I 5 STEP DI UNA FRODE E-COMMERCE
Come migliorare il processo antifrode di detection e prevention sulle transazioni e-commerce Card Not Present (CNP)
di Fabrizio Mancini, Chief Commercial Officer Alfa Group
Settore E-Commerce: cresce il mercato, aumentano le frodi
Nel 2022 gli acquisti online in Italia hanno generato un volume di affari pari a 48,1 miliardi di euro, con un incremento del 20% rispetto all’anno precedente (fonte: Osservatorio E-Commerce B2C del Politecnico Milano). Uno sviluppo che porta con sé grandi opportunità per il settore E-Commerce e per i consumatori, ma anche rischi importanti: in particolare, il rischio di frode cyber risulta tra quelli con più elevata incidenza e in più rapida crescita rispetto agli anni precedenti.
Juniper Research stima che nel 2023 il fenomeno delle frodi online globali vedrà un incremento del 20%, per un valore di 48 miliardi di dollari, grazie allo sviluppo digitale dei servizi e all’evoluzione dei sistemi di pagamento (“Buy Now-Pay Later”) adottati dai Merchant, che sempre più di frequente sono presi di mira dai frodatori: organizzazioni criminali complesse e strutturate per gestire le attività fraudolente nelle loro diverse fasi e portarle a buon fine minimizzando i tempi e massimizzando i ricavi.
La “base” delle frodi online: furti di identità e di carte di pagamento
Il primo e principale aspetto su cui le organizzazioni criminali si muovono è senz’altro quello del furto di identità e delle carte di pagamento: attraverso una varietà di tecniche, prime tra tutte quelle basate sul social engineering (phishing/vishing/smishing) e la compromissione dei merchant, i frodatori acquisiscono dati al fine di rivenderli sul dark web ad altre organizzazioni criminali o di utilizzarli direttamente, effettuando transazioni fraudolente di acquisto con le carte e le identità compromesse.
Il modo più efficace per contrastare il furto di identità e delle carte compromesse è intervenire prima che i frodatori riescano a raccogliere e vendere i dati delle loro vittime: sono diverse le fasi rilevanti di una frode che precedono l’appropriazione e l’utilizzo dei dati, e su tali fasi è possibile agire per battere sul tempo i criminali, mitigando il rischio di furto e bloccando i tentativi di frode.
Abbiamo già affrontato alcune tecniche di social engineering, in particolare il fenomeno del Phishing e la sua variante “telefonica”, il Vishing; entriamo quindi nel dettaglio della compromissione delle carte di pagamento, analizzando le varie fasi del processo fraudolento per comprendere come migliorare la capacità di identificare le carte compromesse e contrastare le transazioni fraudolente per le quali vengono usate.
Anatomia di una Frode E-Commerce con compromissione del Merchant
Il processo di frode sulle carte di pagamento si può riassumere in 5 fasi principali, che vanno dalla compromissione del merchant all’effettivo uso della carta compromessa per finalizzare transazioni illecite.
