In de fintech-ruimte is het bestrijden van fraude een nooit eindigende strijd. En er zijn recente ontwikkelingen die het speelveld scheef trekken ten gunste van de fraudeurs. Fintech-bedrijven kunnen dit niet zelf, ze hebben de hulp nodig van experts die zich volledig inzetten om fraude zo moeilijk mogelijk te maken.

Mijn volgende gast op de Fintech One-on-One podcast is Kevin Gosschalk, de CEO en oprichter van arkose Labs. Kevin heeft Arkose Labs gebouwd om online fraude direct aan te pakken, nadat hij een reeks tools heeft gebouwd die worden gebruikt door fintechs en anderen die online actief zijn.

In deze podcast leer je:

• Het simpele concept achter de aanpak van Arkose.
• De huidige stand van zaken in de frauderuimte zoals die van toepassing is op fintech.
• Hoe Arkose Labs tegenwoordig met fintechs werkt.
• Hoeveel het kost om een ​​geldige identiteit op het dark web te kopen.
• Wat Cybercrime-as-a-Service is en waarom het een groot probleem is.
• Hoe fintechs kunnen proberen Cybercrime-as-a-Service te stoppen.
• Hoe de toenemende frictie en het verminderen van fraude in evenwicht te brengen.
• Een uitleg van credential stuffing.
• Waarom ze een garantie van $ 1 miljoen bieden voor credential stuffing.
• Waarom Arkose Labs MatchKey heeft gemaakt om CAPTCHA te vervangen.
• Hoe ze MatchKey zullen aanpassen om ervoor te zorgen dat het lang meegaat tegen criminelen.
• Hoe ze zich voorbereiden op toekomstige fraudeaanvallen.

Maak contact met Kevin op LinkedIn
Maak contact met Arkose Labs op Twitter

 Download een PDF-transcriptie van aflevering 408 - Kevin Gosschalk of Lees het hieronder

FINTECH EEN-OP-EEN PODCAST NR. 408-KEVIN GOSSCHALK

Welkom bij de Fintech één-op-één-podcast. Dit is Peter Renton, voorzitter en medeoprichter van Fintech Nexus.

Ik doe deze shows sinds 2013, waardoor dit de langstlopende een-op-een-interviewshow in de hele fintech is, bedankt dat je met me meegaat op deze reis. Als je deze podcast leuk vindt, bekijk dan onze zustershows, PitchIt, de Fintech Startups Podcast met Todd Anderson en Fintech Coffee Break met Isabelle Castro of je kunt luisteren naar alles wat we produceren door je te abonneren op het Fintech Nexus-podcastkanaal.  

(Music)

Voordat we beginnen, wil ik het hebben over ons boetiekevenement voor alle vergaderingen, Dealmakers East, dat plaatsvindt in het Ritz Carlton South Beach op 7 en 8 februari. Bij Dealmakers East draait alles om vergaderingen, er zijn geen keynotes, geen panels, het is 100% gericht op met de hand samengestelde vergaderingen, of u nu fintech-CEO's, bankiers of investeerders wilt ontmoeten, wij staan ​​voor u klaar. Onze Dealmakers-evenementen zijn consequent onze best beoordeelde evenementen, dus ga naar fintechnexus.com voor meer informatie en om u te registreren.

Peter Renton: Vandaag hebben we het in de show over fraudebestrijding. Ik ben verheugd om de CEO en oprichter van Arkose Labs, Kevin Gosschalk, welkom te heten in de show en we gaan het hebben over de verschillende manieren waarop fraudeurs tegenwoordig opereren, hoe ze evolueren, hoe ze slimmer worden en deze nieuwe concept van zoals Cybercrime-as-a-Service en hoe dat het spel heeft veranderd en wat het betekent voor fintechs. En dus praten we over de verschillende soorten fraude die we zien, hoe de fintechs het zouden moeten aanpakken en we praten over enkele manieren waarop Arkose Labs sommige fraudeurs kan bestrijden. We praten over de frictie tussen een goede gebruikerservaring en solide antifraudemaatregelen, we praten ook over hoe het er in de toekomst uit zal zien, waar de volgende aanvalsgolf vandaan kan komen. Het was een boeiende discussie; hoop dat je geniet van de show.

Welkom bij de podcast, Kevin!

Kevin Gosschalk: Bedankt, Peter, goed om mee te doen.

Peter: Geweldig dat je erbij bent. Dus laten we beginnen met de luisteraars wat achtergrondinformatie over jezelf te geven. Ik weet dat je, net als ik, uit het land Down Under komt, dus waarom vertel je ons niet wat achtergrondinformatie en wat je in eerste instantie hiertoe bracht? land.

Kevin: Dus ik ben een soort ingenieur van beroep, behoorlijk sterke gamer ook, daar begon ik mijn leven met het spelen van videogames en het houden van technologie. Ik heb eigenlijk gestudeerd aan de Queensland University of Technology in Brisbane, Australië, heb Bachelor of Games en Interactive Media gestudeerd, een beetje een erg links veld gezien het feit dat ik nu een beveiligingsbedrijf run, maar ja, er zijn een paar dingen die ik deed die erg anders dan games, zou ik zeggen. 

