Birçok insan için hayatın temel faaliyetleri artık çevrimiçi olarak yürütülüyor. Banka işlemlerimizi ve alışverişlerimizi çevrimiçi yapıyoruz, eğlence ve tıbbi kayıtlara erişmek için dijital dünyaya dönüyoruz ve flört siteleri aracılığıyla romantik ilgi alanlarımızın peşinden koşuyoruz.
Bu, uygulamaların ve çevrimiçi hesapların artık özel dijital davranışların kayıtları, kimlik verilerinin kendisi ve bankamızdaki paradan daha değerli olabilecek sağlık bilgileri dahil olmak üzere çok büyük miktarda kişisel ve finansal bilgimizi depoladığı anlamına gelir. Doğal olarak bu hesaplar, dolandırıcılık ve diğer siber suçlara kapı açarak müşteri hesaplarını ele geçirmeye ve veri toplamaya çalışan suçlular için birincil hedef haline geldi.
Çok faktörlü kimlik doğrulama (MFA), kullanıcının bir uygulamaya, çevrimiçi hesaba veya başka bir hizmete erişim elde etmek için iki veya daha fazla doğrulama faktörü sunmasını gerektirerek çevrimiçi hesaplar için koruma sağlamak üzere geliştirilmiştir.
İyi tasarlanmış MFA yöntemleri, bir kuruluşun güvenlik ekosisteminde yer almaya devam eder ve MFA’nın HIPPA, Ödeme Kartı Endüstrisi Veri Güvenliği Standartları (PCI-DSS), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) gibi birçok küresel düzenlemeye uyması gerekir. ), GDPR ve AB’nin Ödeme Hizmetleri Direktifi 2 (PSD2).
Kuruluşların MFA’nın ötesine geçen korumalara ihtiyacı var
Ancak MFA kontrolleri aynı zamanda önemli ölçüde sürtüşme yaratarak müşterilerin hayal kırıklığına uğramasına neden olur ve ticari geliri olumsuz etkiler. Ek olarak, MFA artık dolandırıcılığı durdurmak için sihirli bir değnek değildir, çünkü suçlular artık verilere ve hesaplara erişim elde etmek için bir dizi siber saldırı kullanarak MFA savunmalarını rutin olarak atlamaktadır:
- Kimlik avı saldırıları insanları kandırarak oturum açma kimlik bilgileri veya diğer hassas veriler gibi özel bilgileri ifşa etmeleri için kandırmak için kötü amaçlı e-posta, kısa mesajlar veya sosyal medya mesajları kullanın. Saldırgan, güvenilir bir varlık kılığına girerek kurbandan tek seferlik bir parola veya başka bir faktör girmesi için sahte bir web sayfasında oturum açmasını ister. Dolandırıcılık web sitesi, verileri toplar ve dolandırıcıya MFA’yı atlatması için anahtarları verir.
- MFA taşması erişim elde etmek için insanın öfkesine güvenir. Suçlular, botları kullanarak kurbanları sonsuz MFA push oturum açma istekleriyle bombalar. Bunalmış kurban, “reddet” yerine yanlışlıkla “kabul et”e basabilir veya yalnızca bildirimleri durdurmak için vazgeçip itmeyi onaylayabilir ve suçlunun MFA’yı atlamasına olanak tanır.
- Kötü amaçlı yazılım tabanlı saldırılar genellikle kötü amaçlı ekler yoluyla kurbanların cihazlarına bulaşır. Blackguard Infostealer ve MaliBot gibi kötü amaçlı yazılım türleri, kimlik doğrulama ve MFA kodları içeren çerezler dahil olmak üzere çok çeşitli kişisel verileri çalmak için tasarlanmıştır. Bunlar ellerinde olduğunda, suçlular MFA’yı atlayabilir ve kimlik doğrulama faktörleri sağlamadan hesaplara erişebilir.
