En torno a de 111 millones de consumidores utilizan algún tipo de plataforma de intercambio entre pares. Desde servicios de viajes compartidos como Uber y Lyft hasta plataformas de talentos como Fiverr, la patrimonio compartida es omnipresente. Desafortunadamente, su popularidad no se limita a los buenos clientes, sino todavía a los malos actores. Y muchas plataformas de patrimonio colaborativa carecen de suficientes procesos de comprobación, por lo que los estafadores están invirtiendo su tiempo y esfuerzo en apoderarse de las cuentas de los usuarios leales.
En este blog, discutiré cómo amparar alejados a los malos de modo efectiva, sin perder buenos clientes en el camino. Compartiré una historia efectivo de una víctima de robo de cuenta para demostrar cómo la reputación de marca y la honradez a la marca pueden estar afectadas cuando las marcas no logran proteger las cuentas de los clientes.
El estado de fraude
Las cuentas de viajes compartidos robadas pueden ser aún más valiosas ahora que los números de tarjetas de crédito, vendiéndose por hasta $ 30 en la web oscura en comparación con $ 5 por la información de la maleable de crédito. Sin incautación, la mayoría de las aplicaciones de intercambio entre pares no solicitan que los clientes que regresan verifiquen su identidad, más allá de ingresar su contraseña. Por un banda, esto es comprensible. Las empresas no quieren crear fricciones para los buenos clientes que poseen y usan sus cuentas. Pero, ¿qué sucede cuando hay un intento de inicio de sesión sospechoso?
Según un documentación publicado por PYMNTS, al 35 % de los consumidores en aplicaciones de patrimonio colaborativa se les pidió que confirmaran su dirección de correo electrónico (si no se usaba como nombre de sucesor) al retornar a iniciar sesión en sus cuentas. Las siguientes formas de comprobación más comunes para los clientes que regresan se basaron en el número de teléfono o para contestar a alertas únicas por correo electrónico o mensaje de texto. Pero al compulsar a los clientes, los comerciantes deben comprobar de hacerlo de modo efectiva. Deben tener la capacidad de establecer el aventura de todas las actividades basadas en cuentas e iniciar un desafío de identidad cuando sea necesario. La venidero historia destaca lo que sucede a posteriori de un ataque cuando los clientes deben guerrear con las consecuencias del robo de su información de identificación personal (PII). Se cambiaron detalles por anonimato, pero está basado en una historia efectivo de un empleado de Riskified.
La historia
Sara vive en Alemania. Hace dos primaveras, tuvo que estallar a Chicago por un alucinación de negocios. Mientras estaba fuera, abrió una cuenta en una plataforma de viajes compartidos para poder ir fácilmente desde su hotel a sus diferentes reuniones en la ciudad. Para compulsar y crear la cuenta, utilizó su correo electrónico personal y una columna telefónica temporal de EE. UU. que su empresa activó durante la duración del alucinación. Usó su maleable de crédito alemana para el cuota. Una vez que regresó a Alemania, ya no tenía uso para la aplicación, pero mantuvo su cuenta activada para futuros viajes. Hace unas semanas, Sara recibió un correo electrónico de la plataforma de viajes compartidos de que se había detectado un cambio de dispositivo y un cambio de contraseña en la cuenta. No le suspendieron la cuenta, simplemente le avisaron del cambio.
Como Sara ya no tenía ataque al número de teléfono que se usó inicialmente para compulsar la cuenta, no pudo ocurrir la comprobación de dos pasos para ingresar a su cuenta y tomar medidas para bloquearla o suspenderla. No se ofreció ningún otro método de comprobación, por lo que se bloqueó su cuenta, sin forma de ingresar y detener los cargos. Inmediatamente trató de ponerse en contacto con el servicio de atención al cliente, pero no había ningún número de teléfono en la nómina, solo un formulario de ayuda. Rellenó el formulario con su información de contacto y esperaba que respondieran rápidamente. Pasaron las horas y cero. Mientras tanto, la bandeja de entrada de Sara se inundaba de recibos, alucinación tras alucinación. 72 $ para un alucinación en Brooklyn, NY, 56 $ para un alucinación en Detroit, MI, 89 $ para un alucinación en Miami, Florida, todo tomado con la opción de costo de alucinación más inscripción en la plataforma. Peor aún, el estafador aprovechó rápidamente su cuenta y compartió los detalles con otras personas en todo el país. Pero para la plataforma, no se levantaron banderas rojas.