Dus het eerste wat ik deed buiten de universiteit, was dat ik hielp met een onderzoek naar vroege markers bij diabetes, van alles, dus ik hielp eigenlijk bij het bouwen van technologie waarmee ze zenuwen in het oog in kaart konden brengen en het blijkt met een vergroting van 500 keer wat een vrij grote vergroting is, zou ik zeggen. De zenuwen zijn eigenlijk heel goede indicaties of een patiënt diabetes heeft of niet. Dus als je een gezond zenuwstelsel hebt, heb je geen diabetes, de zenuwen wervelen allemaal door elkaar, alsof het heel duidelijk is, het is heel duidelijk, je kunt het schoon en helder zien. Voor iemand die diabetes heeft, zijn ze uit elkaar gegaan, ze komen eigenlijk niet samen als een werveling. Dus alleen al naar het oog kijken kan het verschil zien tussen iemand met of zonder diabetes en die techniek werkt twee jaar eerder dan traditionele bloedprikken en andere technieken die ze gebruiken. 

Dus die studie was op zoek naar vroege markers voor diabetes en ze probeerden erachter te komen hoe we software bouwen of een manier om dit in kaart te brengen, want het probleem met het plaatsen van een camera op iemands oog, je moet foto's maken van zoiets als een zeer groot deel van het oog voordat u een kaart kunt bouwen. En mensen waren erg zenuwachtig met hun ogen en als iemand zijn oog trilt bij 500 keer vergroting eigenlijk ergens anders in het universum. Dus ik bouwde een soort techniek met behulp van een soort gametechnologie en interactieve software waarmee we de ogen in kaart konden brengen en vervolgens schreef ik software waarmee ze de fotografie automatisch aan elkaar konden hechten, dus gebruikten we computervisie en machine learning-software die dat deed. Dus ik deed dat ongeveer twee jaar, dus ik bouwde de baanbrekende techniek waarop ze toen een zevenjarige klinische proef deden en ze gebruiken die software nu daadwerkelijk in het VK om mensen te helpen diagnosticeren. Dat was een beetje een kleine bijdrage aan de gezondheid. 

Daarna, en eigenlijk in volgorde daarvan, werkte ik aan een studiebeursproject met de Endeavour Foundation, een grote non-profitorganisatie in Australië voor mensen met een verstandelijke beperking. Ze wilden iets krijgen dat mensen wakker en actief maakte. Dus nogmaals, een beetje terug naar mijn gamer-roots en dat combineer ik een beetje met interactieve media, zoals tastbare media, zoals dingen als hendels en tandwielen, en dingen die je kunt gebruiken om iets te laten gebeuren. Ik heb zo'n beetje dit prototypesysteem gebouwd, kreeg een studiebeurs van $ 5,000 waarmee ik wat geld kon kopen om wat spullen te kopen bij een ijzerhandel en de elektronicawinkel en dat soort jurymateriaal samen te stellen. We hebben zo'n interactieve vloer van 2 x 3 meter gebouwd, zodat het net een gigantische iPad op de grond was. 

De manier waarop ik het echt heb laten werken, is dat ik een aantal sensoren heb die je onder je mat plaatst, dus als je op de mat stapt, activeert het het huisalarm, dit was in de tijd voordat camera's en zo een ding waren en ik heb er 60, bedraad ze in een rij en waar je ook stapt, het zou in feite werken als een gigantische knop, dus ik zou weten dat je in dit gigantische oppervlak van 2 x 3 meter stapt en ik zou daar een projector op zetten en dan kan ik projecteren als een spel soort ervaring alsof je door een plas, een zwembad of een gigantisch toetsenbord loopt. We hebben dit gecommercialiseerd met de hulp van de Australische overheid, eigenlijk als een onderzoekssubsidie ​​voor commercialisering, ze hebben het een paar keer een andere naam gegeven, afhankelijk van welke regering aan de macht is, het is Accelerating Commercialization of Commercializing Australia of zoiets, ik weet het niet , bleven ze het hernoemen. 

Maar het financiert effectief innovatief onderzoek naar het nieuwe soort technologieën, en uiteindelijk hebben we dit gecommercialiseerd, we werkten samen met Microsoft en we waren de eerste derde partij die pc-technologie gebruikte voor Microsoft Connect, een soort dieptesensor die bepaalt hoe ver of hoe dicht je bij een object was. Dus ik heb een heleboel ervaring, zoals onderzoek naar computervisie en dat soort dingen, en uiteindelijk hebben we een licentie verleend aan een van de grootste onderwijsaanbieders in APAC en ze hebben nu nog steeds die technologie waarvan ze, weet je, we uiteindelijk een beetje draaiden een beetje in die vroege opleiding omdat het echt boeiende technologie was en er leuke leeractiviteiten en zo mee kan doen. 

Ik heb dus veel ervaring met welke machine goed is in het herkennen en begrijpen en verander dat dan een beetje in het omgekeerde veld, namelijk het beveiligingsweb. We proberen nu te voorkomen dat bots toegang krijgen tot services en websites en accounts maken en accounts compromitteren. We hebben de kennis van het bouwen van dat soort software gebruikt om vervolgens te begrijpen hoe dat soort software moet worden gevoed en zo te voorkomen dat die feeds begrijpen en hoe herkennen en dingen doorstaan. Dat is een beetje het baanbrekende idee achter Arkose, dat we ongelooflijk succesvol zijn geweest en dat vandaag de dag nog steeds zijn met onze soort aanpak daar. Weet je, het belangrijkste doel van het Arkose-product is om de kosten voor tegenstanders in wezen hoger te maken dan hun winst. Als je dat doet, stoppen ze, dus dat is een vrij eenvoudig concept, toch? 

