フィンテック分野では、詐欺との戦いは終わりのない戦いです。 そして最近の展開では、詐欺師に有利なように競争の場をゆがめています。 フィンテック企業はこれを自分たちで行うことはできません。詐欺を可能な限り困難にすることに専念している専門家の助けが必要です。
Fintech One-on-One ポッドキャストの次のゲストは、CEO 兼創設者である Kevin Gosschalk です。 アルコース研究所. Kevin は、オンライン詐欺に正面から取り組むために Arkose Labs を構築し、フィンテックやその他のオンライン操作で使用される一連のツールを構築しました。
このポッドキャストでは、次のことを学びます。
- Arkose のアプローチの背後にあるシンプルなコンセプト。
- フィンテックに適用される今日の不正行為の状況。
- Arkose Labs が現在フィンテックとどのように連携しているか。
- ダークウェブで有効な ID を購入するのにかかる費用。
- Cybercrime-as-a-Service とは何か、なぜそれが大きな問題なのか。
- フィンテックが Cybercrime-as-a-Service を阻止する方法。
- 増加する摩擦と不正行為の削減のバランスをとる方法。
- Credential Stuffing の説明。
- Credential Stuffing に対して 1 万ドルの保証を提供する理由。
- Arkose Labs が CAPTCHA を置き換えるために MatchKey を作成した理由。
- MatchKey をどのように適応させて、犯罪者に対して寿命を延ばすか。
- 将来の詐欺攻撃にどのように備えているか。
LinkedIn でケビンとつながる
Twitter で Arkose Labs とつながる
ダウンロード エピソード 408 の PDF 転写 – ケビン・ゴシャルク または以下をお読みください
FINTECH ONE-ON-ONE ポッドキャスト NO. 408-ケビン・ゴスカルク
フィンテック マンツーマン ポッドキャストへようこそ。 Fintech Nexus の会長兼共同創設者である Peter Renton です。
私は 2013 年からこれらのショーを行ってきたので、これはすべてのフィンテックの中で最も長く続いている XNUMX 対 XNUMX のインタビュー ショーになっています。この旅に参加してくれてありがとう。 このポッドキャストが気に入った場合は、姉妹番組の PitchIt、Todd Anderson が出演する Fintech Startups Podcast、Isabelle Castro が出演する Fintech Coffee Break をチェックするか、Fintech Nexus ポッドキャスト チャンネルに登録して、私たちが制作するすべてを聞くことができます。
(音楽)
始める前に、7 月 8 日と 100 日にリッツ カールトン サウス ビーチで開催されるブティック オール ミーティング イベント、Dealmakers East についてお話したいと思います。 Dealmakers East は会議がすべてです。基調講演もパネルディスカッションもありません。フィンテックの CEO、銀行家、または投資家との出会いを探しているかどうかにかかわらず、XNUMX% 厳選された会議に焦点を当てています。 ディールメーカーズ イベントは、一貫して最高評価のイベントです。fintechnexus.com にアクセスして詳細を確認し、登録してください。
ピーター・レントン: 今日の番組では、詐欺との戦いについて話しています。 Arkose Labs の CEO 兼創設者である Kevin Gosschalk をショーにお迎えできることをうれしく思います。詐欺師が現在行っているさまざまな方法、彼らがどのように進化しているか、どのように賢くなっているか、そしてこの新しいCybercrime-as-a-Serviceのような概念と、それがゲームをどのように変えたか、フィンテックにとってそれが何を意味するか. そこで、私たちが目にしているさまざまな種類の詐欺について、フィンテックがどのように対処すべきかについて話し、Arkose Labs が一部の詐欺師と戦うことができるいくつかの方法について話します. 優れたユーザー エクスペリエンスと確固たる不正防止対策の間の摩擦について話し、次の攻撃の波がどこから来る可能性があるかについても話します。 興味深い議論でした。 ショーをお楽しみください。
ポッドキャストへようこそ、ケビン!