Daha bütünsel koruma için MFA’yı yeni akıllı teknolojilerle destekleyin
MFA kontrolleri değerlidir ancak artık çevrimiçi uygulamaları ve hesapları korumak için yeterli değildir; CISA bile geleneksel MFA’nın sınırlamalarını kabul eder. Ve MFA, geri dönen değerli müşterilerde şimdiden önemli ölçüde rahatsızlığa neden oluyor.
Uyarlanabilir bot azaltma yazılımı, makine öğrenimi tabanlı hesap koruma teknolojileri ve akıllı dijital kimlik doğrulama ve kimlik doğrulama platformları gibi yeni nesil gelişmiş teknolojiler, geleneksel MFA’nın gücünü artırır.
Kuruluşlar, kullanıcı sürtünmesini artırmadan MFA’yı artırmak ve uygulamalar ve çevrimiçi hesaplar için daha kapsamlı korumalar sağlamak için aşağıdaki üç adımı atmalıdır.
1. Botları ağlarınızdan kaldırın. Bot orduları, suçluların saldırılarını ölçeklendirmesine, MFA kontrollerini atlamasına ve dolandırıcılığı etkinleştirmesine olanak tanır. Otomasyon, ister MFA taşması ister kimlik avı saldırıları olsun, botların atanan görevlerinin peşinden koşmak için büyük ölçüde konuşlandırılabileceği anlamına gelir. Yeni bot savunma teknolojileri, kimlik bilgisi doldurma, sahte hesap oluşturma ve envanter istifleme dahil olmak üzere en yaygın bot saldırı vektörlerinde otomasyonun maskesini düşürmek ve dolandırıcılık artışını azaltmak için cihaz ve davranış sinyallerini analiz ediyor.
2. Hesap koruma ve dolandırıcılık tespitinde sola kaydırın. Yalnızca ödemeleri veya ödemeyi (son mil) korumakla kalmayın, aynı zamanda oturum açmadan itibaren yukarı akış saldırgan sürekliliğini de savunun. Kullanıcı amacını belirlemeye yardımcı olmak ve kötü niyetli kişiler oturum açma girişiminde bulunmadan önce kötü niyetli etkinlikleri durdurmak için altyapıyı, davranışları ve dijital kimlikleri izleyin. Hesap koruma çözümleri artık kullanıcı hesaplarını anormallikler ve şüpheli davranışlar için uçtan uca izlemek, dolandırıcılık modellerini ve riskli işlemleri gerçekleşmeden önce belirlemek için telemetri, sinyal toplama ve yapay zeka ve makine öğrenimi modellemesinden yararlanıyor.
3. Bilinen iyi kullanıcıları tanıyın ve onları alıcının yolculuğu boyunca hızlandırın. Geri dönen değerli müşterileri sinir bozucu MFA gereksinimleriyle sürekli olarak cezalandırmayın. Modern kimlik doğrulama platformları, bilinen güvenilir müşterileri tanımak ve bunlar için oturum açma sürtüşmelerini ortadan kaldırmak için yapay zekayı kullanarak perde arkasında kimlik doğrulamasını kolaylaştırır. Bilinen cihazlarda geri dönen müşteriler için kullanıcı oturumlarını uzatın ve onları kişiselleştirilmiş, zahmetsiz bir deneyimle karşılayın, tıpkı TSA’nın güvenilir yolcuları TSA PreCheck ile hızlandırdığı gibi.
Kuruluşların külfetli, herkese uyan tek boyutlu MFA kontrolleri ile güvenli bir müşteri deneyimi arasında bir denge bulması gerekir. Gelişmiş yeni teknolojiler, en iyi müşterileriniz için sürtüşmeleri artırmadan kullanıcı yolculuğu boyunca gerçek zamanlı koruma sağlamak için geleneksel MFA kontrollerini gelişmiş yapay zeka ve makine öğrenimi modellemesiyle güçlendirebilir.