Ja, dat is een beetje de benadering die we hanteren voor het soort product dat we bouwen en, weet je, als Aussie, wie kan er nou beter een beveiligingsbedrijf leiden, zijn we allemaal veroordeeld door geboorte? (beiden lachen) Wie kan de criminele geest beter uitleggen, toch? Ik ben ongeveer vijf jaar geleden naar de VS verhuisd en dat kwam eigenlijk omdat alle bedrijven waarmee we samenwerkten, weet je, sommige van onze vroege klanten waren bedrijven als GitHub en Dropbox, weet je, Roblox was een vroege klant, allemaal hele grote VS. bedrijven met wereldwijde producten en ze zijn het meest lucratief voor aanvallers. Ze willen echt achter grote gebruikersbestanden en dat soort dingen aan gaan, dus weet je, we zijn echt een goede partner, geschikt voor die bedrijven. Ik zat elke maand in het vliegtuig…………

Peter: O mijn God.

Kevin: ……… heen en weer reizen tussen Australië en de VS. Op een gegeven moment was het vrij duidelijk dat ik dat niet meer moest doen.

Peter: (lacht) Juist. Ja inderdaad, oké. Laten we dan, misschien, een stand van zaken geven met betrekking tot fraudeurs. Ik bedoel, wat zijn tegenwoordig de grootste uitdagingen als het gaat om fraude-aanvallen, vooral als we ernaar kijken door een fintech-lens.

Kevin: Dus we zagen een heel grote verschuiving in de dynamiek, zou ik zeggen in de afgelopen 12 maanden, die nu helaas echt in het voordeel zijn van criminelen. Ik denk dat het erger wordt en ik denk dat het de komende jaren heel zwaar gaat worden. Dus, de use-cases die een operatie beschermt en een soort van ons perspectief, dus we werken met enkele van de grootste fintechs ter wereld, uiteraard de grootste in de VS, we werken ook met veel niet-fintechs, de video game-handelaren, we werken met de grote technologiebedrijven zoals Microsoft, we werken met grote reisplatforms, de grote retailers, dus we zien het echt allemaal. 

Voor een fintech, weet je, het doelwit is natuurlijk geld, want dat is wat fintechs hebben, er zijn eigenlijk twee gebieden die we beschermen die relevant zouden zijn, nieuwe accounts aanmaken, dus het is iets dat misbruik maakt van je nieuwe accountervaring, kaarten openen, nemen voordeel van promoties waarbij u financiert, misschien een paar dollar op een nieuwe rekening, wat het ook mag zijn, dus dat is duidelijk één groot gebied. Dan is de andere grote accountovername, dus dat is een van de gebieden, accountovername heeft twee soorten aanvallen, de ene is het opvullen van referenties waarbij ze gebruikersnamen en wachtwoorden hergebruiken, want dat is helaas wat je waarschijnlijk doet, en alles de luisteraars doen dat helaas waarschijnlijk ... zouden dat idealiter niet moeten doen. Het andere onderdeel is social engineering, dus dat is waar fraudeurs praten of iets verzenden, iemand op een link laten klikken, wat het ook mag zijn, en op die manier het account in gevaar brengen. 

In de context van fintech kunnen gecompromitteerde accounts in geld veranderen, toch, dus willen ze een account compromitteren waarop geld staat, of kunnen dingen veranderen als fraude met microdeposito's waarbij ze accounts financieren of accounts aanmaken waar het doel is om mensen in feite een paar cent op hun echte bankrekening te laten storten om te verifiëren dat u de eigenaar van die bankrekening bent, weet u, een paar cent storten en dat doen ze honderdduizenden keren en ze verdienen er een paar duizend dollar per dag mee dit soort aanvallen. 

Er zijn dus verschillende soorten aanvalstechnieken en nogmaals, het is natuurlijk allemaal met winstoogmerk, dus de tegenstanders proberen erachter te komen hoe ik deze aanvallen kan opschalen, hoe ik deze aanvallen kan uitvoeren op een manier die goedkoper is dan mijn kosten . Creditcards, bijvoorbeeld, weet je, je kunt KYC volledig omzeilen door gewoon een geldige identiteit te kopen, je passeert KYC als je een geldige identiteit hebt, weet je, overal van $ 7 tot $ 17 kun je KYC volledig omzeilen. Nou, niet omzeilen, je geeft het correct door, je hebt een geldig identiteitsbewijs zoals het eigenlijk is, weet je, KYC's taak is om te valideren of het identiteitsbewijs legitiem is, het is helaas legitiem, dat werkt, maar ze zouden kunnen in staat zijn om $ 500 te verdienen door een KYC-proces te doorlopen, dus de toegangsdrempel om dit soort criminelen te voorkomen moet behoorlijk hoog zijn. En wat echt de favoriet is van criminelen is het delen van nodes, dus er zijn veel communities zoals Telegram, Discord, etc. waar criminelen kennis delen over hoe ze deze aanvallen kunnen uitvoeren, wie zwakke doelen zijn, wat goede technieken zijn, ik ben hierdoor geblokkeerd, wat moet ik doen? En dat soort informatie delen ze graag. 

