احراز هویت مبتنی بر ریسک در بانکداری دیجیتال
احراز هویت مبتنی بر ریسک در بانکداری دیجیتال به یکی از الزامات ارائه خدمات بدوندرز (Seamless) تبدیل شده است. در حال حاضر، شناسایی و احراز هویت راه دور مشتری به روند مهمی در بانکداری تبدیل شده است. خدمات مدیریت ریسک باید با تأیید سند و تشخیص چهره ترکیب شوند تا روند دیجیتال شروع همکاری با مشتری جدید را بهبود بخشد.
با بهرهگیری از این رویکرد، مشتری جدید پس از ثبت نام میتواند به راحتی از طریق اینترنت به حسابهای خود دسترسی پیدا کرده و به سرعت و با اطمینان بالا تراکنشهای مد نظر خود را انجام دهد. امروزه داشتن یک راهحل خوب برای احراز هویت چند عاملی بسیار حیاتی است. مشتریان در عصر ارتباطات انتظار دارند که فاکتور دوم هنگام دسترسی به حساب بانکی آنلاین آنها اضافه شود که میتواند اثر انگشت یا احراز هویت تشخیص چهره در یک برنامه تلفن همراه، رمز OTP یا راهحل دیگری باشد.
مدیریت ریسک در بهبود اعتماد مشتریان به بانکها
مشتریان برای ایمن نگه داشتن حساب خود به موسسه مالی خود اعتماد می کنند، اما در عین حال به دنبال تجربهای بدوناصطکاک (Frictionless) هستند. مقررات سختگیرانه جدید مانند PSD2 در اتحادیه اروپا، فشار زیادی به موسسات مالی برای معرفی احراز هویت قوی مشتری (SCA) وارد میکنند، در عین حال، این قوانین بر تجربه کاربر تمرکز دارند و معافیتهایی را برای احراز هویت در سطوح پایین خطر مجاز میدانند. این همان جایی است که مدیریت ریسک برای افزایش دسترسی کاربر وارد عمل میشود.
با افزودن خدمات مدیریت ریسک هوشمند به مرحله دسترسی، سطح ریسک هر تراکنش مشتری تجزیهوتحلیل میشود و توصیهای در مورد مناسبترین روش احراز هویت ارائه میشود. این روش میتواند به کاهش سوء استفاده از حساب کاربری (Account Takeover-ATO) کمک کند.
مؤسسات مالی با احراز هویت مبتنی بر ریسک (RBA) میتوانند سیاستهای سازگار مستمر را بر اساس تقسیمبندی مشتریان، تنظیمات مشتری و موارد استفاده تعریف کنند. تکنیکهای احراز هویت مبتنی بر ریسک در پس زمینه و بدون ایجاد مشکل برای مشتری اجرا میشوند تا بهترین تجربه کاربر نهایی را ارائه دهند.
تکنیکهای مدیریت ریسک احراز هویت در بانکداری دیجیتال
تکنیکهای متفاوتی برای مدیریت ریسک و احراز هویت مبتنی بر ریسک در بانکداری دیجیتال استفاده میشوند که می توان از آنها برای شناسایی تقلب در هنگام تلاش کاربر برای دسترسی به حساب بانکی و استفاده از آن بهره گرفت.
هوشمندی IP
پارامترهایی مانند مکان جغرافیایی، قابلیت اطمینان دستگاه، آدرسهای IP، استفاده از VPN یا استفاده از مرورگر تور (TOR) برخی از ویژگی های قابل تجزیهوتحلیل در این حوزه هستند. به عنوان مثال، اگر کاربر از کشوری غیرمعمول متصل شود یا فاصله غیرطبیعی در بین مکان جغرافیایی انجام دو تراکنش شناسایی شود، امتیاز ریسک کاربر افزایش مییابد.
پروفایل دستگاه
اطلاعات و سیگنالهای زیادی وجود دارد که میتوان برای کنترل سلامت دستگاه مورد استفاده برای انجام تراکنش از رایانه شخصی و دستگاههای موبایل جمعآوری کرد. اگر کاربر دستگاه جدیدی داشته باشد اطلاعات تولید شده توسط دستگاه به شما اطلاع میدهد که ریسک استفاده از آن بیشتر است. همچنین اگر چندین اتصال را از یک دستگاه برقرار شود این میتواند به معنای در معرض ریسک قرار گرفتن آن دستگاه باشد.
