410 億ドル問題への取り組み: オンライン ストアを e コマース詐欺から守る方法
公開: 2023-05-16
オンライン ストアを運営している場合は、詐欺師の標的になっている可能性が高くなります。
e コマース詐欺は増加しており、システムを騙すハッカーの新たな手法を把握し続けることがますます困難になっています。 2022 年、e コマース所有者は詐欺により約 410 億ドルを失いましたが、これは北米だけの問題ではありません。
ラテンアメリカのオンライン販売者は、e コマース詐欺だけで総収益の約 3% を失い、それに僅差でアジア太平洋地域の販売者が続きます。
この記事では、e コマース詐欺の種類、その実行方法、予防策、オンライン ビジネスを保護するために使用できるツールについて説明します。
- eコマース詐欺とは何ですか?
- なぜ e コマース詐欺を防ぐのか?
- ソース別の詐欺攻撃ランキング
- eコマース詐欺の種類
- その他の防止策
- eコマース詐欺防止ツール
eコマース詐欺とは何ですか?
e コマース詐欺とは、オンライン決済を違法に傍受したり、オンライン店舗を運営するシステムを悪用したりすることで、被害者に経済的および評判の損失をもたらします。
世界の e コマース市場は 2022 年に 16 兆 6,000 億ドルの価値があり、今後 5 年間で 27.43% の成長が見込まれています。つまり、犯罪者が攻撃する機会がこれまで以上に増えることになります。
– 出典: IMARC グループ
ほとんどの攻撃は支払いに関連していますが、一部はフィッシングや個人情報盗難に焦点を当てています。 もう 1 つは、フレンドリー詐欺とも呼ばれるチャージバック詐欺です。 どのような方法であっても、中小企業にとっては常に壊滅的な結果が生じます。
なぜ e コマース詐欺を防ぐのか?
e コマース詐欺を防止することは、オンライン販売者と消費者の両方にとって不可欠です。 不正な取引は、経済的損失を引き起こし、個人情報のセキュリティを侵害し、オンライン ショッピングの信頼を損なう可能性があります。
e コマース詐欺を防ぐ理由は次のとおりです。
- 不正取引によるチャージバック、返金、財務的損失のリスクを軽減し、ビジネスの財務健全性を保護します。
- クレジットカード番号、住所、連絡先などの顧客の個人情報を不正な手に渡らないように保護します。
- 安心・安全なショッピング体験を提供することで、顧客の信頼を構築し維持します。
- データのプライバシーとセキュリティに関連する法的要件および規制要件へのコンプライアンスを維持します。
- 詐欺関連の事件によって生じる可能性のある悪評やブランドの評判の低下を回避します。
- 注文のキャンセル、在庫管理の誤り、配送の問題など、不正行為によって発生する可能性のある業務の中断を回避します。
不正行為を防止することで、e コマース業界は安全で信頼できるショッピング エクスペリエンスを確保でき、売上と顧客満足度の向上につながります。
ソース別の詐欺攻撃ランキング
Chargebacks911 の e コマース詐欺攻撃ランキングは、e コマース業界に影響を与えるさまざまな種類の詐欺行為とその原因についての貴重な洞察を提供します。
– 出典: Chargebacks911
eコマース詐欺の種類
ここでは、最も一般的な種類の e コマース詐欺とその対処法を示します。
| 詐欺の種類 | 説明 | 予防のヒント |
|---|---|---|
| 個人情報の盗難 | 他人の個人情報を不正に使用する行為 | 二要素認証を使用し、不審なアクティビティを監視する |
| カードのテスト | 盗まれたクレジットカード情報を検査する行為 | 取引数を制限し、不正行為検出ツールを使用する |
| アカウント乗っ取り | 顧客のアカウントへの不正アクセス | 強力なパスワードポリシーを実装し、ログインアクティビティを監視します |
| フィッシング詐欺 | 顧客を騙して個人情報を漏らす詐欺 | フィッシングの試みを特定するために従業員と顧客をトレーニングする |
| チャージバック詐欺 | 払い戻しを受けるために顧客が発行した虚偽のチャージバック | 詳細な製品説明と顧客サービスを提供する |
| Wooコマース詐欺 | 特に WooCommerce ユーザーをターゲットにした詐欺行為 | 詐欺防止プラグインを実装し、不審なアクティビティを監視する |
このような詐欺に注意し、適切な対策を講じるために、これらについて詳しく学びましょう。
1. 個人情報の盗難