Het andere probleem is een enorme opkomst van wat Cybercrime-as-a-Service wordt genoemd, dus dit zijn een soort kits die klaar zijn voor gebruik, die de verdediging kunnen omzeilen, die proxy-sites kunnen klonen, ze doen eigenlijk alles voor de fraudeur, de fraudeur zelf hoeft niet veel anders te doen dan te zeggen: hier is mijn slachtoffer waar ik achteraan ga, hier is mijn bankrekening, ga maar vollopen, ik koop de software en er zijn ontwikkelaars die die software eigenlijk bouwen. En dit is een enorm probleem, omdat de kostendynamiek heel anders is wanneer een groep mensen hun geld bundelen voor één ontwikkelingsbron, versus een fraudeur die aanvalt en het zelf probeert uit te zoeken. Het heeft de balans echt drastisch verschoven, denk ik, in het voordeel van de tegenstander.

Peter: Wie is de koper van dit soort, weet je, Hacking-as-a-Service, zijn deze rechtvaardig, omdat ik me kan voorstellen dat de grote operaties hun eigen hebben, maar deze? Is er iemand die crimineel wil worden of ze zijn al crimineel en willen hun bedrijf uitbreiden, ik bedoel, wie koopt het?

Kevin: Ja. Dit soort services is gewoon aantoonbaar beter dan al deze andere die voor hen zijn gekomen, zelfs de grote riggers gebruiken nu de services in plaats van hun eigen software te onderhouden.

Peter: Interessant.

Kevin: Het is een beetje zoals hoe SaaS de echte wereld heeft beïnvloed, het is ongeveer hetzelfde in de wereld van cybercriminaliteit, het is alsof ik intern iets aan het bouwen ben en mijn kosten zijn dit, mijn effectiviteit is dit. Als ik het uitbesteed, gaan mijn kosten omlaag en de effectiviteit omhoog, waarom zou ik dat dan niet doen? Dat is een beetje wat we beginnen te zien tot het punt waarop we, weet je, toegewijde tegenstanders per klant zagen. Twee jaar geleden, drie jaar geleden, vier jaar geleden was dat een beetje wat het was, terwijl we nu vooral de Cybercrime-as-a-Service-platforms moeten verslaan.

Peter: Dus daarom zei je dat het erger wordt, juist, waar het feit dat deze Cybercrime-as-a-Service over het algemeen effectiever zijn.

Kevin: Ze zijn effectiever en de gemeenschappen zijn groter en de gemeenschappen zijn goed in het delen van het gebruik van de diensten, dat is ook een soort lijm die het bij elkaar houdt. Er is gewoon ongelooflijk veel kennisdeling aan de kant van de fraudeurs, wat we helaas niet echt doen in onze branche en dat is een enorm nadeel voor mensen die criminelen proberen te voorkomen.

Peter: Oké. Dus de vraag is duidelijk: je hebt het verzonnen, maar hoe stop je deze Cybercrime-as-a-Service?

Kevin: Ja. Ik bedoel, die vraag is wat iedereen probeert uit te zoeken, juist, want ik denk dat als je binnenshuis verdediging probeert op te bouwen, je heel snel achter zult raken hoe snel ze zich aanpassen, alsof ze zich binnen enkele uren aanpassen, alsof ze verdedigingstools in uren opnieuw kunnen bouwen, zo snel zijn ze, ze zijn erg ondernemend, ze werken graag vele uren, vele dagen. We zien ze wel weekenden vrij nemen, het is eigenlijk best grappig met Kerstmis, we zagen een groot aantal aanvallen, weet je, één klant probeerden ze te azen, zoals 70 miljoen accounts probeerden ze te creëren, dit zijn grote cijfers toch?

Peter: Wow!

Kevin: Dit weekend stopten ze ongeveer twee dagen met aanvallen en dit is een enorme daling in pogingen, het is best interessant om te zien dat omdat de aanvallen niet succesvol zijn, maar ze voortdurend verschillende dingen proberen en we blijven zien als... omdat we hun diensten gebruiken, kopen we min of meer van hen, juist, zoals we deze diensten kopen om hun effectiviteit te zien en we gebruiken die om erachter te komen hoe we het kunnen verminderen en dat soort dingen, het is eigenlijk best fascinerend, onze onderzoeksinspanningen op dit soort dingen. Dus we houden altijd toezicht om te zien hoe ze klagen dat hun aanpak tegen Arkose werkt of niet werkt. We zien daar niet veel van van de andere bedrijven en sites waar ze tegen ingaan, dus ik kan me alleen maar voorstellen dat de effectiviteit echt vrij hoog is als standaard. 

Dus ik denk dat het echt terug gaat naar de basis, namelijk dat je iets moet bouwen dat inherent duurder is om aan te vallen dan voor een fraudeur om van te profiteren. Dat kan een heleboel dingen zijn, het is niet alleen het gebruik van een Arkose, je kunt het product bouwen op een manier die natuurlijk moeilijk is voor een fraudeur om geld te verdienen, terugbetalingen inhouden als je van e-commerce houdt. In de context van zoals fintech, onthoud goedkeuringen in bepaalde scenario's totdat je het verder hebt onderzocht, want dat vermindert allemaal hun motivatie en hun winstmarges, dus dat is echt de naam van het spel, het is alsof je iets bouwt dat inherent als een product is niet goed voor een fraudeur. Helaas, vanwege de aard van hoe fintech graag groeit, houdt iedereen ervan om heel snel te groeien, ze worden gestimuleerd om behoorlijk veel geld weg te geven voor bijvoorbeeld promotiekredieten, weet je, start op en ontvang "x" dollars, dat wil zeggen net als, zoals je je kunt voorstellen, best aantrekkelijk voor criminelen om achteraan te gaan.