ケビン・ゴスチョーク: ありがとう、ピーター、よろしくね。
ピーター: よろしくお願いします。 それでは、リスナーにあなた自身について少し背景を説明することから始めましょう。国。
ケビン: ですから、私は本業がエンジニアで、かなり強いゲーマーでもあります。それが、ビデオ ゲームをプレイし、テクノロジーを愛する人生を始めた場所のようなものです。 私はオーストラリアのブリスベンにあるクイーンズランド工科大学で実際に学び、ゲームとインタラクティブ メディアの学士号を取得しましたが、現在はセキュリティ会社を経営していることを考えると、非常に左翼的な分野でした。ゲームとは違うと思います。
私が大学を出て最初にしたことは 糖尿病の早期マーカーを探す調査研究を手伝うことでした 目の中の神経をマッピングする技術の構築を実際に手伝いました 500倍の倍率で判明しましたこれは非常に大きな倍率です。 実際、神経は、患者が糖尿病にかかっているかどうかを示す非常に優れた指標です。 つまり、健康な神経系を持っていれば、糖尿病ではなく、あらゆる種類の神経が渦巻いていて、非常に明確で、非常に明白で、一日のようにきれいにはっきりと見ることができます. 糖尿病を患っている人にとって、それらはバラバラで、実際には渦のように収束していません. つまり、目を見るだけで、実際に糖尿病の人と糖尿病のない人の違いを知ることができ、その技術は、従来の血液の刺し傷や他の技術よりもXNUMX年早く機能します.
つまり、その研究は糖尿病の初期マーカーを探していて、ソフトウェアをどのように構築するか、またはこれをマッピングする方法を見つけようとしていました。マップを作成する前に、目の非常に大きな部分。 そして、人々は自分の目で非常にけいれんしていました.誰かが500倍の倍率で目をけいれんさせた場合、基本的に宇宙のどこかで. そこで、ある種のゲーム技術とインタラクティブなソフトウェアを使って目のマッピングを行う技術を構築し、それらを自動的に写真につなぎ合わせるソフトウェアを書いたので、コンピューター ビジョンと機械学習ソフトウェアを使用しました。 それで、私はそれを約XNUMX年間行い、当時XNUMX年間の臨床試験を行った先駆的な技術を構築し、現在、英国でそのソフトウェアを実際に使用して人々を診断しています. それは健康への小さな貢献でした。
その後、実際にそれに続いて、知的障害を持つ人々のためのオーストラリアの大規模な非営利団体であるエンデバー財団との奨学金プロジェクトに取り組んでいました。 彼らは、人々を元気づけて活動的にする何かを手に入れたいと思っていました。 繰り返しになりますが、私のゲーマーのルーツに戻って、レバーや歯車などのような有形のメディアのようなインタラクティブなメディアと組み合わせて、何かを起こすことができるものにします。 私はこのプロトタイプ システムを構築し、5,000 ドルの奨学金を得て、ハードウェア ストアや電気店からいくつかのものを購入するためのお金を手に入れました。 このような 2 x 3 メートルのインタラクティブなフロアを構築したので、地面に置かれた巨大な iPad のようになりました。
私が実際に機能させた方法は、マットの下にたくさんのセンサーを置いて、マットを踏むと家のアラームがトリガーされるようにすることでした.それらをアレイに配線し、どこに足を踏み入れても、基本的に巨大なボタンのように機能するので、この60 x 2メートルの巨大な表面に足を踏み入れていることがわかります。そこにプロジェクターを置き、ゲームのように投影できます水たまりやプール、巨大なキーボードの中を歩くような体験です。 オーストラリア政府の助けを借りて、実際には研究商業化助成金としてこれを商業化しました。彼らは何度か名前を変更しました。どの政府が権力を握っているかに応じて、商業化の促進またはオーストラリアの商業化などです。 、彼らはそれをブランド化し続けました。
しかし、それは新しい種類のテクノロジの革新的な研究に効果的に資金を提供し、最終的にこれを商品化しました。Microsoft と提携して作業し、深度センサーのような Microsoft Connect に PC テクノロジを使用して距離を測定する最初のサード パーティとなりました。またはオブジェクトからどれだけ近づいたか。 私はコンピューター ビジョンの研究などの経験が豊富で、最終的には APAC で最大の教育プロバイダーの XNUMX つにライセンスを取得しました。実際、彼らは現在もそのテクノロジーを持っています。それは本当に魅力的なテクノロジーであり、それを使って学習活動などを行うことができるため、その早期教育に少し触れました。
ですから、どのマシンが認識と理解に優れているかについて多くの経験があり、それを逆の分野であるセキュリティ Web に変えています。 私たちは現在、ボットがサービスやウェブサイトに侵入してアカウントを作成し、アカウントを侵害するのを阻止しようとしています。そのようなソフトウェアの構築から得た知識を利用して、その種のソフトウェアにフィードする方法を理解し、それらのフィードが理解して認識するのを防ぎます。そして物事を乗り切る。 それこそが、Arkose の背後にある先駆的なアイデアであり、私たちは信じられないほどの成功を収めており、そのようなアプローチで今日も維持されています。 ご存知のように、Arkose 製品の主な目的は、基本的に敵対者へのコストを利益よりも高くすることです。それを行うと、攻撃者は止まることがわかります。つまり、それは非常に単純な概念ですよね?
