A major financial institution's CTI and Fraud teams relied on behavior rules that triggered only after fraudulent transactions occurred, with limited visibility into dark web threat actor tools, tactics, and procedures for skimming, selling, and validating compromised cards.

Goal

Proactively detect and mitigate payment fraud before it occurs by gaining visibility into fraudulent card activity, compromised cards, and tester merchants on the dark web.

課題

The institution relied on specific behavior rules—like sudden gift card purchases—that alerted them only after fraudulent transactions occurred. Limited dark web visibility left CTI and Fraud teams blind to threat actors' evolving methods for compromising, selling, and validating stolen cards.

成果

Payment Fraud Intelligence identifies compromised cards on dark web carding shops and tracks dozens of tester merchants weekly, enabling immediate risk score increases for suspicious transactions. The institution identifies at least 2x more at-risk cards compared to manual collection efforts, with confidence high enough to fully automate fraud blocking.

侵害されたカードやカードチェッカーに関するインテリジェンスが、潜在的な不正行為を積極的に警告します

不正支払による損失が数十億ドルに上がり続ける中、金融機関はカード保有者を保護するための新たな方法を模索しています。不正な取引が発生した後に事後的に損失を制限しようとするだけでは、もはや十分ではありません。米国有数の金融サービスプロバイダーは、カード所有者を保護するために不正支払が発生する前に検出して緩和する積極的な手法を取り入れています。

これまで、同機関のサイバー脅威インテリジェンス（CTI）および不正対策チームは、通常は不正な取引が発生した後に、特定の行動ルールに基づいて、カード所有者の疑わしいアクティビティに対してアラートを発信させていました。たとえば、誰かが突然大量のギフトカードを購入した場合、不正検知ルールが作動する可能性があります。しかし、ダークウェブで脅威アクターが行っていることの情報が限られていたため、脅威アクターが侵害したカードをスキミング、販売、検証するために使用する新しいツール、戦術、手順については把握できていませんでした。

現在CTIチームと不正対策チームは、ダークウェブ上の脅威アクターの活動に関する貴重な外部データを得るために、Recorded FutureのPayment Fraud Intelligenceを活用しています。Recorded Futureが提供するデータは、侵害されたカードや既知のテスターマーチャント（盗難カードの有効性をテストするために詐欺師が利用している加盟店）の検出に役立ち、不正のリスクが高いアカウントを特定します。この実用的なデータで金融機関の不正検知ルールを強化することで、盗まれた支払いデータを収益化する前に詐欺師を阻止し、不正やカード会員の混乱を防ぐことができます。

実用性と自動化で不正行為を未然に阻止

Recorded FutureのPayment Fraud Intelligenceは、ダークウェブのカードショップで販売されている侵害されたカードを特定し、盗まれた支払いカード情報を内部記録と照合するために、継続的に更新されるフィードを金融機関に提供します。これにより、既存の検知ルールを強化し、不正行為を確実にブロックするための積極的な対策を講じることができます。

データの実用性は極めて重要です。「実用的でなければ、社内の従業員にとってもカード所有者にとっても大きな時間の無駄になります」とCTI副社長は説明します。不正行為に対抗するには、時間が非常に重要です。不正行為の発見が早いほど、経済的損失は小さくて済みます。CTI担当副社長いわく、「顧客のカードで取引が行われ、Recorded Futureによってそのカードがダークウェブに存在したり、既知のカードテスト用加盟店で使用されていたりすると特定された場合、その取引は実際には不正であることがほとんどです。不正対策チームにフィードバックを求めると、非常に実用的なので満足していると答えています。」

侵害されたカードデータのほかにも、同金融機関は詐欺師が利用しているカードチェッカーサービスとテスターマーチャントに関するRecorded Futureのインテリジェンスを取り入れています。ダークウェブ市場は、侵害されたカードを売りに出す前に、カードが有効か判断するためにこれらのサービスを利用していることが知られていますが、犯罪者は収益化する前に同じ目的でカードチェッカーサービスを利用します。Recorded Futureは主要なカードチェッカーサービスを追跡し、毎週犯罪者が使用する数十の異なるテスターマーチャントを特定します。

「カードチェッカーのデータから、不正が発生しようとしていることを迅速に確認できる重要なフィードが提供されます」と、同機関の不正行為脅威ハンターは述べています。カードチェッカーサービスで使用されているカードテスト用加盟店を特定することで、同機関は、既知のカードテスト用加盟店で低額取引やゼロドル認証を行っているカードのリスクスコアを即座に引き上げることができます。

不正リスクの測定可能な軽減

「チェッカーのデータを使用することで、カードにテストチャージがあるかどうかを判断するのに非常に役立ちました。これは私たちが行動を起こさなければならない合図になります」と、詐欺脅威ハンターは言います。

Recorded Futureのインテリジェンスにより、同機関が手動で行う場合と比べて、2倍以上のリスクのあるアクティブな顧客支払いカードを特定できました。手動での収集は、他のベンダーが集めたダークウェブフォーラムからの情報や、業界内で共有される情報をもとに行われています。

「私たちはRecorded Futureに非常に高い信頼を寄せており、自動化を任せています。自動化こそが、Recorded Futureの大きな利点です」とCTIのVPは言います。CTIチームはダークウェブをスキャンする他のベンダーも活用していて、その情報を基に盗難カードを手動で見つけて不正対策部門に報告します。「もちろん手作業でも多くの盗難カードを見つけていますし、この取り組みにはリソースを割く価値がありますが、その手法は、Recorded Futureが提供する実用性の高いフィードによる自動化には到底かないません。」

金銭的損失を防ぎ、カード所有者の体験を向上させてくれるRecorded Futureの能力は、会社全体に影響を及ぼしました。CTI副社長はこのように語っています。「Recorded Futureは詐欺の軽減に本当に役立ちました。異なる使命を持ち、常に頻繁にコミュニケーションをとるわけではないさまざまな利害関係者全員が、提供される情報が当行にとって本当に価値があるという合意に達することができました。」