Informations sur le rachat de comptes - Amazon Fraud Detector

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Informations sur le rachat de comptes

Le type de modèle Account Takeover Insights (ATI) identifie les activités frauduleuses en ligne en détectant si les comptes ont été compromis par des prises de contrôle malveillantes, par hameçonnage ou par le vol d'informations d'identification. Account Takeover Insights est un modèle d'apprentissage automatique qui utilise les événements de connexion de votre entreprise en ligne pour entraîner le modèle.

Vous pouvez intégrer un modèle Account Takeover Insights expérimenté dans votre flux de connexion en temps réel afin de détecter si un compte est compromis. Le modèle évalue différents types d'authentification et de connexion. Ils incluent les connexions aux applications Web, les authentifications basées sur les API et single-sign-on (SSO). Pour utiliser le modèle Account Takeover Insights, appelez l'GetEventPredictionAPI après avoir présenté des informations de connexion valides. L'API génère un score qui quantifie le risque de compromission du compte. Amazon Fraud Detector utilise le score et les règles que vous avez définis pour renvoyer un ou plusieurs résultats pour les événements de connexion. Les résultats sont ceux que vous avez configurés. En fonction des résultats que vous recevez, vous pouvez prendre les mesures appropriées pour chaque connexion. En d'autres termes, vous pouvez approuver ou contester les informations d'identification présentées pour la connexion. Par exemple, vous pouvez contester les informations d'identification en demandant un code PIN de compte à titre de vérification supplémentaire.

Vous pouvez également utiliser le modèle Account Takeover Insights pour évaluer les connexions aux comptes de manière asynchrone et prendre des mesures sur les comptes à haut risque. Par exemple, un compte à haut risque peut être ajouté à la file d'attente d'investigation pour qu'un réviseur humain puisse déterminer si d'autres mesures doivent être prises, telles que la suspension du compte.

Le modèle Account Takeover Insights est formé à l'aide d'un ensemble de données contenant l'historique des événements de connexion de votre entreprise. Vous fournissez ces données. Vous pouvez éventuellement étiqueter les comptes comme légitimes ou frauduleux. Cependant, cela n'est pas nécessaire pour entraîner le modèle. Le modèle Account Takeover Insights détecte les anomalies sur la base de l'historique des connexions réussies à un compte. Il apprend également à détecter les anomalies dans le comportement d'un utilisateur qui suggèrent un risque accru de prise de contrôle de compte par un acte malveillant. Par exemple, un utilisateur qui se connecte généralement à partir du même ensemble d'appareils et d'adresses IP. Un fraudeur se connecte généralement à partir d'un autre appareil et d'une autre géolocalisation. Cette technique produit un score de risque indiquant qu'une activité est anormale, ce qui est généralement l'une des principales caractéristiques des prises de contrôle de comptes par des personnes malveillantes.

Avant de former un modèle Account Takeover Insights, Amazon Fraud Detector utilise une combinaison de techniques d'apprentissage automatique pour enrichir, agréger et transformer les données. Ensuite, pendant le processus de formation, Amazon Fraud Detector enrichit les éléments de données brutes que vous fournissez. Les exemples d'éléments de données brutes incluent l'adresse IP et l'agent utilisateur. Amazon Fraud Detector utilise ces éléments pour créer des entrées supplémentaires décrivant les données de connexion. Ces entrées incluent l'appareil, le navigateur et les entrées de géolocalisation. Amazon Fraud Detector utilise également les données de connexion que vous fournissez pour calculer en continu des variables agrégées décrivant le comportement passé des utilisateurs. Parmi les exemples de comportement des utilisateurs, citons le nombre de fois où l'utilisateur s'est connecté à partir d'une adresse IP spécifique. Grâce à ces enrichissements et agrégats supplémentaires, Amazon Fraud Detector peut générer de solides performances de modèle à partir d'un petit nombre d'entrées issues de vos événements de connexion.

Le modèle Account Takeover Insights détecte les cas où un mauvais acteur accède à un compte légitime, qu'il s'agisse d'un humain ou d'un robot. Le modèle produit un score unique qui indique le risque relatif de compromission du compte. Les comptes susceptibles d'avoir été compromis sont signalés comme des comptes à haut risque. Vous pouvez traiter les comptes à haut risque de deux manières. Vous pouvez soit imposer une vérification d'identité supplémentaire. Vous pouvez également envoyer le compte dans une file d'attente pour un examen manuel.

