Major Financial Institution Identifies 2x More At-Risk Cards Through Automated Intelligence
One of America's largest financial institutions shifts from reactive fraud rules to proactive dark web monitoring, gaining confidence to automate fraud processes while preventing cardholder disruption before monetization occurs.
A major financial institution's CTI and Fraud teams relied on behavior rules that triggered only after fraudulent transactions occurred, with limited visibility into dark web threat actor tools, tactics, and procedures for skimming, selling, and validating compromised cards.
Goal
Proactively detect and mitigate payment fraud before it occurs by gaining visibility into fraudulent card activity, compromised cards, and tester merchants on the dark web.
Défi
The institution relied on specific behavior rules—like sudden gift card purchases—that alerted them only after fraudulent transactions occurred. Limited dark web visibility left CTI and Fraud teams blind to threat actors' evolving methods for compromising, selling, and validating stolen cards.
Résultat
Payment Fraud Intelligence identifies compromised cards on dark web carding shops and tracks dozens of tester merchants weekly, enabling immediate risk score increases for suspicious transactions. The institution identifies at least 2x more at-risk cards compared to manual collection efforts, with confidence high enough to fully automate fraud blocking.
Cyber Threat Intelligence Vice President
Importante institution financière
Le renseignement sur les cartes compromises et les services de vérification de cartes fournissent des signaux d’alerte précoces sur de potentielles activités frauduleuses.
Alors que la fraude aux paiements continue de coûter des milliards de dollars, les institutions financières cherchent de nouvelles façons de protéger leurs porteurs de carte. Tenter de limiter les pertes après une transaction frauduleuse n’est plus suffisant. Pour protéger leurs clients, l’un des plus grands prestataires de services financiers du pays adopte désormais une approche proactive visant à détecter et à atténuer la fraude avant qu’elle ne survienne.
Auparavant, les équipes de l’institution chargées du renseignement sur les cybermenaces (CTI) et de la fraude s’appuyaient sur des règles comportementales spécifiques pour signaler une activité suspecte chez les détenteurs de cartes : généralement après des transactions frauduleuses. Par exemple, si quelqu’un se mettait soudainement à acheter une grande quantité de cartes-cadeaux, les règles de détection de fraude se déclenchaient. Cependant, l’équipe disposait de très peu d’informations sur les activités des acteurs malveillants sur le dark web, ce qui la laissait aveugle face aux nouveaux outils, tactiques et procédures utilisés pour collecter, revendre et valider des cartes compromises.
Aujourd’hui, les équipes CTI et de lutte contre la fraude s’appuient sur le module Payment Fraud Intelligence de Recorded Future pour obtenir des données externes essentielles sur l’activité des acteurs malveillants sur le dark web. En aidant à détecter les cartes compromises et les commerçants testeurs (marchands utilisés par les fraudeurs pour vérifier la validité de cartes volées), les données de Recorded Future identifient les comptes les plus exposés à un risque de fraude. L’enrichissement des règles antifraude de l’institution avec ces données exploitables permet de perturber les fraudeurs avant qu’ils ne puissent monétiser les données volées : empêchant ainsi fraudes et perturbations pour les porteurs de carte.
Exploitabilité et automatisation : stopper la fraude dans son élan
Le module Payment Fraud Intelligence de Recorded Future détecte les cartes compromises vendues sur les boutiques de carding du dark web, et fournit à l’institution un flux continu permettant de faire correspondre ces informations de cartes de paiement volées avec les enregistrements internes. Cela renforce les règles de détection existantes et permet de prendre des mesures proactives pour bloquer l’activité frauduleuse.
Cyber Threat Intelligence Vice President
Importante institution financière
Il est essentiel que les données soient exploitables. « Si les informations ne sont pas exploitables, c’est une énorme perte de temps, à la fois pour nos collaborateurs internes et pour nos détenteurs de carte », explique le VP CTI. Dans la lutte contre la fraude, chaque minute compte. Plus une activité frauduleuse est détectée tôt, plus les pertes financières sont réduites. « Lorsque des transactions sont effectuées sur des cartes client identifiées par Recorded Future comme étant présentes sur le dark web ou utilisées sur des "commerçants testeurs" connus, dans la majorité des cas, la transaction est bel et bien frauduleuse », indique le VP CTI. « Quand nous lui demandons son avis, l’équipe chargée de la fraude est toujours satisfaite ; elle trouve que les informations sont vraiment exploitables. »
En plus des cartes compromises, l’institution s’appuie également sur le renseignement de Recorded Future concernant les services de vérification de cartes et les commerçants testeurs utilisés par ces services. Les marketplaces du dark web utilisent ces services pour vérifier qu’une carte compromise est valide avant de la mettre en vente. Les criminels utilisent ces services pour les mêmes raisons avant de monétiser les cartes. Recorded Future suit les principaux services de vérification de cartes pour identifier les dizaines de commerçants testeurs auxquels ils ont recours chaque semaine.
« Les données des services de vérification de cartes constituent un flux critique qui nous permet de voir très rapidement qu’une fraude est sur le point de se produire », explique un chasseur de fraudes de l’institution. L’identification des commerçants testeurs utilisés par les services de vérification de cartes permet à l’institution d’augmenter immédiatement le score de risque des cartes à l’origine de petites transactions ou des autorisations à zéro frais auprès des commerçants testeurs connus.
Une réduction mesurable du risque de fraude
« L’utilisation des données des services de vérification nous a été extrêmement utile pour repérer ces transactions de test sur les cartes, ce qui nous signale qu’il faut intervenir », ajoute le chasseur de fraudes.
Le renseignement de Recorded Future a permis d’identifier au moins deux fois plus de cartes client actives à risque que les efforts de collecte manuels déployés par l’institution via les forums du dark web d’autres vendeurs ou les réseaux de partage de cartes de paiement entre pairs.
« Nous avons une très grande confiance en Recorded Future, suffisamment pour l’automatiser. » C’est le grand avantage de Recorded Future : l’automatisation », explique le VP CTI. L’équipe CTI dispose d’autres fournisseurs qui analysent le dark web, et à partir du renseignement collecté, l’équipe trouve et signale manuellement les cartes volées aux opérations antifraudes. « Nous détectons un grand nombre de cartes volées manuellement et cela vaut la peine d’y consacrer des ressources humaines, mais cette approche ne rivalise pas avec l’automatisation apportée par les flux de données hautement exploitables que nous fournit Recorded Future. »
La capacité de Recorded Future à prévenir les pertes financières et à améliorer l’expérience des détenteurs de cartes a eu un impact sur l’ensemble de l’entreprise. Le VP CTI souligne : « Recorded Future nous a vraiment aidés à atténuer la fraude, et de nombreuses parties prenantes aux missions différentes, qui ne communiquent pas forcément souvent, s’accordent à dire que le renseignement fourni nous a été extrêmement précieux. »