ええ、それは私たちが構築する種類の製品に対して私たちが取っているアプローチのようなものです。ご存知のように、オーストラリア人として、セキュリティ会社を経営する方が本当に優れているのは誰ですか?私たちは皆生まれつき有罪判決を受けていますか? (二人とも笑) 犯罪者の心を説明するのに、誰が一番いいでしょうか? 私は約 XNUMX 年前に米国に引っ越しましたが、それは本当に、私たちが一緒に仕事をしていたすべての企業が、ご存知のように、初期の顧客の一部が GitHub や Dropbox のような企業だったからです。グローバルな製品を持つビジネスであり、攻撃者にとって最も有利です。 彼らは本当に大規模なユーザーベースなどを求めているので、私たちは本当に良いパートナーであり、それらの企業にぴったりです. 毎月飛行機に乗っていた…………
ピーター: 何てことだ。
ケビン: ……オーストラリアとアメリカを行ったり来たり。 ある時点で、もうそれをしなければならないことは明らかでした。
ピーター: (笑)そうですね。 はい、そうですね。 それでは、詐欺師に対処するための状況を教えてください。 つまり、詐欺攻撃に関して、特にフィンテックのレンズを通して見ると、今日の最大の課題は何ですか.
ケビン: つまり、過去 12 か月間でダイナミクスに非常に大きな変化が見られましたが、残念ながら今では犯罪者に有利になっています。 状況は悪化していると思いますし、今後数年間は本当に厳しいものになると思います。 運用が保護するユースケースと私たちの視点のようなものです。私たちは世界最大のフィンテック企業のいくつか、明らかに米国最大のフィンテック企業と協力しており、フィンテック以外の多くの企業とも協力しています。ビデオゲーム商人、マイクロソフトのような大手テクノロジー企業、大手旅行プラットフォーム、大手小売業者と協力しているので、すべてを実際に見ています。
フィンテックの場合、もちろん、ターゲットはお金です。なぜなら、それはフィンテックが持っているものだからです。実際には、新しいアカウントを作成するという関連するXNUMXつの領域が保護されているため、新しいアカウントのエクスペリエンスを悪用し、カードを開き、あなたが資金を提供しているプロモーションの利点、おそらく新しいアカウントへの数ドルなど、それが何であれ、それは明らかにXNUMXつの大きな分野です. もう XNUMX つの大きな問題はアカウントの乗っ取りです。これはその分野の XNUMX つです。アカウントの乗っ取りには XNUMX 種類の攻撃があります。XNUMX つは、ユーザー名とパスワードを再利用する Credential Stuffing です。残念ながら、リスナーはおそらくそうするでしょう…理想的にはそうすべきではありません。 もう XNUMX つの要素はソーシャル エンジニアリングです。これは、詐欺師が何かを話したり送信したりして、リンクが何であれ誰かにクリックさせ、その方法でアカウントを危険にさらすものです。
フィンテックの文脈では、侵害されたアカウントはお金に変わる可能性があるため、資金のあるアカウントを侵害したり、アカウントに資金を提供したり、目的が目的のアカウントを作成したりするマイクロ預金詐欺のようなものに変わる可能性があります。基本的に、人々に実際の銀行口座に数セントを入金してもらい、あなたがその銀行口座を所有していることを確認させます。数セントを入金し、彼らはそれを何十万回も行い、XNUMX日に数千ドルを稼ぎます。こういった攻撃。
したがって、さまざまな種類の攻撃手法があり、もちろん、すべて営利目的であるため、攻撃者は、これらの攻撃をどのように拡大するか、コストよりも安い方法でこれらの攻撃を行うにはどうすればよいかを理解しようとしています。 . たとえば、クレジット カードでは、有効な ID を購入するだけで KYC を完全にバイパスできます。有効な ID があれば、KYC を通過できます。 まあ、それをバイパスしないでください、あなたはそれを正しく渡しています、あなたは実際のように有効なIDを持っています、ご存知のように、KYCの仕事はIDが合法かどうかを検証することです.それは合法です. KYCプロセスを通過して7ドルを稼ぐことができるため、この種の犯罪者を防ぐための参入障壁は非常に高くなければなりません. 犯罪者が本当に好んでいるのはノードの共有なので、Telegram や Discord などのようなコミュニティがたくさんあります。犯罪者は、これらの攻撃を行う方法、弱いターゲット、優れたテクニックについての知識を共有しています。これでブロックされました。どうすればよいですか? そして、彼らはそのような情報を喜んで共有します。
もう XNUMX つの問題は、Cybercrime-as-a-Service と呼ばれるものが急増していることです。これらは、すぐに使用でき、防御を回避でき、プロキシ サイトのクローンを作成できるキットのようなもので、基本的に詐欺師のためにあらゆることを行います。詐欺師自身は、次のように言う以外に多くのことをする必要はありません。これが私の被害者です。これが私の銀行口座です。これが私の銀行口座です。ソフトウェアを購入します。基本的にそのソフトウェアを構築する開発者がいます。 そして、これは大きな問題です。なぜなら、大勢の人々が XNUMX つの開発ソースに資金をプールしている場合と、詐欺師が自分で攻撃して把握しようとしている場合とでは、コストのダイナミクスがまったく異なるからです。 バランスが劇的に変化し、敵に有利になったと思います。
ピーター: Hacking-as-a-Service の購入者は誰ですか? 大規模な運用には独自のものがあると思いますが、これらは単なるものですか? 犯罪者になろうとしている人がいますか、それともすでに犯罪者であり、ビジネスを拡大しようとしている人がいますか? つまり、誰がそれを購入しますか?