Sélection de la source de données

Les modèles Account Takeover Insights sont formés sur un ensemble de données stocké en interne, dans Amazon Fraud Detector. Pour stocker les données de vos événements de connexion avec Amazon Fraud Detector, créez un fichier CSV contenant les événements de connexion des utilisateurs. Pour chaque événement, incluez des données de connexion telles que l'horodatage de l'événement, l'ID utilisateur, l'adresse IP, l'agent utilisateur et indiquez si les données de connexion sont valides. Après avoir créé le fichier CSV, téléchargez-le d'abord sur Amazon Fraud Detector, puis utilisez la fonction d'importation pour stocker les données. Vous pouvez ensuite entraîner votre modèle à l'aide des données enregistrées. Pour plus d'informations sur le stockage de votre ensemble de données d'événements avec Amazon Fraud Detector, consultez Stockez les données de vos événements en interne avec Amazon Fraud Detector

Préparation des données

Amazon Fraud Detector exige que vous fournissiez les données de connexion de votre compte utilisateur dans un fichier de valeurs séparées par des virgules (CSV) codé au format UTF-8. La première ligne de votre fichier CSV doit contenir un en-tête de fichier. L'en-tête du fichier comprend des métadonnées d'événement et des variables d'événement qui décrivent chaque élément de données. Les données de l'événement suivent l'en-tête. Chaque ligne des données d'événement comprend les données d'un seul événement de connexion.

Pour le modèle Accounts Takeover Insights, vous devez fournir les métadonnées et variables d'événement suivantes dans la ligne d'en-tête de votre fichier CSV.

Métadonnées de l'événement

Nous vous recommandons de fournir les métadonnées suivantes dans l'en-tête de votre fichier CSV. Les métadonnées de l'événement doivent être en majuscules.

  • EVENT_ID - Identifiant unique pour l'événement de connexion.

  • ENTITY_TYPE - Entité qui exécute l'événement de connexion, telle qu'un commerçant ou un client.

  • ENTITY_ID - Identifiant de l'entité effectuant l'événement de connexion.

  • EVENT_TIMESTAMP - L'horodatage auquel l'événement de connexion s'est produit. L'horodatage doit être conforme à la norme ISO 8601 en UTC.

  • EVENT_LABEL (recommandé) : étiquette qui classe l'événement comme frauduleux ou légitime. Vous pouvez utiliser n'importe quelle étiquette, telle que « fraude », « légitime », « 1 » ou « 0 ».

Note
  • Les métadonnées des événements doivent être en majuscules. Cela fait la distinction majuscules et minuscules.

  • Les étiquettes ne sont pas obligatoires pour les événements de connexion. Cependant, nous vous recommandons d'inclure les métadonnées EVENT_LABEL et de fournir des étiquettes pour vos événements de connexion. Ce n'est pas grave si les étiquettes sont incomplètes ou sporadiques. Si vous fournissez des étiquettes, Amazon Fraud Detector les utilisera pour calculer automatiquement le taux de découverte d'un compte et l'affichera dans le graphique et le tableau des performances du modèle.

Variables d'événement

Pour le modèle Accounts Takeover Insights, vous devez fournir des variables obligatoires (obligatoires) et des variables facultatives. Lorsque vous créez vos variables, assurez-vous de les affecter au bon type de variable. Dans le cadre du processus de formation du modèle, Amazon Fraud Detector utilise le type de variable associé à la variable pour effectuer l'enrichissement des variables et l'ingénierie des fonctionnalités.

Note

Les noms des variables d'événement doivent être en minuscules. Ils font la distinction majuscules et minuscules.

Variables obligatoires

Les variables suivantes sont requises pour former un modèle Accounts Takeover Insights.

Catégorie Type de variable Description

Adresse IP

IP_ADDRESS

Adresse IP utilisée lors de l'événement de connexion

Navigateur et appareil

AGENT UTILISATEUR

Le navigateur, l'appareil et le système d'exploitation utilisés lors de l'événement de connexion

Informations d'identification valides

VALIDCRED

Indique si les informations d'identification utilisées pour la connexion sont valides

Variables facultatives

Les variables suivantes sont facultatives pour la formation d'un modèle Accounts Takeover Insights.

