结账阻力。如果您尝试通过增加安全功能来过滤欺诈交易,您可能会降低欺诈的可能性,但也会增加结账流程的阻力。这可能会增加购物车放弃率并导致销售损失。
客户验证是移动渠道防欺诈的最大挑战之一,因此任何有帮助的方法都值得探索。双重身份验证 (2FA) 要求客户输入发送到他们手机的一次性验证码,这可以帮助商家在批准订单之前验证买家的身份。
由于增加了另一层安全保护,2FA 被推广为保护多种账户和交易的简便方法。未实施该技术的组织可能会在发生违规或欺诈后面临负面报道。例如,当德勤在2017年 9 月发生违规事件,客户的电子邮件被曝光时,包括美国大型企业和政府机构的电子邮件,安全专家迅速指出,导致违规的账户没有采用双因素身份验证。攻击者利用单个密码通过管理员帐户访问了德勤的电子邮件系统。许多专业人士认为,双因素身份验证可以防止违规行为。
然而,2FA 并非一劳永逸的安全解决方案。不同市场对 2FA 规定的差异可能会 亚美尼亚whatsapp 数据 使跨境客户身份验证变得困难,从而导致糟糕的客户体验。对于2018 年至 2019 年 跨境移动商务交易量增长 43% 的经济体来说,这是一个严重的潜在问题。
一次又一次,漏洞和欺诈行为凸显了一个现实:通过简单的网络钓鱼攻击和社会工程,可以规避基本的 2FA 工具,例如基于短信的一次性密码和基于知识的问题。一些犯罪分子还使用 SIM 卡交换和恶意软件攻击来阻止 2FA 并接管帐户。
SIM 卡交换
SIM 卡交换攻击为账户接管提供了机会。在这种攻击中,诈骗者通过将受害者的电话号码转移到他们控制的 SIM 卡上来劫持受害者的电话号码。这样他们就可以访问受害者的电子邮件地址。在一个案例中,这导致受害者失去了毕生的积蓄。
一旦诈骗者获得受害者的电话号码,他们就可以侵入受害者的社交媒体账户,这些账户通常与支付服务和零售账户相关联。SIM 卡交换还允许网络犯罪分子劫持 SMS 双因素身份验证消息并更改电子邮件、银行和购物账户的密码。电子商务商家可能没有意识到他们被骗了,因为该账户仍然属于忠实客户。
移动恶意软件
避免 2FA 漏洞的一种方法是将基于短信的代码替换为用户设备上的身份验证应用程序生成的一次性代码。由于这些代码不会通过移动网络发送,因此无法被 SIM 卡交换劫持者拦截。然而,犯罪分子似乎也找到了这种 2FA 措施的解决方法。
今年 2 月,网络安全研究人员宣布发现一种Android 恶意软件,该恶意软件可以利用 Google Authenticator(一种流行的 Android 2FA 应用程序)中的漏洞。研究人员发现了 Cerberus 银行木马的一种新变种,该木马可让攻击者远程访问客户的网上银行账户,然后截取生成的 Authenticator 2FA 代码的屏幕截图,从而绕过安全措施。