Medidas de autenticación de ruta amarilla para bancos
Incode
December 13, 2022
December 13, 2022
Camino amarillo autenticación utiliza un sistema de codificación de colores para marcar a los usuarios no verificados para una confirmación adicional. Esto está destinado a prevenir el fraude de billetera digital en iPhones y otros dispositivos compatibles con Apple Pay. Desafortunadamente, los ciberdelincuentes han desarrollado métodos para explotar vulnerabilidades en el camino amarillo procedimientos Apple Pay. Los bancos y los proveedores de tarjetas de crédito necesitan medidas más sólidas para prevenir el fraude de Apple Pay. Afortunadamente, los expertos en seguridad han estado desarrollando respuestas para corregir vulnerabilidades de la ruta amarilla.
Aquí veremos lo que su empresa puede hacer para proteger a sus clientes y negocios contra la explotación de la ruta amarilla. Primero, veremos lo que se supone que debe hacer la autenticación de ruta amarilla, y esto ayudará a resaltar por qué los procedimientos de ruta amarilla pueden ser vulnerables al fraude. Luego veremos cómo se pueden abordar estas vulnerabilidades utilizando tecnología de vanguardia prueba de identidad métodos, fortaleciendo la autenticación de la ruta amarilla para hacerla más efectiva.
La autenticación de ruta amarilla es un procedimiento de seguridad codificado por colores utilizado por proveedores de billeteras digitales como Apple Pay y Google Pay para marcar eventos en los que un usuario que intenta agregar un método de pago falla una verificación inicial del riesgo de robo de identidad. Un intento fallido clasificado como amarillo representa precaución y activa una ruta de flujo de trabajo para realizar comprobaciones adicionales de verificación de identidad antes de que se pueda agregar el método de pago.
La autenticación de ruta amarilla funciona dentro de un sistema de codificación de tres colores que utiliza un cuadro de mando para medir el riesgo de robo de identidad. Cuando un usuario intenta agregar una tarjeta de crédito o débito a una billetera digital, el proveedor de billetera digital se comunica con el banco emisor para evaluar el riesgo de robo de identidad. El banco utiliza un sistema de cuadro de mando para medir el riesgo, y el resultado se simplifica representándolo usando un código de color:
¿Qué sucede cuando un intento de adición de método de pago se marca como amarillo? Un resultado amarillo desencadena una evaluación adicional de autenticación de identidad por parte del banco emisor antes de que el método de pago pueda agregarse a la billetera digital. Por ejemplo, un banco puede solicitar que el titular de la tarjeta pase una verificación de autenticación multifactor proporcionando los últimos cuatro dígitos de su Número de Seguro Social (SSN).
Si el usuario pasa la verificación de autenticación adicional, se aprueba el método de pago para agregarse a la billetera digital. De lo contrario, no se puede agregar el método de pago.
En sí misma, la autenticación con bandera amarilla es un procedimiento sólido. No existe un problema inherente con la práctica de marcar las adiciones a los métodos de pago que no pasan los controles de seguridad la primera vez para un escrutinio adicional.
Pero la efectividad de los procedimientos de ruta amarilla depende de los controles de seguridad de seguimiento utilizados. Y si bien todos los emisores de tarjetas Apple Pay están obligados a utilizar procedimientos de ruta amarilla, los procedimientos exactos utilizados se dejan a discreción del emisor. Aquí es donde la vulnerabilidad puede entrar en el proceso.
Muchos bancos responden a las banderas de ruta amarilla al requerir que los usuarios proporcionen los últimos cuatro dígitos de su Número de Seguro Social. Desafortunadamente, los ladrones de identidad a menudo roban números de Seguro Social de billeteras, declaraciones de impuestos, brechas de seguridad y el mercado negro digital. Si un ladrón de identidad ya ha robado el SSN de una víctima, puede omitir este método de autenticación de ruta amarilla.
Esta vulnerabilidad tampoco se limita a Números de Seguro Social. Cualquier tipo de autenticación basada en una parte de la identidad de una víctima que ya ha sido robada es riesgoso para la autenticación de ruta amarilla. Por ejemplo, el mismo problema puede surgir si un banco utiliza un método de autenticación basado en el conocimiento, como preguntar por el apellido de soltera de la madre del usuario.
Una forma en que los bancos contrarrestan este exploit es mediante la referencia cruzada de los datos de dirección del usuario con la ubicación del teléfono inteligente para verificar que el intento de adición del método de pago se realiza desde la ubicación geográfica del titular de la tarjeta. Pero algunos ladrones establecen el escenario para una explotación de camino amarillo llamando a un banco o proveedor de tarjetas de crédito para afirmar que el titular de la cuenta viajará fuera de la ciudad. Esto elimina la sospecha que normalmente surgiría si alguien intentara agregar una tarjeta de crédito o débito desde una ubicación diferente a la ubicación habitual del titular de la tarjeta.
Como lo ilustra esto, los ladrones de identidad hacen todo lo posible para eludir los controles de precaución del camino amarillo. Los equipos de seguridad deben ser igualmente diligentes para mantenerse un paso por delante de los ciberdelincuentes que buscan explotar las vulnerabilidades de la ruta amarilla.
La solución general para las vulnerabilidades de autenticación de ruta amarilla es usar comprobaciones de autenticación de identidad de seguimiento más vigorosas en lugar de simplemente pedir el número de Seguro Social de un usuario. Tanto los bancos como los proveedores de billeteras digitales pueden contribuir a esta solución, y se pueden implementar varias medidas más sólidas.
Parte de la solución consiste en utilizar datos de autenticación dinámicos en lugar de estáticos. Un número de Seguro Social se clasifica como datos estáticos porque no cambia, lo que permite a un ladrón una ventana de tiempo ilimitada para robarlo. Por el contrario, los bancos pueden usar métodos de autenticación múltiple con ventanas de tiempo limitadas y dinámicas. Por ejemplo, enviar mensajes de texto o enviar un correo electrónico a un usuario con un PIN único reduce la oportunidad de los ladrones de interceptar los datos de autenticación.
Otra forma efectiva de aumentar la autenticación de la ruta amarilla es usar autenticación biométrica comprobaciones de comprobación de identidad. Por ejemplo, requerir que un usuario proporcione una identificación con foto y luego cargue una selfie permite a los equipos de seguridad aprovechar la autenticación de documentos y la tecnología de reconocimiento facial para verificar la identidad del usuario. De manera similar se pueden utilizar otros métodos biométricos como la identificación por huella dactilar y voz.
La autenticación de la ruta amarilla puede ralentizar a los ciberdelincuentes, pero no los detendrá por sí sola. Para evitar la explotación, debe fortalecer los procedimientos de cautela de ruta amarilla con rigurosas pruebas de identidad, incorporando datos dinámicos y herramientas avanzadas de autenticación como el reconocimiento facial biométrico.
El Incode Omni la plataforma proporciona una solución de autenticación de identidad de extremo a extremo que puede reparar agujeros en los procesos de ruta amarilla sin comprometer la experiencia de su marca de sus clientes. Las mejores herramientas de verificación de identidad de su clase, incluida la captura de alta calidad de datos de identificación y fotos y el reconocimiento facial de selfies en vivo, proporcionan una prueba de identidad sólida, lo que puede frustrar los intentos de los ladrones de eludir los procedimientos básicos de la ruta amarilla. Contacto para una demostración para ver cómo Incode Omni puede fortalecer su ruta amarilla y dar luz verde a sus clientes para una experiencia de compra sin fricciones.
%20(1).avif)
