Persyaratan dan standar keamanan informasi terus ditingkatkan dan direvisi, didorong oleh berbagai faktor eksternal seperti pandemi COVID-19 dan meningkatnya keahlian penyerang dunia maya. Sebagai hasil dari perlombaan senjata dunia maya ini, metode dan vektor serangan baru bermunculan. Selain itu, semakin banyak orang di dunia yang menggunakan perangkat seluler dan sarana kerja jarak jauh lainnya.
Ini menimbulkan tantangan keamanan tambahan. Menerapkan sistem antifraud di lembaga keuangan dapat sangat mengurangi dampak skema penipuan tradisional dan jenis baru.
Tantangan yang dihadapi bank
Khususnya, pola perilaku pengguna telah mengalami perubahan besar. COVID-19 telah menyebabkan peningkatan jumlah transaksi melalui Internet dan penurunan pengeluaran untuk transportasi dan pariwisata. Selain itu, banyak individu mengalami penurunan aliran pendapatan, yang mengarah ke penurunan keseluruhan dalam pembelanjaan di kategori pengguna tertentu, yang menunjukkan perubahan dalam pola pembelanjaan.
Akibat penerapan tindakan restriktif dan akibat meningkatnya tingkat stres, pelaku memiliki lebih banyak kesempatan untuk melakukan teknik rekayasa sosial melalui tindakan intimidasi sederhana. Salah satu penipuan yang mengalami peningkatan adalah di mana penipu berperan sebagai petugas keamanan bank.
Penting juga untuk menyoroti bahwa telah terjadi peningkatan saluran yang sah untuk mengarahkan individu ke skema penipuan melalui media periklanan arus utama seperti Google dan Facebook. Biasanya, ini dilakukan melalui iklan palsu untuk program bantuan sosial atau penawaran untuk menyelesaikan survei.
Ada juga peningkatan dalam mempekerjakan rekrutan baru untuk berbagai usaha yang melanggar hukum. Menghadapi kesulitan keuangan, beberapa orang sudah mulai mencari sumber pendapatan baru. Hal ini menyebabkan mereka terlibat dalam berbagai bentuk aktivitas kriminal online. Ini termasuk berpartisipasi dalam skema yang menggunakan individu sebagai bagal uang atau mempekerjakan orang untuk bekerja di call center ilegal.
Di masa lalu, sering kali ada rasa kehati-hatian terhadap tawaran pekerjaan online yang tidak diminta. Pandemi telah mengurangi kewaspadaan (tanpa benar-benar meningkatkan pengetahuan komputer dan keuangan.) Akibatnya, terjadi peningkatan frekuensi serangan rekayasa sosial, infeksi virus komputer, dan pencurian identitas.
Bagaimana cara mengidentifikasi dan menghentikan penipuan bank?
Para ahli merekomendasikan untuk menyiapkan sistem pencegahan penipuan lintas saluran untuk secara instan mengidentifikasi transaksi ilegal apa pun. Untuk melakukan analisis menyeluruh, sistem ini harus memanfaatkan kombinasi teknik untuk mendeteksi aktivitas abnormal, menggunakan teknologi pembelajaran mesin (melalui modul penilaian risiko) dan metode berbasis aturan (melalui modul kebijakan).
Penilaian penipuan harus didasarkan pada profil pengguna dan peristiwa dan memperoleh kumpulan karakteristik, yang kemudian dapat digunakan oleh model probabilistik untuk menentukan tingkat risiko. Model sentral dapat berupa pohon Bayesian yang dibuat khusus, di mana node berfungsi sebagai skor probabilitas untuk berbagai kombinasi fitur dan peristiwa.
Dengan menggunakan modul kebijakan dan aturan aslinya, bank dapat menetapkan skenario bisnis uniknya sendiri dan menggabungkan evaluasi risiko akhir yang dihasilkan oleh modul penilaian dan berbagai indikator lain yang diambil dari profil pengguna dan objek lainnya.
Berikut adalah manfaat menerapkan pendekatan ini:
Dengan menerapkan model terpadu, dimungkinkan untuk mengidentifikasi perilaku dan contoh atipikal yang serupa dengan aktivitas penipuan yang diketahui. Ketergantungan pada sistem pihak ketiga untuk membuat profil objek berkurang secara signifikan, dan bank tidak perlu terus-menerus mendapatkan data dari database eksternal. Model dapat dilatih ulang dengan mulus berdasarkan data pengguna baru.
Bank memiliki masalah ketika mereka memverifikasi transaksi
Bank tidak dapat sepenuhnya yakin bahwa semuanya aman. Individu jahat dapat menunjukkan kartu identitas palsu ke bank dan mengotorisasi transaksi yang ditolak oleh sistem antifraud sebelumnya. Bank ingin tahu banyak tentang klien mereka dan melihat transaksi dengan hati-hati, tetapi mereka hanya menyimpan data untuk waktu yang relatif singkat (beberapa bulan), dan sistem harus memberikan jawaban dalam hitungan detik, sesuai perjanjian SLA. Hal ini menyulitkan bank untuk benar-benar yakin tentang setiap transaksi.
Jika bank meluncurkan pemeriksaan yang lebih bertarget dan tambahan, kemungkinan kesalahan dapat dikurangi. Biasanya, pendekatan ini cukup untuk mencapai keseimbangan antara risiko tidak terdeteksinya penipuan dan biaya untuk memverifikasi peristiwa otentik, yang dapat ditunda, disengketakan, atau diblokir.
