アカウント買収の影響

フィッシングやデータ漏洩は今に始まったことではない。多くの攻撃で、顧客のアカウント情報が盗まれている。様々な企業が標的になっている。しかし、おそらく詐欺の被害者の中で最も狙われているのは金融機関だろう。攻撃のニュースを受け、さまざまな機関がサイバーセキュリティの強化に乗り出している。中には、多要素認証を導入し、OTPのような他のセキュリティ対策とともに、パスワードレス認証や生体認証を追加したところもある。そうすることで、さまざまな詐欺行為の犠牲になるリスクを減らすことができた。

アカウント買収

金融機関が警戒すべき詐欺の一種に、口座乗っ取り（AT）がある。）これは、詐欺師が口座名義人の認証情報を使用して、正規の銀行、ペイメント・サービス・プロバイダー（PSP）、または加盟店の顧客口座にアクセスする場合に発生します。一般的に取られる情報には、銀行口座やカード口座の認証情報、ユーザー名、パスワード、個人を特定できる情報（PII）などがあります。

2020年、金融サービス企業に対する毎月の詐欺未遂成功件数は42％増加した。2019年第2四半期から2020年第2四半期の間に、消費者だけでなく、eコマース加盟店から盗むATO詐欺の試みは282％増加した。  

どのように起こるか

ATO攻撃にはさまざまな手口がある。一部の詐欺師は、まず個人情報を収集する。そのデータを使って標的型フィッシング・キャンペーンを行い、アカウントに不正アクセスする。 

もう一つの方法はクレデンシャル・スタッフィングで、詐欺師はボットを使って盗んだクレデンシャルのリストをさまざまなウェブサイトで比較し、一致するものを見つける。いったんアカウントにアクセスすると、詳細を変更することができる。他にも、別の名前を追加したり、金融機関からの通知や通信をリダイレクトしたりすることも可能だ。 

インパクト

ATO攻撃は、金融機関、加盟店、決済チャネルだけに影響を与えるわけではない。最も影響を受けるのは顧客であろう。なぜなら、顧客のIDが盗まれ、利用されるからである。 

被害に遭った顧客は、口座がロックアウトされていることに気づくかもしれない。銀行やカードの利用明細で不正取引の事実を知らされるまで、攻撃に気づかないこともある。さらに、個人情報も漏洩する。

企業自体もATO攻撃の影響を受ける。経済的損失を被る可能性がある。チャージバックが発生するかもしれない。顧客は返金を要求するかもしれない。事業者は、チャージバックの異議申し立てや処理に費用と時間を費やすかもしれない。

同時に、評判も落ちる。顧客は信頼を失い、その会社から離れることを決めるかもしれない。こうして将来の収益が減少する。 

アカウント乗っ取りに対する最善の防御策は、セキュリティである。カスタマージャーニーの様々なステップで認証を増やすことを検討しよう。パスワードや個人情報の入力を求めるだけでなく、生体認証やパスワードレス認証を追加する。