پروفایل کاربر
دانستن اینکه معمولاً مشتری چگونه با کانالهای دیجیتال ارتباط برقرار میکند به مؤسسات مالی اجازه میدهد حتی با پیچیدهترین حملات مهندسی اجتماعی نیز مقابله کنند. سنجش بیومتریک رفتاری این امکان را فراهم میکند که بانک با تجزیهوتحلیل بلادرنگ و نامحسوس نحوه تایپ روی صفحه کلید لپتاپ یا نحوه استفاده از دستگاه تلفن همراه توسط شخص انجامدهنده تراکنش، صحت ادعای هویتی کاربر را ارزیابی نماید.
همچنین بانک با جمعآوری اطلاعات مربوط به رفتار تراکنشی کاربر میتواند به الگوی صرف هزینه توسط کاربر دست یابد که در تشخیص تراکنشهای غیرمعمول انجام شده توسط یک کلاهبردار به کار گرفته میشود.
تشخیص تهدیدات سایبری
این ماژول برای ردیابی تروجانها، تروجان با دسترسی از راه دور (RAT)، همپوشانی و دسترسی رباتها مورد استفاده قرار میگیرد. اگر دستگاه مورد استفاده به بدافزار آلوده باشد این یک نشانه واضح است که مقدار ریسک بسیار بالا است.
هوش جمعی (کنسرسیومی)
کلاهبرداران حملات خود را برای دسترسی به بانکهای مختلف تکرار میکنند. اعتماد به دانش کسب شده توسط سایر مؤسسات مالی میتواند قدرت تشخیص تقلب هر مؤسسه را به شکل قابل ملاحظهای افزایش دهد. اگر کاربر از دستگاهی استفاده میکند که قبلاً در حملات به بانک یا بازرگان دیگر مشاهده شده است باید پرچم هشداردهنده برافراشته شود.
بیشتر بخوانید: زیستبوم هویت دیجیتال در بانکداری
احراز هویت مبتنی بر ریسک در بانکداری
جمعآوری تمام این اطلاعات از چندین منبع مختلف و ادغام آنها در روند احراز هویت میتواند دشوار باشد. برای این منظور، یک مدیر سیاستگذاری مورد نیاز است که بتواند تمام دادههای دریافتی را با یک رویکرد مدیریت ریسک سراسری ترکیب کرده و نمره ریسک کاربر را محاسبه نماید و برای اقدام بعدی تصمیم بگیرد. اگر ریسک کم است تراکنش مجاز است در صورت شناسایی ریسک باید مشتری با یک لایه تأیید اعتبار اضافی به چالش کشیده شود یا اگر ریسک خیلی زیاد تشخیص داده شود حساب کاربری مشتری مسدود میشود.
به این ترتیب میتوان جریان احراز هویت را به روشی انعطافپذیر و پویا تنظیم نمود و پیشبینی و برنامهریزی حمله را برای کلاهبرداران دشوارتر کرد. چالش ارائه شده برای تأیید هویت مشتری میتواند بسته به گزینههای تأیید اعتبار چند عاملی مورد استفاده توسط موسسه مالی مانند FaceID یا اثر انگشت در تلفن همراه یا یک دستگاه سختافزاری اختصاصی برای تولید گذرواژه های یکبار مصرف (OTP) متفاوت باشد.
احراز هویت قوی و راحتی کاربر
جلوگیری از کلاهبرداری بانکها و مؤسسات مالی همیشه در اولویت قرار دارد، اما اولویت آن بیشتر از راحتی ارائه شده به مشتری از طریق به کارگیری مدیریت ریسک نیست. هدف این است که بین کاربرانی که خطر ایجاد میکنند و اکثریت قریب به اتفاق بدون خطر تفاوت ایجاد شود. مشتریانی که خطری را ایجاد نمیکنند، باید هنگام دسترسی به حساب خود، تجربه بدون اصطکاکی داشته باشند و با مراحل احراز هویت غیرمجاز و ضروری اذیت نشوند.
ما با تکیه بر تجربیات خود تأکید میکنیم که مؤسسات مالی باید نگاهی جامع داشته باشند و از راهحل مدیریت ریسک هم برای ثبتنام مشتریان جدید و هم برای محافظت از آنها در هنگام دسترسی و استفاده آنلاین از خدمات استفاده کنند.
نویسنده: تورج اکبری
[1] https://www.thalesgroup.com/