Sodikin.ID – Mengamankan identitas dengan data perilaku membantu menangkap upaya penipuan lebih awal.
Mendapatkan identitas yang salah di kasir e-niaga datang dengan harga terlampir. Jika itu adalah penipu, transaksi penipuan akan terjadi dan Anda mendapatkan tolak bayar. Tetapi jika pengguna sah yang Anda blokir, Anda kehilangan penjualan dan mendapatkan semua kerusakan reputasi.
Percepatan digitalisasi dalam beberapa tahun terakhir telah memberikan saluran yang cepat dan efisien tetapi juga meningkatkan peluang bagi penipu untuk mengeksploitasi kelemahan keamanan dan mencuri data, produk, dan uang.
Penggunaan bot untuk mengotomatisasi aktivitas ini memungkinkan penipu untuk menyerang perusahaan dengan sangat cepat dan dalam skala murah, meretas kata sandi, menyiapkan akun palsu, dan mengambil data berharga dari situs web yang mereka targetkan, kata Alasdair Rambaud, Kepala Penipuan di Ping Identity.
Untuk mengatasi masalah ini, organisasi semakin mengandalkan data perilaku untuk mengidentifikasi pelaku jahat dan melindungi dari kerugian.
Ini adalah masalah yang dibahas secara mendalam dalam whitepaper baru dari Ping Identity.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Data perilaku dapat mendeteksi bahkan bentuk penipuan paling canggih sekalipun tanpa bergantung pada data pengguna pribadi. Ini dapat diterapkan pada setiap tahap perjalanan pelanggan, memungkinkan deteksi dini, sambil memberikan bentuk identifikasi yang lebih kuat dan lebih cerdas yang tidak menciptakan lebih banyak pekerjaan bagi pengguna.
Keuntungan dari teknologi biometrik perilaku adalah ia bekerja tanpa terlihat di belakang layar, terus melindungi transaksi dan memerangi penipuan tanpa memerlukan intervensi pengguna langsung.
Apa itu data perilaku dan mengapa itu penting?
Data perilaku adalah istilah yang digunakan untuk menggambarkan informasi tentang bagaimana pengguna berinteraksi dengan situs web, aplikasi, perangkat, dan lainnya. Ini adalah sumber data yang kuat yang unggul dalam membasmi penipuan, pencuri cyber dan penjahat.
Segala sesuatu yang Anda lakukan memiliki pola untuk itu. Dari rutinitas pagi Anda hingga jadwal kerja Anda. Hal yang sama berlaku untuk cara kita berperilaku online. Setiap kali Anda berinteraksi dengan perangkat atau aplikasi, Anda menghasilkan data yang mencoba mengukur perilaku Anda.
Baik itu lokasi Anda, berapa kali Anda mengklik halaman, geser ke kiri pada orang atau produk, (atau ke kanan), durasi waktu yang dihabiskan, seberapa jauh Anda menggulir sebelum beralih ke hal berikutnya, bahkan jenis perangkat Anda gunakan – setiap interaksi menghasilkan data yang memberi tahu kami sesuatu tentang kepribadian, suasana hati, atau niat Anda. Dan informasi itu dapat direpresentasikan dalam kumpulan data.
Tetapi bot dan emulator yang digunakan selama operasi penipuan juga memiliki pola perilaku yang berbeda, jenis yang tampaknya menyarankan seseorang — atau sesuatu — mencoba meniru perilaku manusia.
Apa itu bot?
Bot hanyalah skrip otomatis yang memungkinkan Anda melakukan tugas berulang berulang kali, dalam skala yang sangat besar.
Banyak bot adalah program atau aplikasi perangkat lunak yang sah yang digunakan untuk meniru dan mengotomatiskan perilaku manusia dengan cepat, efisien, dan dalam skala besar. Program-program ini telah menjadi cukup canggih dalam meniru perilaku manusia, bahkan menghindari sistem deteksi paling canggih, seperti Google reCAPTCHA.
Tapi mereka juga alat untuk penipu.
Ada tiga area khususnya penipu yang biasa menyebarkan bot, menurut Rambaud.
Yang pertama adalah isian kredensial.
“Ini adalah sesuatu yang banyak kita lihat dalam perdagangan dan perbankan. Dalam hal ini, bot digunakan untuk mencoba puluhan atau bahkan ratusan ribu login dan kata sandi ke akun untuk mendapatkan akses. Setelah itu selesai, maka manusia akan mengambil alih.”
Pembuatan akun adalah target tipikal lainnya untuk bot penipuan. “Proses pembuatan akun seringkali sangat sederhana dan mudah, terutama karena pedagang mencoba menciptakan pengalaman pelanggan yang paling mudah dengan menghilangkan gesekan dari proses tersebut.”
Penipu di sisi lain mencari untuk membuat sejumlah besar akun sekaligus untuk digunakan dalam penipuan di masa depan.
“Atau mereka mungkin mencoba mengeksploitasi kampanye pemasaran yang menawarkan uang tunai atau hadiah lain kepada pelanggan yang mendaftar untuk layanan,” katanya.