ケビン: うん。 これらの種類のサービスは、以前に登場した他のどのサービスよりも明らかに優れており、大規模な詐欺師でさえ、独自のソフトウェアを維持するのではなく、サービスを使用しています.
ピーター: 面白い。
ケビン: SaaS が現実の世界にどのように影響を与えたか、サイバー犯罪の世界でも同じようなものです。私は社内で何かを構築していて、私のコストはこれで、私の有効性はこれです。 外注すると、コストが下がり、効率が上がるのに、なぜそうしないのでしょうか? これは、以前は顧客ごとに熱心な敵対者を目にしていたところまで、私たちが見始めていることのようなものです. XNUMX 年前、XNUMX 年前、XNUMX 年前はそのようなものでしたが、現在は主に Cybercrime-as-a-Service プラットフォームを打ち負かす必要があります。
ピーター: ですから、これらのサービスとしてのサイバー犯罪が全体的により効果的であるという事実が悪化しているとあなたが言ったのはそのためです。
ケビン: それらはより効果的であり、コミュニティはより大きく、コミュニティはサービスの使用方法を共有するのが得意です。 残念ながら、詐欺師側では信じられないほどの量の知識が共有されていますが、これは私たちの業界では実際には行われておらず、犯罪を防ごうとする人々にとって大きな不利な点です.
ピーター: わかった。 それでは、質問は明らかに、あなたはそれを使い果たしましたが、このサービスとしてのサイバー犯罪をどのように阻止しますか?
ケビン: うん。 つまり、その質問は誰もが理解しようとしていることです。社内で防御を構築しようとすると、数時間以内に適応するように、彼らがどれほど迅速に適応するかに非常に早く遅れをとることになると思います.彼らは防御攻撃ツールを数時間で再構築できるように、それは彼らがいかに迅速であるか、非常に起業家精神があり、何時間も何日も喜んで働きます。 彼らが週末を休むのを見たことはありますが、クリスマスに膨大な数の攻撃が見られたのは本当に面白いことです.70 人の顧客を狙っていました.XNUMX 万のアカウントを作成しようとしていた.数字ですよね?
ピーター: うわー!
ケビン: ちょうど今週末、彼らは XNUMX 日間攻撃を停止しました。これは攻撃の試みが大幅に急落したことを示しています。攻撃が成功していないことを確認するのは興味深いことですが、彼らは継続的にさまざまなことを試みており、次のような状況が続いています…私たちは彼らのサービスを利用しているので、その効果を確認するためにこれらのサービスを購入したり、それらを使用してそれを軽減する方法などを見つけたりするのと同じように、実際には興味深いことです。私たちの研究努力この種のものについて。 そのため、私たちは常に、Arkose に対する彼らのアプローチが機能しているか、機能していないかについて、彼らがどのように不平を言っているのかを監視しています。 彼らが反対している他の企業やサイトからはあまり見られないので、標準としての有効性は非常に高いとしか思えません.