Por suerte, llamó la compañía de la maleable de crédito de Sara. Rápidamente notaron los cargos repentinos de ciudades de los EE. UU. y la llamaron para preguntarle si los estaba autorizando. Sara explicó que, de hecho, los cargos eran fraudulentos y que su cuenta de alucinación compartido se había manido comprometida. Todavía sin respuesta de la plataforma de viajes compartidos, no le quedó otra opción que suspender su maleable de crédito con el cárcel. En cuestión de minutos, recibió otro recibo, esta vez con una nota que decía: No pudimos cargar su maleable que termina en ***90. Por patrocinio actualice su información de cuota. Los estafadores seguían haciendo viajes y la plataforma les permitía hacerlo con una maleable cancelada; aún no habían detectado la usurpación de la cuenta.
Más de 48 horas y 9 cargos a posteriori, finalmente recibió una indicación de atención al cliente. Sara explicó que había tratado de comunicarse con ellos cuando notó por primera vez la actividad en su cuenta. Le dijo al agente que vive en Alemania y que nunca había estado en ninguna de las ciudades enumeradas en los cargos. El agente le preguntó si el número de teléfono asociado con la cuenta comenzaba con 781. Sara no reconoció el número. El agente de atención al cliente explicó que los estafadores deben haberlo cambiado para que coincida con el suyo.
El agente actualizó la información de la cuenta para que coincidiera con la de Sara para que finalmente pudiera ingresar a su cuenta y cambiar su contraseña. En este punto, Sara no quería retornar a tener cero que ver con la marca. No solo llegaron demasiado tarde para contestar, sino que no bloquearon la cuenta ni ofrecieron métodos de comprobación adicionales a posteriori de que una cuenta que no se había utilizado durante 2 primaveras experimentó un aumento de 9 viajes desde ciudades de todo el país. Sin mencionar una serie de cambios de dispositivo, contraseña, número de teléfono y maleable de crédito.
Detección de ataques ATO
Lamentablemente, la historia de Sara suele ser la experiencia de clientes cuyas cuentas se han manido comprometidas. De los clientes que han sido víctimas de una ATO, solo el 7.5 % dijo que el comerciante los contactó acerca de la ATO. El otro 92,5 % se enteró por la compañía de su maleable de crédito (36,3 %), recibió una confirmación de pedido (26,3 %), vio la operación no autorizada en su cuenta (16,9 %) o cambió sus datos de cuenta o contraseña (13,1 %). Esa es una muy mala experiencia del cliente. Para empeorar las cosas, las víctimas de ATO pasan un promedio de 15 horas resolviendo el fraude. En el caso de Sara, tuvo que guerrear con una maleable de crédito cancelada y modernizar todas sus cuentas vinculadas a la maleable preliminar. Entonces, ¿cómo pueden las empresas atrapar a los malos ayer de que el daño esté hecho?
Todo comienza con una valor precisa. Compilar y analizar datos sobre el comportamiento en columna de los usuarios en tiempo efectivo y compararlos con el comportamiento preliminar de los clientes es la esencia para detectar intentos de ATO. Por ejemplo, al vincular cada evento de la cuenta con sus transacciones anteriores, los comerciantes pueden declarar mejor a los clientes legítimos y a los malos. Pero como en el caso preliminar, identificar los ataques no es suficiente. Para regir con éxito este tipo de fraude, los comerciantes deben determinar cuándo y cómo encerrar a los usuarios maliciosos, comunicar a los clientes sobre intentos de inicio de sesión sospechosos o solicitar una comprobación adicional. Recomendamos la comprobación de correo electrónico para inicios de sesión riesgosos. Y no solo una notificación de que ha habido un intento de inicio de sesión sospechoso. Considere solicitar al destinatario que realice alguna bono, como indicar que reconoce este intento (proporcionando chico de sí/no).
Todo se reduce a aguardar
Los consumidores valoran compartir como una opción más conveniente, asequible y agradable que los proveedores de servicios tradicionales. No hay duda de que las aplicaciones para compartir de igual a igual nos han hecho la vida mucho más manejable. Y la confianza que los usuarios han depositado en ellos es esencia para que prosperen. El proceso de comprobación finalmente creará o romperá esa confianza. Si los comerciantes administran perfectamente la seguridad de las cuentas de los clientes, mostrarán su compromiso con la honradez del cliente y el valía de por vida. Si se quedan cortos, los comerciantes verán afectada la reputación de la marca. Para obtener más información sobre la opción de prevención de ATO de Riskified, comuníquese con [email protected].