Pengguna yang sah vs. penyerang dan bot
Bank mengandalkan indikator perilaku dan teknis untuk membedakan bot dan aktor jahat dari pengguna yang sah. Penanda yang berbeda digunakan untuk mendeteksi penipuan di sini. Misalnya, membekukan sementara akun pengguna relatif mudah dan sering digunakan jika pengguna memulai beberapa tindakan yang identik. Metode ini adalah contoh evaluasi berbasis perilaku sederhana yang mengandalkan tanda-tanda teknis.
Jenis serangan paling berisiko melibatkan rekayasa sosial, terutama ketika digunakan seseorang yang dekat dengan target, yang mereka percayai. Dalam situasi seperti itu, indikator perilaku tingkat tinggi adalah satu-satunya cara untuk mencegah atau memperlambat operasi terlarang. Jika data pengguna bocor (kemungkinan menyebabkan pencurian identitas), analisis perilaku memungkinkan bank untuk mencegah transaksi berisiko secara tepat waktu.
Ancaman orang dalam
Karyawan yang bekerja dari rumah terhubung ke tempat kerja organisasi menggunakan VPN atau saluran terlindungi lainnya. Ini mempersulit penjahat dunia maya eksternal untuk menyerang mereka. Pada saat yang sama, mendeteksi aktivitas aneh menjadi tantangan ketika karyawan jahat meminta detail tentang klien bank tertentu dari jarak jauh, karena ini mewakili tugas kerja rutin mereka. Karena tidak ada yang mengawasi karyawan jarak jauh, memantau mereka dengan bantuan webcam komputer mereka sendiri adalah solusi terbaik, seperti halnya petugas keamanan mengawasi ruang kantor melalui kamera video pengawas.
Secara alami, kamera mungkin tidak dapat mengidentifikasi perilaku curang jika karyawan tetap diam dan tidak melakukan gerakan apa pun. Namun demikian, sistem pengawasan modern menjadi lebih cerdas. Dengan bantuan kecerdasan buatan dan informasi yang dikumpulkan sebelumnya, bank dapat melakukan evaluasi risiko gabungan dan dengan cepat mengambil tindakan ketika perilaku karyawan yang tidak biasa terlihat. Elemen keamanan tambahan dapat digunakan dan berfungsi sebagai agen yang dipasang di perangkat atau melalui antarmuka web, atau dimasukkan ke dalam aplikasi perbankan.
Perimeter aman dan pencegahan penipuan
Keadaan saat ini menunjukkan bahwa batas keamanan tradisional organisasi tidak lagi efektif dalam mencegah penipuan. Pendekatan sebelumnya, di mana semua kejadian dan data di dalam perimeter dianggap sah sementara segala sesuatu di luar dianggap berisiko, kini sudah ketinggalan zaman. Sekarang penting untuk memverifikasi dan melindungi data di berbagai tingkat interaksi untuk mencegah satu pelanggaran membahayakan seluruh ekosistem. Pada setiap tahap pembayaran, semua data penting harus dikumpulkan, potensi risiko dievaluasi, dan keputusan dibuat tentang cara melanjutkan transaksi.
Alat antipenipuan awan
Saat bank beralih ke cloud, risiko umum tertentu dalam organisasi dapat dikurangi karena beberapa fungsi ditugaskan ke penyedia pihak ketiga yang tidak bermaksud untuk mengganggu sistem. Dengan penyiapan cloud, penilaian antipenipuan bahkan bisa menjadi lebih baik karena data dari berbagai sumber dapat disatukan, membuat profil lebih banyak objek, dan membuat kumpulan informasi bersama tentang perilaku pengguna.
Namun, ada beberapa risiko yang berhubungan dengan manusia juga. Itu termasuk kemungkinan serangan dari personel penyedia cloud atau pelanggaran data karena karyawan bank tidak mengetahui data dapat tersedia untuk pihak luar. Untuk memperbaikinya, beberapa data sensitif harus dienkripsi sebelum keluar dari perimeter perusahaan, dan data yang tersisa cukup untuk mendapatkan evaluasi risiko yang baik.
Sistem antifraud di bidang lain
Solusi antifraud dapat (dan sedang) berhasil digunakan di berbagai bidang, seperti layanan pembayaran seperti VISA, PayPal, dan Western Union, serta pasar dan toko online besar seperti Amazon dan layanan lain seperti Uber.
Tren dalam memerangi penipuan bank
Pertama, teknologi baru berhasil digunakan untuk memantau aktivitas karyawan dan mengotomatiskan peran yang paling rentan terhadap penipuan. Ini sangat membantu dalam mencegah ancaman internal. Kedua, bank-bank kecil yang berjuang untuk mengamankan sistem mereka memindahkan sistem perlindungan ke cloud, dengan alat antifraud menjadi yang pertama diimplementasikan. Kecerdasan buatan berkembang pesat dan banyak digunakan untuk pencegahan penipuan. Ke depan, integrasi sistem informasi pihak ketiga akan semakin meningkat, seperti yang sudah diamati dengan credit scoring. Selain itu, alat baru akan muncul untuk mengamankan layanan dan saluran pembayaran yang jarang digunakan.
Kredit Gambar: Gustavo Frazao / Shutterstock
Alex Vakulov adalah peneliti keamanan siber dengan pengalaman lebih dari 20 tahun dalam analisis malware. Alex memiliki keterampilan penghapusan malware yang kuat. Dia menulis untuk banyak publikasi terkait teknologi yang berbagi pengalaman keamanannya.