つまり、詐欺師が利益を得るよりも本質的に攻撃に費用がかかるものを構築する必要があるという基本に立ち返ることになると思います。 Arkose を使用するだけでなく、詐欺師がお金を稼ぐのが自然に困難な方法で製品を構築したり、e コマースのような場合は払い戻しを差し控えたりすることができます。 フィンテックのような文脈では、特定のシナリオでは、さらに詳しく調べるまで承認を差し控えます。これはすべて、彼らのモチベーションと利益率を低下させるためです。それがゲームの名前のようなものです。本質的に、製品は詐欺師にとって良いものではありません。 残念ながら、フィンテックは成長を好む性質上、誰もが非常に急速に成長することを好みます。プロモーション クレジットなどのためにかなりの金額を提供するインセンティブがあります。ご想像のとおり、犯罪者が追跡するのは非常に魅力的です。
ピーター: 犯罪者のためにこれらの障害物を配置すると、ユーザー エクスペリエンスが低下する可能性があるため、摩擦を追加して不正行為を非常に少なくすることも、摩擦をなくして不正行為を増やすこともできます。 フィンテックで見られることとベストプラクティスは何ですか?
ケビン: それは本当の声明です! サインアップをオフにすれば、詐欺はなくなります。すばらしいことです。 (Peter 笑) また、顧客からの苦情もありません。これは、もう XNUMX つの利点です。 通常、そのモデルでは収益の問題が発生しますが、すべてリスクベースでなければならず、リスクベースのモデルですべてを行う必要があります。これが当初からの私たちのアプローチのようなものです。 リスクは低いです。見た目が良ければ、良さそうな場合は、チャンスをつかむ必要があります。そうでなければ、それほど多くのビジネスを行うことはできません。規模を拡大し、防御も拡大する必要があります。
たとえば、通常、世界の XNUMX つの地域から大量の不正行為が見られる可能性があります。たとえば、米国のように不正行為が少ないのに、ベトナムからは高度な不正行為が見られる可能性があります。詐欺が入ってくるので、単純にこれら XNUMX つの地域に異なるルール セットを設定するだけでよいのです。たとえば、米国ではもう少し寛容ですが、ベトナムでは少し奇妙なものを見つけた瞬間にぶつかります。次のギアが好きですよね。 または、すでによく知られている危険な地域で、非常に悪いものが大量にあるように見える場合は、それを非常に高く設定します。おそらく、摩擦のレベルの手動レビューのようです。
ピーター: VPN を使用して自分の位置を隠しているのではないでしょうか?
ケビン: 彼らはそうします。 そのようなものを検出する方法があります。たとえば、タイム ゾーンの一致は非常に興味深いものであり、通常は VPN と地理座標のタイム ゾーンであり、IP アドレスはデバイスのタイム ゾーンとは異なります。それはそれを使用しています。
ピーター: 右。
ケビン: それらのものはマスクすることができます。 自動化された攻撃などの洗練された攻撃では、通常はマスクされていると思いますが、人が行っているような少量の手動詐欺では、そのような種類のものをいくつか見つけることができます。彼らは通常、それほど洗練されていません。 彼らが自分の電話のように使用している場合、タイムゾーンを簡単に変更することはできません。つまり、詐欺の種類によって異なりますが、あなたは正しいです. つまり、最終的には、顧客から送信されたデータは、必要に応じてなりすますことができます.
ピーター: わかった。 そこで、Credential Stuffing についてお話ししたいと思います。Credential Stuffing は私にとって比較的新しい用語であり、あなたがこれを持っているという事実です…あなたの Web サイトには保証があると思います。
ケビン: 保証書。
ピーター: ええ、ええ。 XNUMX 万ドルの Credential Stuffing の保証について教えてください。Credential Stuffing とは何か、保証とは何か、どのように提供できるのでしょうか?
