De nek-aan-nek-race in security: hoe blijf je fraudeurs een stap voor?

Abonneer je gratis op Techzine!

Decentrale en hybride werkmodellen bieden tal van nieuwe mogelijkheden voor organisaties, maar helaas ook voor cybercriminelen. Met name identiteitsfraude en oplichting worden populairder. Zo zag de Autoriteit Persoonsgegevens (AP) in 2020 een explosieve stijging in diefstal van persoonsgegevens die voor deze doeleinden kunnen aangewend.

De hulpmiddelen en technieken die kwaadwillenden hiervoor aanwenden worden steeds geraffineerder. Ze leren voortdurend en evolueren constant hun tactieken. Dankzij nieuwe technologieën zoals cryptocurrencies en het dark web zijn criminele groepen wendbaarder en gespecialiseerder geworden. Hoe bestrijd je deze dreiging? Een hint: dat doe je niet met sterke wachtwoorden alleen.

Een perfecte cyberstorm

De coronacrisis heeft geleid tot een “perfecte storm” voor fraude. Klanten gedragen zich anders dan gewoonlijk, werknemers hebben hun manier van werken moeten veranderen en deze combinatie biedt mogelijkheden voor fraudeurs. We leunen allemaal meer op online interactie in plaats van persoonlijk contact – en dat terwijl phishing sterk toeneemt, volop synthetische identiteiten worden gecreëerd en ook andere fraudepraktijken een hoge vlucht nemen.

Fraude kost Nederland jaarlijks miljarden euro’s. Wereldwijd is het een triljoenenbusiness. Voor veel organisaties is het dus een prioriteit om zich voor te bereiden op (en het beperken van) nieuwe fraudescenario’s. Anti-fraudeteams moeten daarbij nieuwe oplossingen inzetten die niet alleen hun organisatie, reputatie en klanten beschermen, maar ook werknemers en klanten een betere ervaring te bieden.

Een wachtwoord is niet genoeg

De beveiligingsmaatregelen waar organisaties zich standaard tot wenden zijn niet genoeg om de moderne cybercrimineel een stap voor te blijven. Complexe wachtwoorden zijn makkelijk te vergeten en niet altijd moeilijker te kraken. PIN-codes zijn makkelijk te raden. En dankzij de gigantische hoeveelheid persoonsgegevens die rondzweeft op het darkweb, is kennisgebaseerde authenticatie – op basis van vragen zoals ‘hoe heet je huisdier’ of ‘wat zijn je maandelijkse hypotheeklasten – waardeloos.

De AP raadt meerfactorauthenticatie (MFA) aan die als eenvoudige beveiligingsmaatregel overal standaard doorgevoerd zou moeten worden. De gebruikte ‘factoren’ kunnen iets zijn dat een gebruiker bezit, zoals een USB-stick of bankpas; het kan iets zijn dat de gebruiker weet, zoals een PIN-code; of het kan de gebruiker zelf zijn, zoals een vingerafdruk. Dat laatste type – biometrie – zou altijd één van de gebruikte factoren moeten zijn. Want hoewel je een USB-stick kan kwijtraken en een PIN-code kan worden gestolen of geraden, is het een stuk lastiger om een vingerafdruk na te bootsen.

Biometrie als kritieke verdedigingslinie

Biometrische technologieën zijn een krachtige wapen tegen fraude. Biometrie omvat een reeks beveiligingsmaatregelen, variërend van vingerafdrukken en gezichtsherkenning tot gedrags- en gesprekskenmerken en stembiometrie. Deze maatregelen kunnen afhankelijk zijn van het apparaat (zoals iemands mobiele apparaat) of kunnen apparaatonafhankelijk blijven (zoals voiceprints).

Anti-fraudeteams kunnen biometrie inzetten om verschillende aspecten van de bedrijfsvoering te beveiligen:

  1. Authenticatie van klanten. Zodra klanten een wachtwoordzin hebben ingevoerd, zoals ‘mijn stem is mijn wachtwoord’, vergelijkt biometrische technologie met behulp van AI de stem met de opgeslagen voiceprint. Vervolgens analyseert het algoritme de authenticiteit aan de hand van ruim 140 factoren die niet kunnen worden vervalst of gedupliceerd.
  2. Fraudepreventie. Vaak zijn anti-fraudeteams reactief: verdachte transacties worden opgespoord en aangepakt, om daar vervolgens van te leren voor ‘de volgende keer’. Proactieve fraudepreventie analyseert en detecteert mogelijke fraude in real-time. Gedragsbiometrie is hiervoor een hulpmiddel. Algoritmes vormen een gebruikersprofiel op basis van patronen in de manier waarop iemand typt, de muis gebruikt of pauzeert tussen taken. Ideaal voor doorlopende authenticatie en fraudepreventie, waarbij biometrie gebruikers vergelijkt met hun profiel zodat een derde partij de sessie niet kan kapen.
  3. Fraudedetectie. Biometrie kan worden gebruikt om het kanaal en de geografische locatie van het apparaat van de gebruiker te bepalen, terwijl ook de netwerkkwaliteit wordt geanalyseerd om verdachte gebeurtenissen te detecteren. Met behulp van deze en andere anti-spoofingtechnologieën kunnen organisaties efficiënter fraude detecteren en zo helpen voorkomen dat criminelen toegang krijgen tot accounts en gegevens.
  4. Fraudeonderzoek. Om criminelen succesvol te vervolgen, kan ook gebruik worden gemaakt van biometrie. Biometrische platforms kunnen onderzoeken versnellen en historische analyses vergemakkelijken door voiceprints te identificeren. Deze diensten leveren ook biometrisch bewijs om arrestaties te ondersteunen.

De biometrische race is nog niet gelopen

Ook biometrie kan worden gefopt. We leven inmiddels in het tijdperk van deepfakes, waarin we griezelig goede video- en stemimitaties kunnen creëren. Zonder biometrische technologieën continu door te ontwikkelen, is het dan ook een kwestie van tijd voordat fraudeurs ook deze maatregelen relatief gemakkelijk kunnen omzeilen.

De toekomst van biometrie gaat daarom hand in hand met ontwikkelingen in AI. Geavanceerde algoritmes die synthetische stempatronen en deepfakes kunnen herkennen, zijn essentieel om biometrie ook in de toekomst een betrouwbare beveiligingsmethode te houden.

Nu we steeds meer virtueel en op afstand werken, worden maatregelen voor digitale beveiliging en fraudepreventie steeds belangrijker. Biometrie zou daar een sleutelrol in moeten spelen.

Het is uiteindelijk hoe dan ook van cruciaal belang dat anti-fraudeteams zich sneller aanpassen aan nieuwe fraudetrends om steeds vernuftigere criminelen voor te blijven. Door met biometrie deze personen te identificeren in plaats van specifiek gedrag of verdachte handelingen, kunnen we hen makkelijker een stap voor blijven.

Dit is een ingezonden bijdrage van Simon Marchand, Chief Fraud Prevention Officer bij Nuance Communications. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.