Peter: Het plaatsen van deze wegversperringen voor de criminelen kan ook leiden tot een slechte gebruikerservaring, dus je kunt wrijving toevoegen en zeer weinig fraude hebben of je kunt geen wrijving hebben en meer fraude. Hoe breng je dat in evenwicht? Wat zijn enkele van de dingen die u ziet en best practices met fintechs?

Kevin: Dat is een ware uitspraak! Als u het aanmelden uitschakelt, heeft u geen fraude, het is geweldig! (Peter lacht) Je krijgt ook geen klachten van klanten, dat is nog een goed voordeel. Meestal krijg je wat inkomstenproblemen, maar het moet allemaal op risico's gebaseerd zijn, je moet alles doen op basis van een op risico's gebaseerd model, dat is vanaf het begin min of meer onze benadering geweest. Het is een laag risico, je laat het gewoon binnen, alsof het er goed uitziet, goed lijkt, weet je, je zou waarschijnlijk het risico moeten nemen, want anders heb je niet zo'n groot bedrijf, toch, maar dan heb je om een ​​beetje op te schalen en je verdediging moet ook opschalen. 

Hoe meer, er zeker van zijn dat het een slechte zaak is, zoals u bijvoorbeeld typisch een hoop fraude ziet uit een bepaalde regio in de wereld, misschien ziet u net als in de VS weinig fraude, maar misschien ziet u vanuit Vietnam een ​​hoge mate van fraude die binnenkomt, zodat je gewoon verschillende regelsets kunt hebben voor die twee regio's, juist, zoals misschien ben je in de VS een beetje soepeler, terwijl je in Vietnam het moment dat je iets ziet dat een beetje vreemd is, tegen het lijf loopt om de volgende versnelling leuk te vinden, toch. Of, als je het hoge volume van echt slechte dingen ziet, in een al bekende risicovolle regio, zet je dat op superhoog, zoals misschien een handmatige beoordeling van een soort wrijvingsniveau, toch.

Peter: Zouden ze geen VPN's gebruiken om hun locatie te maskeren?

Kevin: Zij doen. Er zijn manieren om dat soort dingen te detecteren, dus het matchen van tijdzones vonden we bijvoorbeeld erg interessant, dus typisch de VPN, en de tijdzone van de geografische coördinaten, het IP-adres is anders dan de tijdzone van het apparaat dat gebruikt het.

Peter: Rechts.

Kevin: Die dingen kunnen worden gemaskeerd. Ik denk dat met geavanceerde, zoals geautomatiseerde aanvallen en dat soort dingen, dat meestal gemaskeerd is, maar met een soort handmatige fraude met een lager volume, waarbij het net is alsof een persoon het doet, kun je sommige van dat soort dingen opvangen omdat ze zijn meestal niet zo geavanceerd. Als ze hun eigen telefoon gebruiken, kunnen ze de tijdzone niet echt gemakkelijk wijzigen en, weet je, het verschilt dus afhankelijk van het soort fraude, maar je hebt gelijk. Ik bedoel, uiteindelijk kunnen alle gegevens die door de klant naar u worden verzonden, worden vervalst als ze dat willen.

Peter: Oké. Dus ik wil het alleen hebben over het vullen van referenties, wat een relatief nieuwe term voor mij is, en het feit dat je dit hebt ... ik denk dat je een garantie op je website hebt.

Kevin: Een garantie.

Peter: Jaaa Jaaa. Een garantie van ongeveer een miljoen dollar voor credential stuffing, dus vertel ons, wat is credential stuffing en wat is uw garantie en hoe kunt u deze bieden?

Kevin: Ja. Credential stuffing is dus... vanwege het feit dat mensen wachtwoorden hergebruiken voor meerdere producten, apps, websites, dit is geen geheim. We weten dat mensen het doen, de gegevens zijn er, het is erg jammer, maar het is een beetje wat het is. Zodra een website is gecompromitteerd, wat zoals we allemaal weten vrij vaak gebeurt, zijn er meer dan 11 miljard gebruikersnamen en wachtwoorden gelekt door compromissen, dus het is gewoon dit belachelijke aantal combinaties dat vrij algemeen bekend is. ze nemen die eerder uitgelekte gebruikersnamen en wachtwoorden en gaan vervolgens naar een waardevolle inlogpagina waar ze toegang willen krijgen tot accounts omdat er iets van waarde is. 

Fintechs hebben duidelijk veel waarde in de accounts, ze gebruiken geautomatiseerde software, dus ze gebruiken een bot, er zijn tools die dit doen, er is een tool genaamd Openwall, het is een open-source stuk software en zal deze aanvallen automatisch voor je uitvoeren . Je voert gewoon wat namen en wachtwoorden in en het zal de aanvallen uitvoeren, maar het test eigenlijk de combinatie, dus het zoekt naar geldige combinaties, dus het voert gewoon continu die gebruikersnamen en wachtwoorden in en het propt de inloggegevens als het ware in de inlogpagina. Dat wil je niet, want uiteindelijk zullen ze combinaties vinden die geldig zijn en ze zullen in het account komen, dus er zijn een aantal strategieën om dat te verminderen. 

