A medida que los piratas informáticos se dirigen a las aplicaciones de pago móvil, así es como …



Un poco de vigilancia ayuda a los minoristas a reducir y prevenir tres de los tipos más comunes de fraude de aplicaciones móviles

A los consumidores les encanta pagar bienes y servicios con sus teléfonos inteligentes. Pero a medida que más minoristas lanzan sus propias aplicaciones móviles con opciones de pago en la tienda, se debe considerar cuidadosamente la amenaza de fraude. Los minoristas que ofrecen compras en la tienda a través de una aplicación móvil deben conocer los principales esquemas de fraude sin tarjeta.

Imaginemos un minorista ficticio llamado Smoothie Store Su aplicación móvil permite guardar la información de la tarjeta de crédito de los clientes para facilitar las compras en la tienda. Y eso abre la puerta a al menos tres tipos de fraude potencial.

En el primer escenario, el estafador se hace cargo de una cuenta existente de Smoothie Store. Como la cuenta ya tiene una tarjeta de crédito guardada en la aplicación, el estafador puede simplemente dirigirse a una tienda Smoothie Shop, presentar la aplicación móvil con la información de la tarjeta de crédito guardada y disfrutar de un refrescante licuado que se pagó con la tarjeta de crédito almacenada de otra persona .

En un segundo escenario, el estafador se hace cargo de una cuenta de Smoothie Shop nuevamente, excepto que esta cuenta carece de una tarjeta de crédito guardada. Eso a su vez lleva al estafador a comprar una tarjeta de crédito robada en Dim Website o en algún otro mercado electrónico, y luego agrega la tarjeta recién obtenida a la cuenta y aplicación de Smoothie Shop. Luego pueden proceder a la tienda más cercana para comprar batidos usando la tarjeta de crédito robada.

¿Por qué los estafadores pasarían por la molestia de hacerse cargo de una cuenta existente en lugar de simplemente crear una cuenta nueva para cometer fraude? Esto se debe a que los estafadores inteligentes saben que las cuentas «envejecidas» de más de 3 a 6 meses de antigüedad con un buen historial de transacciones se analizan con menos atención que una cuenta nueva sin historial de transacciones.

Finalmente, en un tercer esquema más sofisticado, el estafador utiliza una herramienta bot o una granja de clics humanos para crear cientos de cuentas falsas de Smoothie Store. Una vez que el estafador tiene acceso a varias cuentas falsas, puede agregar tantas tarjetas de crédito robadas como desee para realizar compras en la tienda.

Entonces, ¿qué pueden hacer los minoristas y los consumidores para protegerse?

Prevenir la toma de cuenta (ATO)
Hay muchas formas de prevenir o al menos reducir significativamente la cantidad de ATO: eliminando el relleno de credenciales, por ejemplo. El objetivo de la organización debería ser eliminar la ventaja económica que los estafadores obtienen al hacerse cargo de una cuenta. Si el costo / esfuerzo de hacerse cargo de una cuenta supera el valor de dicha cuenta, no habrá ningún incentivo para el estafador, y probablemente irán a otro lugar para cometer fraude.

Mantener el handle del proceso de creación de la cuenta.
La creación de cuentas por bots y scripts puede limitarse mediante el uso de un captcha, pero los estafadores de sofisticación de nivel medio pueden pasar por alto, y a los consumidores generalmente no les gustan los captchas. La prevención de la creación masiva de cuentas requiere la recopilación de información a nivel de dispositivo para restringir la cantidad de cuentas nuevas que puede crear un solo dispositivo. Obligar al estafador a aprovechar un granja de dispositivos podría hacer que su tasa de rendimiento sea menos deseable y empujar al estafador a otra parte.

Asegúrese de que los clientes no inicien sesión con credenciales comprometidas
Este es un conjunto de Recomendación NISTs en relación con la autenticación y las identidades digitales que tienen mucho sentido en el mundo genuine de las infracciones diarias. Es muy possible que los clientes que inician sesión en su sitio web o aplicación móvil con credenciales comprometidas sean las cuentas que serán tomadas y defraudadas primero.

Cree controles sobre el mal uso de las tarjetas de crédito en la aplicación móvil
Los clientes legítimos probablemente necesiten agregar una, quizás dos, tarjetas de crédito únicas a su cuenta / dispositivo. Cualquier cuenta / dispositivo que intente agregar una tercera o más tarjetas de crédito a una cuenta debe ser inspeccionada de cerca y posiblemente restringida de agregar más. La tarjeta de crédito almacenada también debe estar vinculada al dispositivo en lugar de a la cuenta. De esa manera, si se toma una cuenta de un nuevo dispositivo, no habrá información almacenada de la tarjeta de crédito disponible para que la use el estafador. Ambos requieren un identificador fuerte y único a nivel de dispositivo.

Incluso si las aplicaciones son más convenientes para los clientes y alientan la repetición de negocios, son una responsabilidad tanto para los consumidores como para los minoristas. Es importante que los minoristas aprendan cómo proteger a sus clientes y evitar las consecuencias de una violación al realizar cambios críticos en el desarrollo y monitoreo de sus aplicaciones. Después de todo, si bien el uso de aplicaciones para comprar productos es una novedad divertida, es aún mejor cuando nadie tiene que preocuparse si la información de la tarjeta de crédito ha sido robada.

Contenido relacionado:

Carlos Asunción gestiona un equipo de ingenieros de soluciones estratégicas en Shape Protection, ayudando a las organizaciones más grandes del mundo a prevenir el fraude automatizado y humano. Su experiencia en ciberseguridad abarca 10 años en SIEM, DLP, IAM, DPI, EDR, TI y muchos otros acrónimos oscuros. … Ver biografía completa

Más tips





Enlace a la noticia initial