银行必须重新考虑如何保护SMB客户：弗兰克·莫雷诺（Frank Moreno）

传统上，银行专注于为企业客户或个人提供服务，期望中小型企业（SMB）适合并找到最适合其需求的产品。但是，针对较小企业的欺诈行为的迅速增长需要适合SMB客户的解决方案，SMB客户仍然是许多银行的增长引擎 – 以及整个经济。

美国小型企业管理局（SBA）报告说，美国有3320万个小企业占全国所有企业的99.9％。这些企业代表了美国经济的骨干，据麦肯锡说，在过去五年中，信用卡，存款和商户付款的年收入增长了5％。

但是，只有35％的企业觉得他们的主要金融机构正在满足其数字银行需求。

转移对失落的65％的感知必须从旨在确保他们的钱安全而不浪费时间并造成不必要的员工沮丧的身份验证开始。

不是个人，而不是企业

小型企业面临的巨大挑战是让他们的银行了解他们既不是个人也不是企业客户，而是在需要独特的保护财务方式之间的某个地方。

大多数现代的身份验证策略都是专为从事零售银行业务任务的个人而设计的，例如登录，检查其帐户余额和转让，但对于小型企业来说却很短。这是因为解决方案通常依赖SMS一次性PIN代码（OTP）和用户名和Password组合。他们要求员工对每项交易进行身份验证，这是对资源的巨大浪费。身份验证凭证通常也仅与企业主居住，要求应付账款员工协调时间以进行付款，从而导致双方感到沮丧。

商业选项并不多，通常建议使用硬件令牌和其他复杂工具，这些工具也会压倒小型忙碌的员工补充。

取而代之的是，银行需要采用欺诈保护功能，以支持与高端商业客户相同水平的小型企业，而无需繁重的要求。

了解SMB欺诈痛苦

找到解决方案需要深入了解问题。

根据身份盗用资源中心（ITRC）进行的2023年业务影响报告，在过去的一年中，有73％的美国小型企业经历了500名员工或更少的数据泄露，网络攻击或两者。这种重大的跳跃代表了中小型企业的令人担忧的趋势，直到最近，这在很大程度上已经逃脱了不良演员的注意力。

有趣的是，在过去的一年中，这些漏洞的根本原因略有转移。虽然外部攻击者，恶意员工，远程工人和第三方供应商仍然是罪魁祸首，但他们的参与却略有下降。但是，网络钓鱼和其他社会工程骗局的破坏已经激增，与网络犯罪的更广泛趋势保持一致。

但是，尽管较小的企业现在面临着与企业对应者相同的威胁，但这些违规行为的净效应对脆弱的SMB的重量更大。

Entersekt首席营销官Frank Moreno解释说：“较小的企业通常会以更严格的利润运作，这意味着即使是轻微的违规行为也会造成重大现金流动中断。这些损失可能会危及该企业支付供应商，支付工资或投资未来增长的能力。” “不仅如此，欺诈可能会对公司的声誉产生毁灭性的影响，这可能需要数年的时间才能解决。如果发现他们被发现疏忽大意，也可能会进行淘汰的保险调查，甚至可以进行监管处罚。对于企业的企业事件来说，造成企业顾客的令人遗憾的商业事件的数量可能会对SMB造成灾难性的灾难。”

银行努力平衡安全与出色的客户体验

当今最普遍，最危险的金融犯罪形式之一是收购（ATO）。在这种类型的攻击中，欺诈者获得了未经授权的访问商业银行帐户的访问，通常会耗尽资金或使用这些帐户进行非法活动。

Liminal的“ 2024年2024年链接索引预防银行的链接指数”报告表明，银行正在努力跟上网络犯罪分子使用的越来越复杂的技术。

该报告还指出，尽管客户需要提供无摩擦体验，行为信号，无密码身份验证和区域自定义的解决方案，但银行仍在努力交付，提供充满摩擦的身份验证方法，例如使用密码。更重要的是，虽然大多数ATO攻击源自移动应用程序，但只有44％的银行利用移动设备信号进行保护。

超越OTP和代币：预防欺诈的未来

鉴于ATO攻击的越来越复杂，银行必须超越OTP和硬件令牌来保护SMB帐户。

领先的银行越来越多地与身份验证专家合作，为小型企业银行欺诈提供更强大的保护。使用人工智能（AI）和机器学习，银行正在将生物识别认证，行为分析，基于风险的身份验证（RBA）和Passkeys等技术添加到组合中。

生物识别身份验证（可能包括Passkeys）可以安全登录。合并设备信号，它不仅会在登录时检查人员的凭据，还可以检查设备的属性和特性，从而增加了额外的安全层以增强多因素身份验证。它进一步允许上下文感知身份验证，该身份验证根据登录的上下文来调整安全度量。

行为生物识别技术使银行有可能了解客户通常用于交易的设备，与这些设备的交互方式以及其正常的交易行为，以更好地确定哪些交互是合法的，并且应将哪些相互作用标记为可疑并在发生之前停止。

使用AI的基于风险的身份验证可以进一步检测可能表明欺诈，计算交易带来的风险并采取适当行动的异常。

最好的解决方案要求采用多层安全方法，这更有可能检测到可疑活动，例如付款异常大。这包括登录时的主动身份验证并授权交易。它还包括带有无声身份验证的无形安全性，该安全性将设备与人匹配，并确认它是可信赖的，以确定哪些交易是不寻常的，需要干预。

这样，小型企业可以快速而轻松地进行交易，同时保持对网络钓鱼，SIM-S-S-Swap欺诈和其他新形式的网络攻击的抵抗力。

为小型企业银行业客户提供这种身份验证的银行确保客户获得企业级别的安全性，这些安全性可确保他们的资金安全，而没有不必要的摩擦和员工沮丧 – 可以很长一段路以满足65％的客户感到被忽视的客户的需求。