ケビン: うん。 したがって、Credential Stuffing は……人々が複数の製品、アプリ、Web サイトでパスワードを再利用するという事実によるものであり、これは秘密ではありません。 人々がそれを行っていることはわかっています。データは出回っています。非常に残念ですが、それは一種のことです。 11 つの Web サイトが危険にさらされると、これはよく知られていることですが、XNUMX 億を超えるユーザー名とパスワードが侵害によって漏洩しています。彼らは、以前に漏洩したユーザー名とパスワードを取得し、価値のあるものがあるため、アカウントにアクセスしたい価値の高いログイン ページに移動します。
フィンテックは明らかにアカウントに非常に多くの価値を持っています。彼らは自動化されたソフトウェアを使用しているため、ボットを使用しています。これを行うツールがあります。Openwall と呼ばれるツールがあります。これはオープンソースのソフトウェアであり、これらの攻撃を自動的に行います。 . 名前とパスワードを入力するだけで攻撃が行われますが、基本的には組み合わせをテストして有効な組み合わせを探しているため、それらのユーザー名とパスワードを継続的に入力し、資格情報をログインページに詰め込んでいます。 最終的には有効な組み合わせを見つけてアカウントにアクセスするため、それを軽減するための多くの戦略があるため、それは望ましくありません。
多要素はフィンテック業界では非常に一般的なものであるため、多要素を実行する必要がある理由は、クレデンシャル スタッフィングのためです。最近では、ユーザー名とパスワードを簡単に破ることができるからです。 すべてのフィンテックがそれを義務付けているわけではありません。これは非常に摩擦が大きく、多要素を有効にするには多大な労力が必要であり、ログインするたびに多大な労力を必要とするからです。 また、ソーシャル エンジニアリングを防止するように設計されており、クレデンシャル スタッフィングを防止するための摩擦の少ないより優れた防御策があります。明らかに Arkose Lab はその XNUMX つですが、他にも多くのものが存在します。 そのようなクレデンシャル スタッフィングの合計です。
保証とそれを提供する理由に関して、私たちの分野では、ログイン、サインアップなどへの攻撃を阻止することは、実際にベンダーと協力するときは最善の努力です、攻撃を止めることができるかどうか、攻撃者がXNUMXか月後にベンダーを機能させないようにするツールキットを構築する可能性があるように、攻撃がどれくらい機能するかはわかりません。ベンダーをバイパスするだけです。 基本的に彼らが彼らを入れることができると言うことができるように、あなたは十分に人間に見えるのが本当に上手でなければなりません.彼らは実際にそれを完全に乗り越えようとしています。
私たちは信念と自信を持っており、私たちのアプローチ、ツール、テクノロジー、および物事をレビューするセキュリティ オペレーション センター チームは、このような攻撃を防ぐことができます。 そして、私たちはそれを長年にわたって維持してきました。 基本的に、私たちが決定したのは、製品が機能することを誰も支持したり証明したりしない業界で際立っていることでした。私たちは保証付きで市場に出ます. その保証は、Arkose 製品がいずれかの時点でこの種の攻撃を防ぐことができない場合、何か問題が発生した場合に最大 XNUMX 万ドルの損失を補償するだけでなく、実際には顧客にとっての機会であると事実上述べています。再評価するために、Arkose と協力し続けたいですか?
この業界では、契約にそのような条項を持つベンダーは他にありません。彼らは存在しないだけです。私たちは市場でこの保証をほぼXNUMX年間持っていますが、誰も何も話しませんでした.私たちの空間の中でそれに近いものであり、それは企業がパートナーとして誰を選ぶかについて本当に考えさせるはずです. 勝つためにあなたと一緒にいるパートナーを選ぶか、最善を尽くしてくれる人を選ぶと思います。なぜなら、それは私たちがいるスペースで今まさにテーブルステークのようなものだからです.そうでなければ、私たちのスペースでこのようなものを起動します。
ピーター: わかった。 CAPTCHA についてお話ししたいと思います。CAPTCHA は昔からありますが、信号機や橋などを一致させる必要があるとイライラします。それはちょっと面倒で、もっと良いシステムを思いついたのです。 . Arkose MatchKey について教えてください。CAPTCHA より優れている理由を教えてください。
ケビン: うん。 まず、CAPTCHA について説明します。 つまり、CAPTCHA は、コンピューターと人間を区別するための完全に自動化された公開チューリング テストです。 つまり、ボットがテストを作成し、テストが人間かボットかを検証できるようにするための自動テストとしましょう。 つまり、あなたの信憑性を検証する機械です。 これは一種の奇妙な概念ですが、CAPTCHA の本来の意図は事実上、このようなものです。
現在、CAPTCHA 自体の有効性は、多くの変数に左右されます。たとえば、写真にラベルを付けるなど、要求された活動を機械がどれだけうまく実行できるかです。 ただ、AI はそれが非常に得意になったので、それが機械なのか人間なのかをテストする方法としてはもはや機能しません。なぜなら、機械は実際には、ほとんどの場合、データのラベル付けが人間よりも優れているからです。明らかにこの時点でインターネット上で作業するのに十分な例の在庫があり、それらは絶対に機能します。 つまり、道路標識を選択するようなツールは、その技術はかなり時代遅れで、XNUMX 年か XNUMX 年も前のものです。 それがあなたの核となる防御である場合、それはもはや実際には機能しません。 攻撃者がそれを通り抜けたい場合、それを自動化する方法はたくさんありますが、マシンは何年にもわたってそれを理解するでしょう.