ID 盗難は、他人の ID になりすまして犯罪行為を実行するプロセスです。 これは、SSN、クレジット カード、医療報告書、住所、年齢、雇用書類などの被害者の個人識別情報 (PII) を収集することによって行われます。
たとえば、犯罪者が被害者のクレジット カード情報を入手した場合、それを使用してオンライン ストアから自分の住所に大量の注文を行うことができます。 この策略を発見した被害者は、銀行にチャージバックを申請し、金銭や物品を失う可能性があります。
ビジネス面では、犯罪者は実際の販売者のアカウントを乗っ取り、トランザクション ロンダリングを使用して販売者の詐欺を行う可能性があります。
FTC の 2022 年のデータによると、個人情報盗難の種類としてはクレジット カード詐欺が最も多く、次に銀行詐欺とローン詐欺が続きます。
– 出典: FTC
犯罪者はさまざまな種類の PII を複数の方法で盗むことができるため、個人情報の盗難は非常に効果的です。 そして、なりすましを成功させると、より重要な情報にアクセスできるようになります。
個人情報の盗難によるビジネスへの影響を防ぐ最善の方法は次のとおりです。
- 顧客の信頼性、頻繁に使用されるデバイス、場所を文書化して再確認することで、顧客確認 (KYC) プロセスを改善します。
- ソーシャル メディア アカウントを非公開にし、セキュリティのベスト プラクティスに従って、個人情報を保護します。
- 新しいクレジット カードの登録、異常に大量の注文、見慣れない場所、アカウント詳細の不一致などの異常を探します。
2. カードのテスト
ハッカーが個人情報の盗難やショルダー サーフィン、またはダークウェブから直接購入することによって、大量のクレジット カードを入手したと仮定しましょう。 大規模な取引をターゲットにする前に、小規模なトランザクションやトライアルを実行して、これらのカードの正当性をテストする必要があります。 これをカードテストと呼びます。
これは e コマースのオーナーにとっては悪夢です。 ハッカーは、非常に少額の注文を行うことで数十、数百枚のカード テストを自動化することがよくありますが、被害者が詐欺を発見すると、返金を要求します。
遅れた場合、追加のチャージバック料金を支払ったり、商品を紛失したりする可能性があります。 さらに、異常なカード認証の試行により、支払い処理業者が手数料の増額やアカウントの一時的な無効化を強制される可能性があります。
カードテストを防ぐのは困難な作業です。 ただし、先を行く方法がいくつかあります。
- トランザクションを毎日監視し、CAPTCHA を使用してスクリプトを停止します。
- 特定の IP アドレスと最低支払い受け入れレートにレート制限を追加し、ボリュームが異常な場所から送信されていないことを確認します。
- ビジネスセキュリティの監査を頻繁に実施し、抜け穴をふさぎます。
3. アカウントの乗っ取り
犯罪者は、支払いシステムを利用する代わりに、アカウント乗っ取り (ATO) 詐欺を使ってユーザー アカウントへのアクセスを求める可能性があります。
銀行から電子メール、ソーシャル メディア、ビジネスフォン サービス、電子商取引に至るまで、機密情報を含むあらゆるアカウントが標的となる可能性があります。 Sift によると、2022 年には ATO が前年比 131% 増加しました。
– 出典: シフト
ハッカーは、オンライン セキュリティに寛大なユーザーのログイン資格情報を盗むために、フィッシング、SIM スワッピング、MitM 攻撃、マルウェアの挿入などのさまざまな方法を試みます。
犯罪者はよく知られたログイン パターンやオンライン行動の背後に隠れているため、アカウントの乗っ取りを即座に検出することは困難ですが、注意深く読めば見破ることができます。
オンライン販売者として、ATO によるビジネスへの影響を防ぐために実行できる手順は次のとおりです。
- AI ベースの不正監視および検出ツールを使用して、ATO の試みをリアルタイムで捕捉します。 Web アプリケーション ファイアウォールは、未知の悪意のあるトラフィックからユーザーを保護することもできます。
- 顧客のみが知っており、アカウントに関連付けられていない MFA ログイン プロンプトを顧客に使用させます。
- あなたまたはあなたの従業員が ATO の被害に遭った場合は、すぐにパスワードを変更し、IT チームと銀行に警告し、影響を受けるアカウントをサンドボックス化してください。
4. フィッシング詐欺
フィッシングは、サイバー犯罪の手引きに載っている最も古い手口の 1 つであり、今日の e コマース詐欺の中心となっています。 フィッシングでは、信頼できるエンティティまたは送信者になりすまして、被害者を操作して機密情報を共有します。