Catégorie Type Description

Navigateur et appareil

EMPREINTE DIGITALE

L'identifiant unique pour l'empreinte digitale d'un navigateur ou d'un appareil

Identifiant de session

SESSION_ID

Identifiant d'une session d'authentification

Étiquette

ÉTIQUETTE D'ÉVÉNEMENT

Une étiquette qui classe l'événement comme frauduleux ou légitime. Vous pouvez utiliser n'importe quelle étiquette, telle que « fraude », « légitime », « 1 » ou « 0 ».

Horodatage

LABEL_TIMESTAMP

Horodatage de la dernière mise à jour de l'étiquette. Cela est obligatoire si EVENT_LABEL est fourni.

Note
  • Vous pouvez fournir n'importe quel nom de variable pour les deux variables obligatoires (variables facultatives). Il est important que chaque variable obligatoire et facultative soit affectée au type de variable approprié.

  • Vous pouvez fournir des variables supplémentaires. Cependant, Amazon Fraud Detector n'inclura pas ces variables pour la formation d'un modèle Accounts Takeover Insights.

Sélection de données

La collecte de données est une étape importante de la création de votre modèle Account Takeover Insights. Lorsque vous commencez à collecter vos données de connexion, tenez compte des exigences et recommandations suivantes :

Obligatoire

  • Fournissez au moins 1 500 exemples de comptes utilisateur, chacun étant associé à au moins deux événements de connexion.

  • Votre jeu de données doit couvrir au moins 30 jours d'événements de connexion. Vous pouvez ultérieurement spécifier la plage de temps spécifique des événements à utiliser pour entraîner le modèle.

Recommandée

  • Votre jeu de données inclut des exemples d'événements de connexion infructueux. Vous pouvez éventuellement étiqueter ces connexions infructueuses comme « frauduleuses » ou « légitimes ».

  • Préparez des données historiques avec des événements de connexion s'étalant sur plus de six mois et incluant 100 000 entités.

Si vous ne disposez pas d'un ensemble de données répondant déjà aux exigences minimales, envisagez de diffuser les données d'événements vers Amazon Fraud Detector en appelant l'opération SendEventAPI.

Validation des données

Avant de créer votre modèle Account Takeover Insights, Amazon Fraud Detector vérifie si les métadonnées et les variables que vous avez incluses dans votre ensemble de données pour entraîner le modèle répondent aux exigences de taille et de format. Pour plus d'informations, consultez Validation des données. Il vérifie également les autres exigences. Si le jeu de données ne passe pas la validation, le modèle n'est pas créé. Pour que le modèle soit correctement créé, assurez-vous de corriger les données qui n'ont pas été validées avant de vous entraîner à nouveau.

Erreurs courantes dans les ensembles de données

Lors de la validation d'un ensemble de données pour la formation d'un modèle Account Takeover Insights, Amazon Fraud Detector analyse ces problèmes et d'autres et génère une erreur s'il rencontre un ou plusieurs de ces problèmes.

  • Le fichier CSV n'est pas au format UTF-8.

  • L'en-tête du fichier CSV ne contient pas au moins l'une des métadonnées suivantes : EVENT_IDENTITY_ID, ouEVENT_TIMESTAMP.

  • L'en-tête du fichier CSV ne contient pas au moins une variable des types de variables suivants : IP_ADDRESSUSERAGENT, ouVALIDCRED.

  • Plusieurs variables sont associées au même type de variable.

  • Plus de 0,1 % des valeurs EVENT_TIMESTAMP contiennent des valeurs nulles ou autres que les formats de date et d'horodatage pris en charge.

  • Le nombre de jours entre le premier et le dernier événement est inférieur à 30 jours.

  • Plus de 10 % des IP_ADDRESS variables de ce type ne sont pas valides ou sont nulles.

  • Plus de 50 % des variables de ce USERAGENT type contiennent des valeurs nulles.

  • Toutes les variables du type de VALIDCRED variable sont définies surfalse.