Visa Account Attack Intelligence (VAAI) Score pozwala określić prawdopodobieństwo ataków polegających na automatyzowanym „zgadywaniu” przez oszustów numerów kart płatniczych.
Przestępcy wykorzystują zaawansowane technologie, takie jak automatyczne skrypty i botnety (sieci połączonych ze sobą i zainfekowanych złośliwym oprogramowaniem komputerów), aby zwiększyć częstotliwość ataków enumeracyjnych (czyli zautomatyzowanego testowania poprawności ciągów znaków w celu uzyskania nieautoryzowanego dostępu do informacji) na karty. Dzięki temu mogą działać jeszcze szybciej i stwarzać sobie możliwość wykorzystania luk w zabezpieczeniach na niespotykaną dotąd skalę. Ataki enumeracyjne generują koszty operacyjne i globalne roczne straty związane z oszustwami na poziomie nawet 1,1 mld dolarów, co stanowi znaczną część oszustw w skali globalnej[1].
Właśnie dlatego, Visa, jeden ze światowych liderów płatności cyfrowych, ogłosiła rozbudowanie narzędzia Visa Account Attack Intelligence (VAAI) o nowy wskaźnik VAAI Score. To narzędzie wykorzystuje generatywną sztuczną inteligencję do identyfikowania ataków enumeracyjnych i oceny stwarzanego przez nie zagrożenia. Wskaźnik VAAI Score, z którego w pierwszej kolejności skorzystają wydawcy kart w USA, a w kwietniu 2025 roku wydawcy kart i agenci rozliczeniowi w Europie, pomoże ograniczyć skalę oszustw i związanych z nimi strat. Każdej transakcji nadawana jest w czasie rzeczywistym ocena ryzyka, dzięki czemu możliwe jest wykrywanie transakcji powiązanych z atakami enumeracyjnymi i zapobieganie im w środowisku CNP (bez fizycznej obecności karty).
– Oszustwa oparte na enumeracji mogą mieć długofalowe skutki dla naszych klientów. Pilnie potrzebne są więc narzędzia, które pomogą lepiej wykrywać w czasie rzeczywistym tego rodzaju ataki i zapobiegać im – powiedział Paul Fabara, Chief Risk and Client Services Officer w Visa. – Dzięki VAAI Score nasi klienci mają teraz dostęp do informacji o ocenie ryzyka w czasie rzeczywistym, co może pomóc im wykrywać ataki tego typu. To oznacza, że wydawcy kart są w stanie bardziej świadomie podejmować decyzje o zablokowaniu danej transakcji.
33% kont kart płatniczych, z których informacje o płatnościach zostały wykradzione przy pomocy enumeracji, padło ofiarą oszustwa w ciągu pięciu dni od chwili zdobycia tych danych przez hakerów[2]. W oparciu o generatywną sztuczną inteligencję, Visa analizuje transakcje i za pomocą wskaźnika VAAI Score określa w czasie rzeczywistym prawdopodobieństwo skomplikowanych ataków enumeracyjnych. W ten sposób pomaga walczyć z oszustwami, zachowując jednocześnie wydajność i precyzję swoich systemów. Narzędzie pozwoliło zmniejszyć odsetek wyników fałszywie oznaczonych jako pozytywne o 85% w porównaniu z innymi modelami ryzyka. Jest to możliwe, ponieważ VAAI Score powstaje w oparciu o określone oznaki enumeracji, co pozwala zwiększyć skuteczność działania[3].
Zalety stosowania wskaźnika VAAI Score dla wydawców kart:
- Mniejsza liczba oszustw i mniejsze straty operacyjne: Narzędzie pomaga identyfikować skomplikowane ataki enumeracyjne w czasie rzeczywistym, co zapewnia posiadaczom kart lepszą ochronę. Pomaga także ograniczyć liczbę oszustw i związane z nimi straty operacyjne, wynikające np. z rozmów telefonicznych w centrach obsługi klienta czy konieczności ponownego wydawania kart.