これには、アカウントへのログインを求める緊急のようなメールや、MFA コードの共有を促す SMS など、さまざまなものが含まれます。 いずれにせよ、目的は、信頼できる人を真似てデータを盗むことで信頼を獲得することです。
下手に実行された場合、これは単なる迷惑なスパム テキストですが、正しく実行された場合、最もセキュリティに敏感な人さえ騙すことができる巧妙に計画されたソーシャル エンジニアリング攻撃になる可能性があります。
インターネット犯罪苦情センターによると、2022 年だけで 300,000 件を超えるフィッシング報告が登録されました。 この詐欺は個人の安全を損ない、被害者に関係するあらゆるビジネスを危険にさらします。
– 出典: IC3
ただし、それに対していくつかのことができます。
- 社内で MFA を使用し、顧客が MFA で本人確認を行うことを必須にします。 ただし、MFA 疲労攻撃の餌食にならないように注意してください。
- コミュニケーションの固定チャネルを維持し、それについて顧客に教育します。 模倣が難しい IP とブランド サインを確立することが重要です。
- オンラインでブランドのなりすまし業者に注意してください。 ソーシャル メディア アカウントであってもスパム リンクであっても、オンライン プレゼンスを監視し、悪意のあるエージェントに対して措置を講じます。
- 電子メール アドレスの有効性をチェックして、電子メール アドレスが実際の会社のドメイン名に関連付けられているかどうかを判断します。
- また、お客様側では、信頼できる電子メール サービス プロバイダーのみを選択してください。
5. チャージバック詐欺
チャージバック詐欺とは、カード所有者が商品を販売者に返品せずに支払いを取り消すことです。 これは、もともとクレジット カードやデビット カードに対する信頼を与えるために設計された消費者に優しい措置です。 しかし、他の良いものと同様に、特にカード非提示 (CNP) トランザクションでは悪用される可能性があります。
チャージバック (または意図的な詐欺) は 2 つの理由で発生します。1 つは顧客が明細書に不明な注文を見つけてチャージバックを要求するか、顧客が製品を受け取ったにもかかわらずチャージバックを申請するかのいずれかです。 2 番目のケースでは、カード所有者がシステムを悪用しますが、どちらの場合も販売者が負けます。
Chargebacks911 によると、今年末までにチャージバックの 60% が友好的な詐欺となり、平均チャージバック費用は 190 ドルになると予想されています。 チャージバックの業界標準は最大 1% です。 理想的には、できるだけ低く抑えたいと考えます。
– 出典: Chargebacks911
顧客が金融詐欺の被害に遭った場合、気づいた瞬間にチャージバックを要求します。 犯罪者が被害者の銀行口座にアクセスできる場合、自らチャージバックを申請して追加の現金を引き出す可能性があります。
さらに、顧客がチャージバックと払い戻しリクエストを同時に提出し、注意しすぎた場合、二重に支払うことになる可能性があります。 処理手数料、チャージバック手数料、マーケティングコスト、収益の損失、その他の要因を考慮すると、e コマース所有者は注文金額のほぼ 2 倍を支払う可能性があります。
チャージバック詐欺のリスクを軽減するために実行できる手順は次のとおりです。
- 犯罪者がシステムを悪用しないように、クレジット カード詐欺を常に把握してください。 これには、監視ツールと各トランザクションの認証ツール (AVS、CVV、3DS2、VAU など) の使用が含まれます。
- 住所確認サービス (AVS) は、銀行口座の住所および郵便番号と、購入時に入力されたデータを照合します。 一方、カード検証値 (CVV) は、購入者が正しい CVV を入力したかどうかをカード プロセッサに通知します。
- 3D セキュアは、取引を行う際に小さなウィンドウでワンタイム パスワードを要求することで販売者を保護するもう 1 つのセキュリティ層です。
- 顧客サービスを向上させ、顧客と即座にコミュニケーションを図ります。 これには、注文確認メール、定期的な支払いリマインダー、注文追跡、わかりやすい取引詳細が含まれます。
- マーケティングを調整して、「商品が説明と異なる」返品のリスクを軽減します。
- 注文に関する紛争の際に必要な証拠をすべて得るために、顧客との会話を文書化します。