Multi-factor is een veelvoorkomende factor in de fintech-industrie, dus de reden waarom u multi-factor moet doen, is vanwege het volstoppen van referenties, anders zou u geen multi-factor hoeven te doen die dat een heel belangrijke vereiste maakte gewoon omdat het tegenwoordig zo gemakkelijk is om gebruikersnamen en wachtwoorden te kraken. Niet alle fintechs verplichten het omdat het echt veel wrijving veroorzaakt, multi-factor is veel moeite om in te schakelen, het is veel moeite om elke keer dat je inlogt te doen. En het is ook meer ontworpen om social engineering te voorkomen en er is een betere verdediging om het volstoppen van referenties te stoppen die minder wrijving veroorzaken, uiteraard is Arkose Lab er een, maar er zijn er ook een aantal. Dat soort optelsom van credential stuffing. 

Wat betreft de garantie en waarom we dat aanbieden, dus in onze ruimte, weet je, het stoppen van aanvallen op, je weet wel, log-ins en aanmeldingen en dat soort dingen, echt als je met een leverancier werkt, is het een beste poging , je weet niet echt of het de aanval zal kunnen stoppen, je weet niet echt hoe lang het zal werken, zoals een aanvaller een toolkit zou kunnen bouwen waardoor je leveranciers na zes maanden niet meer werken, zoals het zal gewoon de verkoper omzeilen. Je moet er gewoon heel goed uitzien als mens, zodat het eigenlijk zegt dat ze ze binnen kunnen laten. Dus dat is een wapenwedloop die helaas dat soort gevolgen heeft als je niet over het juiste gereedschap beschikt, dat ze zullen er eigenlijk helemaal voorbij komen. 

We hebben de overtuiging en het vertrouwen, onze aanpak, tools, technologie en ons security operations center-team dat dingen beoordeelt, zijn in staat om elke aanval als deze te voorkomen - punt uit. En dat hebben we jarenlang volgehouden. Wat we eigenlijk besloten, was om ons te onderscheiden in een branche waar niemand zou steunen of bevestigen dat hun product zou werken, we gaan op de markt komen met een garantie. Die garantie stelt in feite dat als het Arkose-product op enig moment dit soort aanvallen niet kan voorkomen, we niet alleen tot een miljoen dollar aan verliezen zullen dekken als er iets langs ons heen komt, maar het is eigenlijk een kans voor de klant om opnieuw te beoordelen willen we blijven werken met Arkose? 

Er is geen enkele andere leverancier in deze branche die zo'n clausule in zijn contract zal hebben, ze bestaan ​​gewoon niet, en we hebben deze garantie al bijna een jaar in onze markt en niemand is zelfs maar met iets aan tafel gekomen. dichtbij binnen onze ruimte en dat zou bedrijven echt moeten aanzetten tot nadenken over wie ze als partners kiezen. Ik denk dat je een partner moet kiezen die er samen met jou in zit om te winnen of iemand kiest die zijn best doet, want dat is echt de inzet op dit moment in de ruimte waarin we ons bevinden. Ik ben eigenlijk een beetje teleurgesteld dat we niemand zien lanceer anders zoiets in onze ruimte.

Peter: Oké. Nou, ik wil het hebben over CAPTCHA, dat bestaat al een hele tijd en ik raak geïrriteerd als ik de verkeerslichten of de brug of wat dan ook moet matchen en het is een beetje vervelend en je hebt een beter systeem bedacht . Vertel ons over Arkose MatchKey en waarom het beter is dan CAPTCHA?

Kevin: Ja. Laat me eerst CAPTCHA beschrijven. CAPTCHA is dus een volledig geautomatiseerde openbare Turing-test om computers en mensen uit elkaar te houden, dat is waar dat voor staat. Dus de bedoeling ervan is, laten we zeggen, geautomatiseerde test, dus een bot maakt de test en de test is bedoeld om te kunnen valideren, ben je een mens of een bot? Het is dus een machine die je authenticiteit valideert. Het is een vreemd concept, maar dat is in feite de bedoeling van een CAPTCHA. 

De effectiviteit van de CAPTCHA zelf hangt af van een aantal variabelen: hoe goed is een machine in het doen van activiteiten die gevraagd worden, zoals het labelen van foto's. AI is daar nu zo goed in geworden dat dat echt niet meer werkt als een manier om te testen of het een machine of een mens is, omdat machines in de meeste gevallen eigenlijk beter zijn in het labelen van gegevens dan mensen, zolang ze maar een grote genoeg inventaris van voorbeelden om uit te werken, wat op dit moment op internet duidelijk absoluut het geval is. Dus dit soort tools, zoals het selecteren van het straatnaambord, alsof die technologie behoorlijk gedateerd is, alsof het nu zes/zeven jaar oud is. Als dat je belangrijkste verdediging is, werkt dat niet echt meer. Als een aanvaller er doorheen wil komen, zijn er tal van manieren om dat te automatiseren, machines zullen dat in de loop van de jaren uitzoeken. 

Echt, om effectiviteit te zijn in het spel van testen voor automatisering met een test, moet je iets bouwen waar machines van nature niet goed in zijn en het heeft geen zin dat ze er goed in worden, want als dat zo is, haalt AI het natuurlijk uiteindelijk in en de tool werkt niet meer. Dus de strategie die we inzetten vanuit het standpunt van een uitdaging is precies dat, laten we iets bouwen dat inherent alleen is ontworpen als beveiligingstest en eenvoudigweg is ontworpen om op dat moment beter te zijn dan wat commerciële software kan herkennen van een computer visiestandpunt dat een soort technisch en complex probleem is, maar nogal belangrijk voor het bouwen van goede software in deze ruimte. En de uitdaging, we zullen het alleen gebruiken bij risicovol verkeer of duidelijk misbruikend verkeer, je wilt zulke wrijving niet gebruiken bij goede gebruikers, uiteraard, zoals je zei, vervelend en omslachtig, al dat soort dingen. 