本当に、テストによる自動化のためのテストのゲームで効果を発揮するには、本質的に機械が苦手なことを構築する必要があり、機械がそれを得意にすることに価値はありません。ツールが機能しなくなります。 したがって、挑戦の観点から私たちが展開する戦略は、本質的にセキュリティテストとしてのみ設計され、その時点で商用ソフトウェアがコンピューターから認識できるものよりも優れているように設計されたものを構築しようということです。これは一種の技術的で複雑な問題ですが、この分野で優れたソフトウェアを構築するために重要です。 そして課題は、危険なトラフィックまたは明らかに不正なトラフィックでのみ使用することです。あなたが言ったように、明らかに、迷惑で面倒な、すべての種類のもので、良いユーザーにそのような摩擦を使用したくありません.
別の方法としては、CAPTCHA のような人がトラフィックをブロックしていない場合、さらに悪いことを教えてください。サインアップや小さなパズルの解決が完全にブロックされます。 それは自動化に対する防御の観点から言えば、私たちが今いるところのようなもので、実際には変わっていませんが、機械が良くなったため、パズル自体は時間の経過とともに悪化しています. AI のような chatGPT のようなものが現在素晴らしいことを行っているのがわかります。たとえば、これらの古い防御に頼ることができなくなったため、この新しい防御を構築しました。 3 つの XNUMXD モデルを使用し、質問を生成し、ビジュアル パズルを動的に生成します。また、目的は、敵がそれを乗り越える方法を認識できるソフトウェアを作成するには、非常にコストがかかるものを構築することです。
この新しい MatchKey テクノロジーは、キー イメージと非常にクリエイティブなネーミングを一致させます。おそらく、これまでに設計した中で最高のものであり、インターネット上の CAPTCHA の歴史でこれまでに見たどのテクノロジーよりもはるかに優れています。 、これまでのところ、使いやすさの面で非常に優れているため、実際に費用がかかり、攻撃者にとって困難な問題と、AIにとって困難なことではない問題について、過去12年間に防御を構築してきた私たちの知識が必要です。質問は、過去 XNUMX か月ほどでほぼ毎月変更されています。その知識を使用して、この新しいテクノロジを構築します。
これは、Arkose を標的とする敵にとってはリセットです。これは、対処する必要のない私たちを攻撃する方法を考えなければならないという、完全にゲームを変えるアプローチだからです。 これは基本的に、この分野でのまったく新しいカテゴリー シフトのようなもので、これを XNUMX 年間行ってきた会社では非常に珍しいことです。現職者がこの種の経験を積むのを見ることはめったにありません。セキュリティスペース。
私たちのお客様にとって、そのような完全なリフレッシュを行うことは大きな利点です。防御として、新しいツールを導入した場合のようなものです。最初に導入したときは非常にうまく機能します。なぜなら誰もそれに対処する方法を知りません。 セキュリティの分野では、このような新しいテクノロジーを継続的に革新し、構築する必要があるのと同じように考えなければなりません。そうしないと、プラットフォームが疲弊し、攻撃者がそれを乗り越える方法を見つけ出し、最善の努力に戻りますが、攻撃者が問題を切り抜ける方法を知っている場合、それらは本当に十分ではありません。
ピーター: 右。 ですから、サービスとしてのサイバー犯罪者たちは最終的に方法を見つけ出し、ソフトウェアの次のバージョンでそれを展開するだろうと私は想像しています。 当然、次のことを考えなければなりませんよね?
ケビン: それは正しい軍拡競争であり、その目的は単に彼らのビジネスを利益に値しないものにすることです. この種の防御を展開するとき、私たちは彼らのコミュニティにいるので、ユーザーの発言やレビューを読んでいます。 サービスが機能しなくなると、レビューは信じられないほど否定的になり、レビューが否定的になると、サービスの使用をやめ、新しいサービスに移り、それから何かが消えます.
私たちはそのことを何度も目にしてきました。言えることは、私たちは多くの犯罪事業を鎮圧してきたということです。これまで対処してきたすべてのものと、何年にもわたって取り壊してきたすべてのものの長いリストがあります。彼らのコミュニティの一員であることから、日常的に私たちの仕事をすることまで、両方です。 実際の目標は、コミュニティが製品を購入するのをやめて、突然他の誰かに行き、そして、ご存知のように、繰り返し実行されるほど信頼性が低く、使用できないという点に到達することです. つまり、私たちは犯罪ビジネスを撲滅するビジネスを行っており、それがチームの仕事のようなものです。
ピーター: では、MatchKey のようなもののライフ サイクルはどのようなものですか。これは XNUMX 年、XNUMX 年続くと考えていますか。それについてどう思いますか?