- ウェブサイトで配送と返品のポリシーを明確に定義します。 チャージバックを申請する前に、注文の問題について購入者に連絡するよう奨励します。
6. WooCommerce 詐欺
WooCommerce は、何百万ものオンライン ストアで使用されている人気の e コマース プラットフォームですが、詐欺の危険がないわけではありません。 オンライン販売者は潜在的な脅威を認識し、詐欺を防ぐために必要な措置を講じる必要があります。
WooCommerce 詐欺の一般的な形式の 1 つは ATO です。これは、詐欺師が弱くなったり、顧客のアカウントのパスワードを再利用して不正な購入をしたりするときに発生します。 これを防ぐために、店舗のオーナーは顧客に対し、強力でユニークなパスワードを使用し、二要素認証を実装するよう奨励する必要があります。
支払い詐欺は WooCommerce 詐欺の別の形式であり、詐欺師は盗んだクレジット カードを使用して不正な購入を行います。 オンライン販売者は、不正行為検出ツールを使用して、高額商品の購入や単一の IP アドレスまたは請求先住所からの複数の取引など、疑わしい取引を特定する必要があります。
WooCommerce を利用するオンライン販売業者にとっては、顧客が購入を承認しなかった、または製品を受け取っていないと主張する不正なチャージバックも懸念事項です。 販売者は、チャージバックを防止し、詳細な顧客対応と取引記録を維持するために、明確な返金および返品ポリシーを提供する必要があります。
WooCommerce を使用するオンライン販売者は、不正検出ツールを実装し、強力なパスワードと 2 要素認証を推奨し、詳細な取引記録を維持し、信頼できるホスティング プロバイダーを使用することで、ビジネスと顧客を e コマース詐欺から保護することができます。
安全で信頼性の高い e コマース ソリューションとして Cloudways をお試しください。
Cloudways は、高度なセキュリティ機能、リアルタイム監視、年中無休のサポートを備え、e コマース詐欺に対する信頼性の高い保護を提供し、ビジネスの安全性を確保します。
その他の防止策
上記のすべての手順とは別に、できるだけお金を節約するために、さらにいくつかの予防策を試すことができます。
1. 生体認証
ほとんどのスマートフォンやラップトップには、デバイスの安全を確保するために、何らかの生体認証セキュリティ (指紋、顔 ID など) が組み込まれています。 同じツールを使用して、実際の顧客のみがあなたのビジネスに注文していることを確認できます。 生体認証はシームレスであるため、顧客満足度が向上します。また、生体認証は独自であるため、詐欺師に対処する可能性が低くなります。
2. 二要素認証
2 要素認証 (2FA) を実装すると、e コマース トランザクションのセキュリティを強化できます。 2FA では、ユーザーは購入を完了する前に、パスワードと携帯電話に送信されるワンタイム コードなどの 2 つの形式の ID を提供する必要があります。
ハッカーが取引を完了するには両方の形式の ID にアクセスする必要があるため、これにより、不正アクセスや不正取引のリスクが大幅に軽減されます。 2FA を実装することで、オンライン販売者は詐欺を防止し、顧客の機密情報を保護できます。
3. 暗号化とトークン化の使用
オンライン ビジネスとして、暗号化とトークン化を使用する必要があります。 PCI DSS への準拠だけでなく、データ漏洩の防止にも役立ちます。
暗号化とトークン化の両方で、支払い認証時にカードの詳細がマスクされますが、用途が異なります。 トークン化では、ランダムなトークンをデータに割り当て、それを使用して支払いを検証します。一方、暗号化では値が再配置され、適切なデータにアクセスするために復号キーが必要になります。 Visa の調査によると、トークン化により不正行為を 28% 削減できるとのことです。
4. 従業員の研修と教育
e コマース詐欺との戦いは現在も続いており、これに対する最善の策は従業員です。 カスタマー サポート データを安全に処理し、個人のデバイスに VPN と MFA を設定できるようにチームをトレーニングします。
セミナーを頻繁に開催して、新しい詐欺手法に関する最新情報を提供し、可能性のあるフィッシングの試みを特定するのを支援し、ビジネスの安全を確保するためにセキュリティ衛生を実践するよう奨励します。 人々がリスクを知ると、予防策に注意を払う可能性が高くなります。
eコマース詐欺防止ツール
