技术 - JuicyScore 博客

加强双重认证(2FA)的效力以保护客户

20 Nov 2023 I 1 min read

随着技术世界不断发展,10多年以前出现的双重认证(2FA)或多重要素验证(MFA)得到广泛应用。 使用双重认证(2FA)或多重要素验证(MFA)已经成为常态。
广泛采用基于双重认证(2FA)的解决方案显著降低了欺诈风险,并更有效地抵御数字环境中的欺诈攻击。如果您还没采用基于双重认证(2FA)的解决方案, 你一定要考虑采用, 因为这种措施肯定会大大有利于您和您的客户。

线上骗子通常研发新方法盗取个人信息。 因此对于越来越多线上业务来说采用双重认证变成提高系统和客户账号安全水平的不可缺少的一部分。双重认证为访问网站、应用程序或资源提供了额外的安全级别,通过两个不同的因素来确认用户的身份,例如密码和通过短信或应用程序获取的一次性验证码。这有助于防止未经授权的访问帐户,并保护客户的宝贵个人数据免受在线骗子的侵害。

我们写的文章首先针对了解双重认证和多重要素验证并积极采用基于双重认证或多重要素验证的解决方案的读者。 可惜, 线上骗子不断制定新的绕过包括2FA/MFA在内的安全系统的方法。

最近几年我们积极研究与虚假申请欺诈以及个人账户保护问题相关的风险。
我们面对了大量新威胁和攻击形式的增长。随着基于2FA的保护系统推广,新威胁和攻击形式也随之出现。

**这是什么样的风险? 来举一些例子。 **

技术欺诈包括合成账户(由欺诈者创建的与真实个人无关的虚构账户)、社交工程、远程访问、全面账户接管以及其他形式的欺诈攻击。

社交欺诈包括家庭欺诈 (比如, 孙女冒用她的祖母申请贷款)、多重账户 (multi-accounting)、贷款购物以及其他形式。

有哪些应对这些风险群体的方法?让我们列举一些最常见和最有效的解决方案:

  • 登录或账户使用的风险信号分析;
  • 建立监测系统并减少用户重复或多余账户的数量(如果对为客户提供服务没有必要);
  • 检查用户的登录/账户使用详细信息是否与先前的用户会话匹配,包括设备和网络连接细节;
  • 引入风险事件和/或信号的评分系统,以识别在涉及财务损失风险的情况下最高风险的会话,例如在线申请信用卡或贷款;
  • 引入多重要素验证(MFA) 作为在风险高于平均水平的情况下的额外验证工具。
    可能的解决方案包括向用户提出额外问题,这些问题只有账户所有者才能知道,并且最好不涉及账户的个人详细信息,例如账户持有人在银行拥有多少账户。

此外,应特别注意高风险JuicyScore指数和标记,这些标记可与双重认证(2FA)工具一起识别额外的欺诈分段。

  • IDX1停止标记 (Stop markers) 表示由50多个高概率的技术操纵设备的欺诈事件的组合。
  • IDX2: 用户行为的标记是不同用户行为标记的组合。
  • IDX3设备的标记是涉及不同设备参数和设备异常的风险次要标记组合。
  • IDX4互联网连接的标记是网络参数和异常的组合。
  • 重复设备/Duplicating device
    从同一设备在贷款人账户设置的最短贷款期内再次提交申请。
  • 相同设备/ Same device
    指的是关联设备和用户的先前和当前申请的设备匹配。
  • Total num of applications with browser hash in 1 hour (/ 1 / 7/ 30 days)
    在过去1小时(1/7/30天)内使用特定浏览器哈希的浏览器标识符提交的所有申请总数(适用于当前的服务订户)。
  • 较短的贷款偿还期限天数Less tenor days
    意思是此申请的间隔时间小于前一个申请中指定的天数。
  • 网页上的停留时间/ Time on page
    一个客户需要多长时间填写页面上的表单。

引入基于双重认证(2FA)的额外安全层级会产生什么结果?

通过引入基于JuicyID的解决方案来加强个人帐户的保护,不仅降低了欺诈风险,还通过降低运营成本和信用损失提高了在线业务的经济效益。
JuicyID是JuicyScore的轻量版应用。这个产品旨在保护在线服务中的账户。JuicyID的特点是快速响应速度。回应消息中的设备ID、市场上最稳定和耐用的数字设备指纹和包括100 个属性的向量允许制定各种防止欺诈和不诚实虚拟用户行为的规则并保持成本与回报的平衡。同时考虑到防止在线欺诈风险是今天业务中的最重要的问题之一。

停止标记 (Stop markers) 将有助于在初期筛选阶段识别具有欺诈风险和高风险的申请领域。JuicyID变量向量将有助于降低社交欺诈风险水平。IDX1 - IDX4 指数可以用于构建通过了所有预先筛选阶段的申请的信用评分模型。这些模型有助于识别高风险违约分割和低风险分割,以进行自动筛选,从而提高批准水平。

JuicyID是保护用户个人帐户的最佳解决方案,尤其是在用户没有绑定到一个虚拟个人帐户的情况下。JuicyID又助于发现多账号操作(Multi-accounting)使用情况, 以及检测多个个人数据集用于不诚实用途的情况。如果需要快速响应速度, JuicyID就很合适。

这是我们的第一篇文章介绍在使用2FA保护帐户和个人资料方面的风险管理研究。明年我们将介绍现有风险的其他多个方面。