ケビン: うん。 私たちがこのテクノロジーをどのように構築したかについて非常に優れている点は、動的になるように設計されていることです。 つまり、これはプラットフォームであり、単一のチャレンジではないため、そのチャレンジ形式で多くのことを実行できるため、この形式は非常に長く続くように設計されており、まだ考えもしていなかったパズルが既存の形式に適合します。 . Arkose で課題を構築する方法は非常にダイナミックであり、エンジニアリングの結果さえも必要とせずに、完全に変更することができます。コンテキストの種類、すべてを引き上げる問題であり、それが私たちを可能にします。防御を構築している 3D アーティストなどがいます。
非常に奇妙です、私たちがセキュリティを行う設計会社であるということは非常に奇妙ですが、実際には、新しい防御などを構築するという革新を非常に迅速に行うことができます。攻撃者が何をするかに基づいて、攻撃者が私たちを追いかけてくるにつれて学習します。 攻撃者が何をしようとしているのかを見るまで、次に何を構築すべきかを考えるのは非常に難しいので、これは非常に重要な部分です。
専門知識なしで完全に環境に優しいソリューションを構築しようとすることはできません。私たちが実際に学んだことは、いくつかのことをしようとしている他の誰よりも優れた構築、思考、革新を可能にするものです.
ピーター: 右。 ですから、将来に目を向けると、これらの Discord フォーラムに参加しているとおっしゃいましたが、それらはすべて情報を共有しています。 2024年、クライアントが次の波に備えるのをどのように支援しますか?
ケビン: うん。 私たちが持っている戦略は一貫しており、実際に物事をやり直す方法は、敵対的なコストと労力を上げることです. そのため、追加のデータポイント、さまざまな信号、詐欺師がなりすますには非常に費用がかかるものを取得できる新しいテクノロジーを構築しているため、そのコストバーを引き続き引き上げることができます。これは非常に重要なプロセスです。できる。 あなたが実際にできることは、最終的にそれを価値のないものにすることだけです。それを行うと、彼らはやめてしまいます。私たちもそれを何度も見てきましたが、それが製品ロードマップの観点からの重要な目的です.
ご存知のように、私たちは先月、この新しい MatchKey テクノロジーを発表しました。私たちが見るデータからさまざまな種類のレピュテーション ソースを中心に、第 1 四半期の初めに発表する新製品があります。昨年、新しいフィッシング防御を発表しました。サイトをプロキシするように設定されているサイトでは、多要素やこの種のものすべてをバイパスします.
そのため、私たちは常に、敵対者が行っている新しい手法が何であるか、利益率を上げるためにコストを下げようとしていること、その逆を行う方法、そのバランスを元に戻す方法に注目しています。フィンテックやマーチャント、または最終的に彼らのサービスをより保護するために私たちが協力している可能性のある誰に有利ですか? もう XNUMX つの要素は、お客様と密接に連携することです。それは単に「技術はありますが、頑張ってください…」というだけではありません。当社にはマネージド サービス チームがあり、必要に応じて常に適応し、レビューと調整を行っていますが、洞察を提供し、お客様と協力しています。その中で。
ご存知のように、プロモーションを立ち上げていて、それがたまたま儲かりすぎて本当にそれを守ることができない場合、彼らは基本的にそれをやり遂げるために必要なことは何でも喜んで行うので、あなたはやり直したいと思うかもしれません.プロモーションがどのように構成されているかなどについても考えてみてください。ビジネスの成長について考えるときに、人々が実際に考えるものではないため、私たちが顧客を支援するそのような種類のことについてのガイダンスでさえあります. 彼らは、誰かがそれを悪用して利用するために何をしようとしているのかについてはあまり考えていません。
ピーター: そうそう。 まあ、そこに置いておかなければならないでしょう、ケビン、本当に面白いです。 つまり、あなたが詐欺師と戦っているこの業界はなくなることはないと考えています.50年後にはセキュリティシステムをすり抜けようとする悪者が現れるでしょう. 番組に来てくれてありがとう。
ケビン: ありがとう、ピーター、私を迎えてくれてありがとう。
ピーター: 番組が気に入った場合は、お好みのポッドキャスト プラットフォームでレビューを投稿し、友人や同僚にそのことを伝えてください。
とにかく、そのメモで、私はサインオフします。 聞いてくれてありがとう。次回はお会いしましょう。 さよなら。
(音楽)
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://news.fintechnexus.com/podcast-408-kevin-gosschalk-of-arkose-labs/