Het alternatief is echter dat iemand als CAPTCHA het verkeer blokkeert, dus vertel me wat erger is, volledig worden geblokkeerd voor aanmelding of het oplossen van een kleine puzzel. Dat is een beetje waar we ons nu bevinden van weerbaarheid tegen automatisering, het is niet echt veranderd, maar de puzzels zelf zijn in de loop van de tijd erger geworden omdat machines net beter zijn geworden. Je ziet dingen als chatGPT zoals AI nu fantastische dingen doet, alsof je gewoon niet meer op deze oudere verdediging kunt vertrouwen, dus hebben we deze nieuwe gebouwd. Wat het doet, is dat het twee 3D-modellen gebruikt en we genereren een vraag en vervolgens genereren we dynamisch een visuele puzzel en het doel, nogmaals, is om iets te bouwen dat erg duur is voor tegenstanders om software te schrijven die kan herkennen hoe ze er doorheen moeten komen. 

Deze nieuwe MatchKey-technologie, je koppelt een sleutelafbeelding, zeer creatieve naamgeving, is waarschijnlijk de beste die we ooit hebben ontworpen en veel beter dan alles wat we tot nu toe in de CAPTCHA-geschiedenis op internet hebben gezien , tot op heden omdat het echt uitblinkt in de bruikbaarheid, dus het heeft onze kennis van de afgelopen zeven jaar nodig gehad om verdediging op te bouwen in de ruimte rond wat voor soort problemen echt duur en moeilijk zijn voor tegenstanders versus niet wat moeilijk is voor AI omdat dat vraag is bijna maandelijks veranderd in de afgelopen 12 maanden of zo, juist, en gebruik die kennis om deze nieuwe technologie te bouwen. 

Het is echt een reset voor tegenstanders die zich op Arkose richten, omdat het gewoon deze complete spelveranderende benadering is waarmee ze moeten nadenken over hoe ze ons moeten aanvallen, waarmee ze niet te maken hebben. Het is eigenlijk een soort nieuwe categorieverschuiving in deze ruimte met een bedrijf dat dit al zeven jaar doet, wat vrij ongebruikelijk is, het is zeldzaam dat gevestigde exploitanten het soort ervaring opdoen, we bouwen iets dat zo'n paradigmaverschuiving in de beveiligde ruimte. 

Het is een enorm voordeel voor onze klanten om dat soort volledige vernieuwing te hebben, zou ik zeggen, als verdediging, een beetje zoals wat het zou kunnen zijn als je nieuwe tools binnenbrengt, het zal heel goed werken als je het voor het eerst binnenbrengt, omdat niemand weet hoe ermee om te gaan. En dat is een beetje hoe je erover moet nadenken in de beveiligingsruimte, alsof je voortdurend moet innoveren en nieuwe technologie moet bouwen, anders wordt je platform moe en bedenken de aanvallers hoe ze er doorheen kunnen komen en dan, weet je, je gaat terug naar de beste inspanningen en ze zijn gewoon niet echt goed genoeg als de aanvallers een beetje weten hoe ze door de dingen heen moeten komen.

Peter: Rechts. Dus ik stel me echter voor dat deze Cybercrime-as-a-Service-mensen uiteindelijk een manier zullen vinden, ze zullen het uitrollen in hun volgende versie van hun software. Dus je moet duidelijk aan het volgende denken, toch?

Kevin: Het is een wapenwedloop, dat klopt, en het doel is gewoon om hun bedrijven niet winstgevend te maken. Dus, weet je, wanneer we dit soort verdediging uitrollen, omdat we in hun gemeenschappen zijn, lezen we wat hun gebruikers zeggen, we lezen hun recensies. De beoordelingen worden ongelooflijk negatief wanneer hun service niet meer werkt en wanneer de beoordelingen negatief worden, stoppen ze met het gebruik van de service en gaan ze verder met een nieuwe service en dan verdwijnt er iets. 

Dat hebben we keer op keer gezien, dat kan ik je vertellen, we hebben veel criminele ondernemingen neergeslagen en we hebben een lange lijst van alle bedrijven waarmee we te maken hebben gehad en alle bedrijven die we in de loop der jaren hebben afgebroken. zowel van deel uitmaken van hun gemeenschap tot gewoon ons werk dagelijks doen. Het doel is eigenlijk gewoon om op het punt te komen waarop hun product zo onbetrouwbaar en onbruikbaar is dat de gemeenschap stopt met kopen bij hen en dan plotseling naar iemand anders gaat en dan, weet je, in herhaling loopt. Dus we zijn bezig met het vermoorden van criminele bedrijven die aanvoelen als, dat is wat het team doet.

Peter: Dus, wat is de levenscyclus voor zoiets als MatchKey, kijk je ernaar alsof dit een jaar, twee jaar gaat duren en wat vind je ervan?