- Wyższa jakość usług dla posiadaczy kart: Pomaga zidentyfikować klientów dokonujących autoryzowanych transakcji, przy jednoczesnym proaktywnym odrzucaniu płatności testujących wybrane kombinacje numerów karty.
- Ocena transakcji w czasie rzeczywistym: Przedstawia ocenę ryzyka w czasie rzeczywistym w jedynie 20 milisekund[4], co umożliwia partnerom biznesowym Visa wykrywanie przypadków enumeracji i wykorzystanie tej wiedzy w procesie podejmowania decyzji autoryzacyjnych w ramach mechanizmu opartego na regułach.
– Mając dostęp do zaawansowanej technologii, oszuści są w stanie, jeszcze szybciej niż kiedykolwiek, monetyzować wykradzione dane uwierzytelniające – powiedział Michael Jabbara, SVP Global Head of Fraud Services w Visa. – Transakcje wynikające z enumeracji odciskają swoje piętno na całym ekosystemie płatniczym. Dzięki wskaźnikowi VAAI Score oddajemy w ręce naszych klientów zaawansowane narzędzie, które może pomóc chronić konta posiadaczy kart i zapobiegać nieautoryzowanym płatnościom.
Model wskaźnika VAAI Score został wytrenowany na ponad 15 mld transakcji w VisaNet i jest sześciokrotnie bardziej rozbudowany niż poprzednie modele VAAI, co pomaga lepiej oceniać podejrzane transakcje enumeracyjne. Visa wykorzystuje posiadane dane do tworzenia bardzo dokładnego modelu AI działającego w czasie rzeczywistym. Analizując każdą transakcję typu CNP (bez fizycznej obecności karty) pod kątem wzorców enumeracyjnych, nowy model oceny ryzyka generuje jego dwucyfrowy wskaźnik, który pomaga przewidywać prawdopodobieństwo enumeracji. Pozwala to lepiej określać, kiedy zatwierdzać, a kiedy odrzucać transakcje.
Bezpieczeństwo i niezawodność niezmiennie pozostają priorytetami dla Visa. W ciągu ostatnich pięciu lat firma zainwestowała ponad 10 mld dolarów w technologię, dzięki której, między innymi, ogranicza oszustwa i zwiększa bezpieczeństwo sieci. Ponad tysiąc specjalistów chroni sieć Visa przed złośliwym oprogramowaniem, atakami zero-day i zagrożeniami wewnętrznymi – 24 godziny na dobę, 7 dni w tygodniu i 365 dni w roku. Tylko w 2023 roku Visa pomogła proaktywnie zablokować nieautoryzowane płatności na łączną kwotę ponad 40 mld dolarów[5], dzięki czemu wiele osób nigdy nie dowiedziało się, że mogło paść ofiarą oszustów. Visa zachęca konsumentów, aby przez wzgląd na własne bezpieczeństwo, zachowali czujność i zwracali uwagę, gdzie robią zakupy i komu przekazują swoje dane płatnicze.
[1] Dane dotyczące oszustw enumeracyjnych z VAAI (1 października 2022 r. do 30 września 2023 r.).
[2] Dane dotyczące oszustw enumeracyjnych z VAAI (1 października 2022 r. do 30 września 2023 r.).
[3] Dokumentacja z 2024 r. dot. modelu Visa Account Attack Intelligence Score przeznaczonego do oceny ryzyka ataków na konta Visa w USA.
[4] Dzięki zastosowaniu modeli sztucznej inteligencji VAAI jest w stanie dokonać oceny aż 182 atrybutów ryzyka w ciągu milisekundy, ustalając wartość dwucyfrowego wskaźnika ryzyka szacującego prawdopodobieństwo wystąpienia ataku enumeracyjnego.
[5] Dane Visa (1 października 2022 r. do 30 września 2023 r.).
Źródło: Visa
Wojciech Boczoń
