Por Kyle Caldwell
Los riesgos en el correo electrónico pueden ser muy básicos al mismo tiempo que juegan un papel fundamental en la prevención de un fraude. De hecho, cuando era gerente junior de operaciones de fraude, pude ver de primera mano la gran diferencia que puede hacer esta verificación de riesgos.
Me encargaron mitigar el fraude de incorporación de las cuentas de depósito de la empresa. Se esperaba que mi equipo revisara aproximadamente el 33 % del volumen diario y decidiera si las cuentas debían permanecer al día o cerrarse. Cualquier volumen menor hubiera significado tareas auxiliares para asegurar que los analistas tuvieran un día productivo mitigando el fraude, mientras que cualquier volumen mayor al normal era una receta para el desastre.
El desastre esperado
Desafortunadamente, los estafadores identificaron que el portal de la empresa era susceptible a ataques de bots. Estos ataques automatizados y con secuencias de comandos utilizaron líneas de código para hacer ping a grandes cantidades de credenciales contra nuestras aplicaciones en línea.
La inteligencia de dispositivos fue una gran primera línea de defensa y ciertamente ayudó a identificar algunos de los ataques menos sofisticados, como una gran cantidad de credenciales provenientes de una dirección IP o ataques que ocurren desde regiones de geolocalización similares. Sin embargo, una vez que los estafadores probaron y expusieron las brechas dentro de la cobertura, como cambiar las direcciones IP y cambiar los nombres del cliente, necesitábamos medidas de prevención de fraude más sólidas.
En uno de esos ataques, teníamos 70 cuentas abiertas diariamente que tenían diferentes nombres, direcciones, números de seguridad social e incluso regiones de IP. Esto ocurrió diariamente durante dos semanas, y tener que revisar aproximadamente 1000 cuentas adicionales (además de la actividad normal) hizo que nos atrasáramos severamente.
Consecuencias del fraude
Experiencia del cliente
Con nuestro proceso, una cuenta riesgosa no tendría acceso a la funcionalidad completa hasta que se completara una revisión de fraude, lo que afectó negativamente a miles de clientes legítimos. Esta mala experiencia hizo que muchos clientes dejaran de usar sus cuentas y lo que debería haber sido un viaje emocionante entre el banco y el cliente terminó abruptamente.
Además, las visitas a las sucursales y los volúmenes de los centros de llamadas aumentaron drásticamente. Para la dotación de personal del centro de llamadas, a menudo hay muy poco margen de maniobra asignado fuera del volumen normal de llamadas. Incluso un pequeño aumento del volumen de llamadas puede crear tiempos de espera más largos de lo normal. Una vez en la llamada, los clientes están irritados por la espera y también porque su cuenta está restringida. Las conversaciones sobre la explicación de los próximos pasos, la espera de que se resuelvan las escaladas y la revisión del manual en busca de circunstancias atenuantes a menudo llevaron a tiempos de llamada más prolongados, lo que exacerbó aún más los tiempos de espera para el próximo cliente.
Gasto operativo
Para mitigar el riesgo de fraude y la mala experiencia del cliente, ofrecimos horas extra a nuestros analistas de fraude. Esto condujo no solo a un aumento de los costos salariales para la empresa, sino también al agotamiento y la desmotivación de los empleados.
Una cosa es venir a trabajar sabiendo que va a detener el fraude cuando sus sistemas funcionen adecuadamente. Los estafadores probarán cosas nuevas y los analistas de fraudes podrán erradicar estas nuevas tácticas. Es atractivo, como un rompecabezas. Sin embargo, cuando el rompecabezas ya ha sido resuelto, juntar las piezas día tras día se vuelve monótono y desconcertante. La desmotivación puede agotar rápidamente la productividad de su equipo y crear un riesgo adicional para el negocio.
En general, este esquema de fraude le costó a la organización aproximadamente $6,000 por día en salarios, operaciones y pérdidas por fraude. Durante dos semanas, esto equivalía a $84,000.
La solución
Una vez que agregamos controles de riesgo de correo electrónico al proceso de incorporación, pudimos eliminar gran parte de este fraude repetido. A pesar de que los estafadores utilizaban diferentes nombres, direcciones y ubicaciones geográficas, todavía tenían una deficiencia: direcciones de correo electrónico con patrones vinculadas a identidades que tenían poco o ningún historial. Con el servicio de riesgo de correo electrónico implementado, pudimos calificar el riesgo de estos correos electrónicos mucho más alto que antes.
Afortunadamente, la mayoría de los estafadores buscarán mantener su esquema actual en lugar de adaptarse drásticamente a los nuevos cambios en un flujo de trabajo. Una vez que estos ciberdelincuentes se dieron cuenta de que el 99 % de sus cuentas se detenían antes de su creación y el otro 1 % se detectaba durante la revisión, rápidamente pasaron a otra organización con menos controles. Un mes después de implementar la solución, los volúmenes volvieron a la normalidad en todos los departamentos y los equipos estaban contentos y comprometidos nuevamente. El pequeño costo por transacción de estas comprobaciones de riesgo de correo electrónico se pagó con creces por los ahorros en horas extra, la pérdida de negocios y el daño a la moral.
Jumio proporciona dos tipos de servicios de riesgo de correo electrónico: una verificación ligera que determina la validez del correo electrónico y una verificación de base de datos global más completa que devuelve muchos más puntos de datos sobre la antigüedad, el comportamiento y la reputación del correo electrónico contra los que puede escribir reglas para establecer el riesgo.
Las cuentas de correo electrónico genuinas a menudo son obsoletas y se usan como una fuente principal de contacto para las personas, mientras que los estafadores tienden a crear rangos de cuentas de correo electrónico nuevas que están "caídas" (p. ej., ssmith+1@gmail.com , ssmith+2@gmail.com , etc.), por lo que esta puede ser una señal de riesgo muy útil.
Para obtener más información sobre qué servicio es adecuado para usted, contáctenos para iniciar una conversación.
Fuente: https://www.jumio.com/fraud-email-risk/
Comments