Kevin: Ja. Het coole aan de manier waarop we de technologie hebben gebouwd, is dat deze is ontworpen om dynamisch te zijn. Het is dus een platform, het is niet zomaar een enkele uitdaging, dus je kunt veel dingen doen met dat uitdagingsformaat, dus het formaat is ontworpen om behoorlijk lang mee te gaan en puzzels waar we nog niet eens aan hebben gedacht, passen in dat bestaande formaat . Dat is echt de grote innovatie met hoe we uitdagingen bouwen bij Arkose, het is zo dynamisch en zonder zelfs maar technische resultaten nodig te hebben, kunnen we het volledig veranderen, de kwestie van het verhogen van het type context, alles en dat stelt ons in staat, weet je, we hebben 3D-artiesten en dat soort dingen die verdedigingswerken bouwen. 

Het is heel vreemd, het is heel raar dat we een ontwerpbedrijf zijn dat zich bezighoudt met beveiliging, maar het stelt ons echt in staat vrij snel te innoveren door nieuwe verdedigingswerken te bouwen en dat soort dingen en we kennen de grenzen van die technologie nog niet eens omdat we innoveren gebaseerd op wat de aanvallers doen en we leren als de aanvallers achter ons aan komen, en dat is echt een beetje het spel dat we spelen. Het is heel moeilijk om na te denken over wat we vervolgens moeten bouwen totdat we zien wat aanvallers proberen te doen, dus dat is echt een belangrijk onderdeel hiervan. 

Je zou niet in dit landschap kunnen komen en proberen een volledig groene oplossing te bouwen zonder enige expertise, omdat het niet erg goed zou werken, alsof dat een beetje het fascinerende is aan de ruimte waarin we ons bevinden, zoals de expertise die we hebben opgebouwd in wat we hebben geleerd, is wat ons in staat stelt beter te bouwen, te denken en te innoveren dan alle anderen die sommige dingen proberen te doen.

Peter: Rechts. Dus als je een beetje naar de toekomst kijkt, weet je, je zei dat je op deze Discord-forums zit en wat heb je, ze delen allemaal informatie, zoals hoe bereid je je voor op de aanvallen die gaan gebeuren in 2024, hoe helpt u uw klanten, weet u, zich voor te bereiden op de volgende golf?

Kevin: Ja. De strategie die we hebben, die consistent is, en echt is hoe we de dingen weer doen, gaat over het verhogen van de kosten en inspanningen van tegenstanders. Dus we bouwen nieuwe technologie waarmee we extra datapunten kunnen krijgen, verschillende signalen, dingen die erg duur zijn voor fraudeurs om te vervalsen, waardoor we die kostenbalk kunnen blijven verhogen, alsof dat een heel belangrijk proces is, dat is eigenlijk alles wat we kan doen. Het enige dat je echt kunt doen, is het uiteindelijk niet de moeite waard maken, als je dat doet, stoppen ze en dat hebben we ook al talloze keren gezien, maar dat is het belangrijkste doel vanuit het oogpunt van een productroadmap. 

Weet je, we hebben deze nieuwe MatchKey-technologie de afgelopen maand gelanceerd, we hebben een nieuw product dat we begin Q1 lanceren rond verschillende soorten reputatiebronnen op basis van gegevens die we bekijken, we hebben vorig jaar een nieuwe phishing-verdediging gelanceerd waarmee we kunnen kijken op sites die zijn opgezet om uw site als proxy te gebruiken, dus omzeil multi-factor en al dit soort dingen. 

Dus we kijken altijd een beetje naar wat de nieuwe technieken zijn die tegenstanders doen, proberen de kosten aan hun kant te verlagen om hun winstmarge te verhogen, hoe we dat omgekeerd kunnen doen, hoe herstellen we dat evenwicht terug in de ten gunste van de fintech of de handelaar of met wie we ook samenwerken om hun service uiteindelijk beter te beschermen? Het andere onderdeel is dat we vrij nauw samenwerken met de klanten, het is niet alleen "hier is technologie, veel geluk ..." We hebben een beheerd serviceteam dat voortdurend dingen aanpast en beoordeelt en afstemt, maar ook inzichten biedt en samenwerkt met de klant in dat. 

Weet je, als je een promo lanceert en het is toevallig zo lucratief dat je het echt niet kunt verdedigen, omdat ze bereid zijn alles te doen wat nodig is om er doorheen te komen, wil je misschien opnieuw... denk na over hoe de promo's zijn gestructureerd en dat soort dingen, dus zelfs wat begeleiding rond, weet je, dat soort dingen waarmee we onze klanten helpen, omdat het niet echt iets is waar mensen aan denken als ze denken aan het laten groeien van een bedrijf. Ze denken niet echt na over wat iemand gaat doen om het te misbruiken en er misbruik van te maken, wat helaas genoeg mensen zijn die precies dat willen doen.

Peter: Juist, juist. Nou, daar moeten we het bij laten, Kevin, echt interessant. Ik bedoel, deze branche waar je tegen vecht waarvan fraudeurs denken dat ze nooit zal verdwijnen, er zullen over 50 jaar slechte acteurs zijn die proberen door het beveiligingssysteem heen te komen, dus het is geweldig werk dat je doet. Nogmaals bedankt voor het komen op de show.

Kevin: Geweldig, bedankt, Peter, dat je me hebt.

Peter: Als je de show leuk vindt, ga je gang en geef het een recensie op het podcast-platform van je keuze en vertel het zeker aan je vrienden en collega's.

Hoe dan ook, op dat punt zal ik me afmelden. Ik stel het zeer op prijs dat je luistert en ik zal je de volgende keer zien. Doei.

(Music)

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://news.fintechnexus.com/podcast-408-kevin-gosschalk-of-arkose-labs/