Penggunaan tipikal ketiga untuk bot adalah untuk pengikisan konten. “Dalam kasus ini, penyerang ingin mengetahui semua yang Anda jual di situs Anda dan harga yang Anda jual. Mereka mungkin juga mencari barang tertentu dengan harga eceran tinggi yang bisa mereka curi.”
Bagaimana bot meniru perilaku manusia?
Kabar baiknya adalah, terlepas dari upaya terbaik mereka, bahkan bot paling canggih pun tidak dapat sepenuhnya meniru gerakan dan interaksi yang mencerminkan nuansa bawaan dari perilaku manusia.
Bot dibangun untuk menyelesaikan tindakan yang sangat sederhana dan dilatih untuk memproses logika.
Serangan skala besar dengan kecepatan, misalnya, hanya membutuhkan bot sederhana yang menggunakan serangan langsung API atau isian kredit. Sementara bot yang lebih canggih, meskipun sedikit lebih lambat dan lebih mahal, memenuhi tantangan berbasis logika yang disajikan oleh GUI dari target nilai yang lebih tinggi.
Serangan-serangan ini tetap mengekspos diri mereka sendiri dengan menunjukkan perilaku non-manusia.
Sapuan jari pada perangkat seluler, misalnya, memiliki beberapa dimensi: kecepatan, sudut, tekanan, dan perubahan orientasi perangkat. Bot tidak dapat menghasilkan jenis data sensorik ini, dan jika mereka melakukannya, itu akan terlihat. Tombol lainnya memberitahu termasuk kursor yang bergerak terlalu cepat, peralihan cepat antara input keyboard dan mouse, atau teks yang masuk terlalu cepat. Jenis perilaku ini tidak konsisten, dan bervariasi di seluruh perangkat dan program, memerlukan solusi fleksibel yang dapat mengidentifikasi dan mengakomodasi perbedaan ini.
Tapi bagaimana jika data ini juga bisa digunakan untuk mendeteksi penipuan?
Kemampuan untuk mengidentifikasi maksud di balik setiap aktivitas dengan benar adalah kunci untuk melindungi privasi dan keamanan kita.
Data perilaku dan pembelajaran mesin memungkinkan penerapan solusi yang dapat disesuaikan yang dapat dilatih untuk mengidentifikasi perilaku non-manusia dan membedakan antara pencuri dan pengguna yang sah. Karena tidak bergantung pada aturan atau tanda tangan yang telah ditentukan, ia dapat mengidentifikasi dan mempelajari perilaku bot baru saat mereka berevolusi.
Deteksi yang berkembang
Cara penipuan terdeteksi telah berubah selama bertahun-tahun. Pada hari-hari awal internet, data transaksi seperti nomor kartu kredit, alamat surat atau alamat pengiriman diperiksa untuk menetapkan identitas, tetapi data itu statis dan mudah dikumpulkan melalui aktivitas seperti rekayasa sosial, atau pengikisan halaman.
Belakangan, terutama dengan munculnya perdagangan seluler, penekanannya bergeser ke merancang data.
Dalam kedua kasus, meskipun mitigasi penipuan tidak muncul sampai tingkat transaksi.
“Ketika Anda memiliki pengguna di situs Anda selama beberapa menit, Anda dapat melihat apa yang mereka lakukan, Anda dapat menganalisis perilaku mereka.”
Menurut Rambad, “Penipu berperilaku sangat berbeda dengan pengguna. Pengguna yang sah misalnya hampir selalu benar ketika mereka memasukkan data, seperti login atau kata sandi. Anda hampir dapat mengasumsikan tingkat keberhasilan 100 persen. Jika Anda mencoba memindahkan uang atau membeli sesuatu, Anda akan melakukannya dengan benar sembilan kali dari sepuluh. Bagi penipu, justru sebaliknya. Bot beroperasi dengan peluang kegagalan lebih dari 99 persen.”
Namun, dengan mempelajari perilaku di situs sebelum transaksi, perilaku curang dapat diidentifikasi sebelum keranjang belanja – dalam kasus pedagang misalnya – tercapai.
“Cara kerja Ping adalah menyediakan kemampuan untuk menangkap penipu lebih cepat dalam prosesnya. Semakin banyak waktu dan kebebasan yang dimiliki penipu di situs web Anda, semakin banyak kerusakan yang dapat mereka lakukan, ”kata Rambad.
“Jika metodologi Anda hanya untuk menangkap mereka pada titik transaksi ketika mereka memonetisasi penipuan mereka, Anda telah kehilangan banyak peluang untuk menghentikan mereka.
“Ping memiliki banyak titik kontak dengan pengguna sepanjang perjalanan dan dengan menyuntikkan sinyal penipuan garis Ping di awal sesi, Anda dapat menghentikan orang tersebut masuk, meminta pengaturan ulang kata sandi, atau memicu otentikasi multifaktor.”
Dengan menciptakan gesekan tambahan ini, Anda dapat memiliki tingkat kepercayaan yang lebih tinggi terhadap identitas pengguna pada saat mereka tiba di kasir, kata Rambud.
Artikel Pendidikan dan Kajian Islam tentang Mengamankan identitas dengan data perilaku membantu menangkap upaya penipuan lebih awal.