- Compromissione dei Merchant:
I criminali informatici utilizzano una varietà di metodi per compromettere i siti web di merchant. Una delle tecniche di attacco più diffuse ed efficaci è quella dell’ “e-skimming”, in cui un codice malevolo viene iniettato nel sito web del merchant sfruttando vulnerabilità applicative dei sistemi CMS (Content Management System). Il merchant così compromesso viene utilizzato dai frodatori per raccogliere i dati delle potenziali “vittime” necessari a perpetrare la truffa. - Furto dei dati:
Attraverso il merchant compromesso, e senza che gli utenti ne siano consapevoli, i cyber criminali sottraggono dati relativi alle carte di pagamento (PIN, data di scadenza, CVV) e i dati personali dell’utente (Nominativo, Indirizzo, data di nascita, telefono, email, password, etc.) - Verifica dei dati attraverso “Checker”
Il terzo step del processo consiste nella verifica di quali servizi “checking”, presenti sul dark web, utilizzano merchant ad hoc o conosciuti e consolidati, per “testare” la validità dei dati raccolti, anche in presenza di carte protette da servizio 3DS. Per questo passaggio i frodatori scelgono merchant che offrono la possibilità di transazioni a “zero” o a bassissimo valore, a solo scopo autorizzativo (ad esempio per la registrazione al portale, o per l’onboarding della carta sul digital wallet). Transazioni di questo tipo non sono generalmente identificate come sospette dagli istituti finanziari, che quindi ne autorizzano il completamento. - Vendita dei dati su Dark Web
Una volta raccolti e validati, i dati sottratti sono messi in vendita sul Dark Web. Si stima che il valore medio di vendita di una carta rubata si assesti intorno a 10$, ma il prezzo può aumentare quanto più le informazioni risultano attendibili e “genuine”. Talvolta la vendita dei dati avviene prima della loro verifica tramite Checker, lasciando tale step alle organizzazioni criminali che li acquistano.Solitamente è solo qui, a processo quasi concluso, che gli istituti finanziari vengono a conoscenza del tentativo di frode in corso: attraverso segnalazioni esterne, come quelle provenienti dai servizi di Cyber Threat Intelligence, gli istituti finanziari ricevono alert relativi alla presenza di carte compromesse appartenenti ai propri circuiti, brand, servizi, ma anche dati parziali e/o recuperati, analisi e possibili suggerimenti sulle azioni di mitigazione da adottare.Molto spesso, però, queste informazioni non sono pienamente fruibili: possono risultare obsolete, essere relative a carte già scadute, essere incomplete (e quindi impossibili da associare a un“proprietario”), non garantendo, di fatto, di migliorare in maniera significativa il “rate” di Fraud Detection. - Transazioni Fraudolente
Il processo si conclude, ovviamente, con la monetizzazione: i frodatori utilizzano i dati raccolti, o acquistati sul dark web, per effettuare transazioni fraudolente di acquisto. Generalmente, gli istituti finanziari dispongono ormai di servizi e sistemi antifrode con capabilities di detection e prevention, in grado di identificare alcune tra le transazioni e-commerce fraudolente; tuttavia, il numero elevato di transazioni fraudolente CNP portate a termine con successo è indice del fatto che esiste un ampio margine di miglioramento e potenziamento del processo Antifrode.
L’Approccio Alfa Group: contrastare le frodi sui merchant lungo tutto il processo
Abbiamo visto come i sistemi di contrasto e mitigazione più frequentemente impiegati per questa tipologia di frode entrino in gioco solo nelle fasi finali del processo, con tutti i limiti e gli svantaggi di un approccio che “insegue” i frodatori e il loro operato, piuttosto che anticiparne e prevenire le azioni.
Per questo motivo, Alfa Group, forte di un’esperienza pluriennale in ambito Fraud Management, ha strutturato un servizio di supporto ai team antifrode, che agisce su tutte le fasi del processo appena descritto.
Tale servizio consente agli istituti finanziari di individuare le carte di pagamento e i dati personali Cliente, sottratti attraverso la compromissione dei merchant, sin dal momento della loro “raccolta”, nonché di riconoscere le transazioni utilizzate per validare i dati tramite i servizi “checker”. Queste informazioni, in aggiunta a quelle già disponibili (Merchant ID, Merchant Category, etc) possono essere utilizzate per creare delle specifiche regole di monitoraggio delle transazioni, al fine di potenziare la capacità di analisi del rischio e della genuinità della transazione e, quindi, prendere decisioni più rapide ed affidabili sull’autorizzazione o meno della stessa. Relativamente ai Merchant ID, che operano come aggregatori, è inoltre possibile creare delle regole di detection che tengano in considerazione parametri diversi dal Merchant ID (tra cui Merchant Name, Merchant Domain, etc), garantendo un’analisi della transazione ancora più approfondita e dettagliata.
Il Team Fraud Management di Alfa Group può supportare la tua organizzazione nell’implementazione e miglioramento continuo del processo di identificazione e prevenzione delle attività fraudolente in ambito digital banking ed e-commerce, sia per gli Issuer che per gli Acquirer. Contattaci ora