برای کاهش خطر دسترسی غیرمجاز با اطلاعات سرقت‌شده، احراز هویت چندعاملی را برای سیستم‌ها و برنامه‌های مهم الزامی کنید.

– تجزیه و تحلیل لاگ‌ها، ترافیک شبکه و داده‌های سیستم برای شناسایی و پاسخ به حملات فیشینگ احتمالی یا سایر فعالیت‌های مشکوک ا در دستور کار قرار دهید.

– یک برنامه روشن تدوین کنید که در صورت موفقیت‌آمیز بودن حمله‌ فیشینگ، مراحل لازم، از جمله مهار، گزارش‌دهی و رویه‌های ارتباطی را با جزئیات مشخص نماید.

– رویه‌های امنیتی فروشندگان طرف ثالث را ارزیابی کنید تا مطمئن شوید که آن‌ها استانداردهای سازمان شما را رعایت می‌کنند و کسب وکار شما را در معرض حملات فیشینگ قرار نمی‌دهند.

سرقت هویت

– اقدامات امنیتی قوی برای داده‌ها، مانند رمزگذاری، ذخیره‌سازی ایمن و کنترل‌های دسترسی را تعبیه کنید.

– تراکنش‌ها و فعالیت‌های حساب را برای یافتن رفتارهای غیرمعمول یا مشکوک زیر نظر داشته باشید.

– برای افتتاح حساب‌ها و تراکنش‌های آنلاین از احراز هویت چند عاملی استفاده کنید.

– تأیید هویت مشتری را به خصوص برای تراکنش‌های با ارزش بالا یا تغییرات حساب انجام دهید.

– به مشتریان در مورد حفاظت از اطلاعات شخصی‌شان و نحوه تشخیص سرقت هویت آموزش دهید.

تقلب در استرداد وجه

در ادامه مراحلی که می‌توان برای جلوگیری و مقابله با تقلب در استرداد وجه در صورت وقوع انجام داد، ذکر شده است:

-هویت مشتری و اطلاعات صورتحساب را در حین تراکنش‌ها تأیید کنید.

-ابزارهای تشخیص کلاهبرداری را برای علامت‌گذاری تراکنش‌های مشکوک جهت بررسی، اجرا نمایید.

-برای رفع نگرانی‌ها و به حداقل رساندن اختلافات، ارتباط شفافی با مشتریان برقرار کنید.

-روندهای بازپرداخت وجه را رصد کنید و استراتژی‌ها را بر اساس آن تطبیق دهید.

هک شدن ایمیل‌های تجاری

-کارکنان را برای شناسایی و گزارش ایمیل‌های مشکوک آموزش دهید.

-اقدامات امنیتی ایمیل را برای تأیید هویت فرستنده ایمیل و جلوگیری از جعل ایمیل اجرا کنید. این اقدامات شامل موارد زیر است:

-DMARC: مخفف عبارت Domain-based Message Authentication, Reporting, and Conformance به معنای احراز هویت، گزارش‌دهی و انطباق پیام مبتنی بر دامنه، سیستمی است که به اطمینان از واقعی بودن ایمیل‌ها کمک می‌کند و از ارسال ایمیل‌های جعلی که از دامنه شما ارسال می‌شوند، جلوگیری می‌کند.

-DKIM (مخفف DomainKeys Identified Mail) تکنیکی است که یک امضای دیجیتالی به ایمیل‌ها اضافه می‌کند و تأیید می‌کند که آن‌ها توسط یک منبع قانونی ارسال شده‌اند و دستکاری نشده‌اند.

-SPF: چارچوب خط‌مشی فرستنده روشی برای تأیید ارسال ایمیل از یک سرور تأیید شده برای یک دامنه خاص است و فرستنده‌های غیرمجاز را مسدود می‌کند.

-ایجاد فرآیندهای تأیید چند سطحی برای تراکنش‌های مالی و اشتراک‌گذاری اطلاعات حساس را دستور کار قرار دهید.

-کانال‌های ارتباطی ایمن را تشویق کنید و در صورت شک، درخواست‌ها را از طریق تلفن یا حضوری تأیید نمایید.

-نرم‌افزارها، سیستم‌عامل‌ها و ابزارهای امنیتی را مرتباً به‌روزرسانی کرده و امکان اتصال آن‌ها به یکدیگر را بررسی نمایید.

تقلب بدون وجود فیزیکی کارت

-برای تراکنش‌های آنلاین از سرویس تأیید آدرس (AVS) و بررسی ارزش تأیید کارت (CVV) استفاده کنید.

–احراز هویت چندعاملی برای حساب‌های کاربری مشتریان را پیاده‌سازی نمایید.

-ابزارهای تشخیص کلاهبرداری، مانند الگوریتم‌های یادگیری ماشین برای شناسایی و علامت‌گذاری تراکنش‌های مشکوک در لحظه، را به کار ببرید.

-تراکنش‌ها را برای یافتن الگوهای غیرمعمول و بررسی سرعت، زیر نظر داشته باشید.

-مشتریان را تشویق کنید تا برای امنیت بیشتر از کیف پول‌های دیجیتال و سرویس‌های توکن‌سازی استفاده کنند.

-برای محافظت از داده‌های حساس دارنده کارت، از استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) پیروی کنید.

جمع‌بندی

هرچه افراد بیشتری به صورت آنلاین خرید کنند، فرصت‌های بیشتری برای کلاهبرداران جهت ارتکاب کلاهبرداری در پرداخت وجود دارد. برای همگام شدن با این روند، کسب‌وکارها باید تجربه مشتری بهتر و ایمن‌تری را ارائه دهند و در عین حال، نرخ تبدیل را نیزدر نظر داشته باشند. لذا محتوای این مقاله می‌تواند نقش شایان توجهی در اطلاع‌رسانی عمومی و آموزشی نسبت به تشخیص و مقابله با تقلب‌های آنلاین در پرداخت داشته باشد.

بر همین اساس آکادمی گروه ملی انفورماتیک با ارائه مشاوره به شرکت‌های پرداخت و برگزاری رویدادهای آموزشی در خصوص امنیت داده متناسب با نیاز صنعت فین‌تک، به‌خصوص حوزه پرداخت، به شرکت‌ها و نهادهای فعال در این حوزه کمک می‌کند که نسبت به خطرات و ریسک‌های مربوط به پرداخت آنلاین آگاه شده و راهکارهای مقابله با آن‌ها را مورد استفاده قرار دهند. لذا از طریق شبکه‌های اجتماعی با آکادینو در تماس باشید تا از آخرین رویدادهای آموزشی آن اطلاع حاصل نمایید.

منابع

stripe.com