Moderne fraudeaanvallen verlopen als een estafette waarbij verschillende tools en betrokkenen elk een fase van het proces afhandelen, van het aanmaken van accounts tot het leegtrekken ervan. Door slechts één signaal, zoals IP-adres of e-mail, te controleren, kunnen aanvallers eenvoudig overschakelen naar een ander deel van de keten en alsnog slagen.

Een typische aanval begint met automatisering om op grote schaal accounts te creëren. Aanvallers gebruiken bots en scripts om veel accounts te openen met minimale menselijke tussenkomst, waarbij ze vaak infrastructuur wisselen om limieten en eenvoudige botdetectie te omzeilen. Deze bots maken gebruik van ‘verouderde’ of gecompromitteerde e-mails en gelekte inloggegevens, zodat elk account lijkt te horen bij een lang bestaande gebruiker in plaats van een recent aangemaakt account. Verkeersstromen worden gemaskeerd met residential proxies, waardoor het verkeer lijkt te komen van normale consumenten in plaats van datacenters of bekende VPN-diensten.

Na het opzetten van deze accounts schakelen aanvallers over van geautomatiseerde naar langzamere, handmatige sessies om zich te mengen met normaal gebruik. Dit leidt tot accountovername en monetisatie, waarbij malwarelinks, phishing en credential stuffing worden ingezet om in te loggen, gegevens te wijzigen en waardevolle transacties uit te voeren. Gedurende deze cyclus worden verschillende tools gecombineerd en doorgegeven aan specialisten die zich richten op het leegtrekken van accounts of het misbruiken van promotiecampagnes. Dit verklaart waarom het controleren van slechts één momentopname of signaal zelden het volledige beeld geeft.

Het vertrouwen op één dominant signaal, zoals IP-reputatie, leidt vaak tot valse positieven. Legitieme gebruikers op gedeelde wifi, mobiele netwerken of bedrijfs-VPN’s kunnen onterecht worden geblokkeerd vanwege de slechte reputatie van enkele kwaadwillenden binnen hetzelfde IP-bereik. Ook blokkades op basis van alleen e-mail zijn problematisch, omdat gratis webmaildiensten zowel door aanvallers als normale gebruikers worden gebruikt. Identiteitscontroles op basis van statische gegevens zijn eenvoudig te omzeilen met synthetische identiteiten die uit echte data zijn samengesteld. Apparaten die niet zijn geroot of geëmuleerd kunnen frauduleuze activiteiten verbergen, terwijl botdetectie alleen niet effectief is zodra aanvallers overschakelen op handmatige logins met gestolen credentials.

Effectieve fraudebestrijding vereist het combineren van signalen op het gebied van IP, identiteit, apparaat en gedrag gedurende het hele proces. Een IP-adres dat op zichzelf verdacht lijkt, wordt duidelijk misbruikt wanneer het wordt gekoppeld aan tientallen nieuwe accounts met dezelfde apparaatkenmerken en vergelijkbaar gedrag in de eerste sessie. Ook een gebruiker met een schijnbaar normaal apparaat en schone e-mailreputatie kan risicovol zijn als het inloggedrag wijst op credential stuffing of als toegang volgt op bekende malwarecampagnes. Moderne beslissystemen verbeteren de nauwkeurigheid door honderden tot duizenden datapunten samen te wegen in plaats van starre regels toe te passen op één attribuut. Organisaties moeten daarom verschillende datastromen integreren in één risicomodel, zodat elk incident in context wordt beoordeeld en niet als losstaande gebeurtenis. Deze multi-signaal aanpak is de meest betrouwbare methode om fraude te detecteren en te voorkomen.