ここまで読んだ方は、e コマース詐欺と戦うには、顧客を適切に精査し、異常なアクティビティに注意を払い、支払いのベスト プラクティスを採用する必要があると推測したかもしれません。 監視ツールなしでは戦いは不可能であることにも気づいたかもしれません。
犯罪者の先を行くのに役立つ 5 つの e コマース詐欺防止ツールを次に示します。
1. オーラ
– 出典: オーラ
個人情報の盗難や金融詐欺に対処したい場合、最も安全な選択肢は Aura です。 これは、バックグラウンドで動作し、異常なアクティビティがあればリアルタイムで警告する、きちんと設計された信用監視、オンライン プライバシー、および個人情報保護サービスです。 それに加えて、VPN、パスワード マネージャー、アクセス管理サービスとしても拡張されています。
Aura は 3 つの信用調査機関 (Experian、TransUnion、Equifax) と協力して信用調査や不審な活動を調査しています。 また、ダークウェブをサーフィンして個人情報が漏洩しないようにし、異常が発生した場合にクレジット カードをロックするのにも役立ちます。 これは中小企業の従業員にとって理想的であり、企業の銀行口座を安全に保つのに役立ちます。 Aura の最も優れている点は、デバイス全体で簡素化された UI と 100 万ドルの個人情報盗難保険です。
2.ふるいにかけます
– 出典: シフト
Sift は、e コマース販売者向けに包括的な詐欺防止スイートを提供します。 チャージバック詐欺やアカウント乗っ取りの試みを制限することで、紛争管理、支払い保護、アカウント防御における潜在的なリスクに対処します。 また、データをリスク管理ダッシュボードに統合し、今後のより適切な意思決定を支援します。 Sift はフィンテック、小売、マーケットプレイス、デジタル商品業界にまたがって活動しているため、誰にとっても何かが見つかります。
3. ボルト
– 出典: ボルト
顧客変換に苦労し、払い戻しとチェックアウトの段階で手探りしている場合は、Bolt を検討する必要があります。 これは顧客にとってワンクリックのチェックアウト エクスペリエンスであり、フォローにかかる時間は短縮されますが、同じセキュリティ レベルが維持されます。 ボルトは、初日からゲスト買い物客の 17% を特定するのに役立ち、返金やチャージバックのリクエストにも役立つと主張しています。 その ML は 200 のシグナルを使用してカートのリスク プロファイルを構築し、チェックアウト指標についてのより多くの洞察を提供します。
4. 指紋
– 出典: 指紋
指紋は、アカウント乗っ取り詐欺の検出と軽減に役立ちます。 認証情報のスタッフィング、フィッシング攻撃、アカウント共有のメトリクスを積極的に探して、訪問者をリアルタイムで評価します。 見込み顧客と顧客を適切に精査することで、チャージバック詐欺のリスクが軽減されます。 オンラインでサブスクリプションベースのビジネスを運営している場合は、指紋認証のアカウント共有防止機能が気に入っていただけるでしょう。
5. 意味のあるもの
– 出典: Signifyd
Signifyd は、オンライン ビジネスの最高の詐欺防止およびチャージバック回復プラットフォームの 1 つです。 Signifyd によると、業界標準よりも 50% 多くの紛争に勝つことができ、顧客 ID を適切に認証することで 5 ~ 9% 多くの注文を確保できます。 Signifyd のサービスの多くは自動化されて展開されているため、手を加える必要はほとんどなく、販売者の大規模なネットワークがその意思決定モデルをサポートしています。 Aura と同じように、UI も美しいです。
まとめ
e コマース詐欺は、ボタンを押すだけでなくなるものではありません。 犯罪者は、e コマース ストア、その顧客、支払いシステムのセキュリティを損なう新しい方法を試み続けるでしょう。 先を行き安全を保つ唯一の方法は、上記の手順を慎重に実行し、e コマース詐欺防止ツールを使用して詐欺行為を防ぐことです。
注:この記事は、 Auraの成長リーダーでありONSAASの創設者であるIrina Maltseva の協力により公開されました。 過去 7 年間、彼女は SaaS 企業がインバウンド マーケティングで収益を拡大できるよう支援してきました。 以前の会社である Hunter では、イリーナは 3M のマーケティング担当者が重要なビジネス上のつながりを構築できるよう支援しました。 現在、Aura では、イリーナはすべての人にとってより安全なインターネットの構築に取り組んでいます。 連絡するには、 LinkedInで彼女をフォローしてください。