Nach Angaben von IPQS beginnen viele Betrugsprogramme mit Druck durch Rückbuchungen und konzentrieren sich zunächst auf die Überwachung der Transaktionsleistung auf der Checkout-Seite. Das reiche jedoch nur begrenzt. Betrüger verlagerten ihre Methoden rasch: Aus Zahlungsbetrug würden Kontoübernahmen, aus Einzahlungen Überweisungen, und Kontoübernahmen könnten sich weiter in Identitätsdiebstahl, synthetischen Identitätsbetrug oder Mule Accounts verlagern. Diese Wechsel fänden in Sekunden statt.

Auf Transaktionsebene werden einzelne Nutzerinteraktionen isoliert überwacht und entschieden. Laut IPQS ist das bei einzelnen Vorfällen wirksam, kann aber die Zahl falscher Positiv- und Negativmeldungen erhöhen. Im geschilderten Fall erfolgt der Einstieg über den Kundendienst, der historisch oft unterversorgt sei und stark auf wissensbasierte Verifikationen setze. Der Angreifer sei mit Auskunftei-Informationen ausgestattet und darauf vorbereitet, diese Prüfungen zu bestehen. Anschließend setzt er Zugangsdaten zurück und bestellt eine zusätzliche Karte für einen neuen berechtigten Nutzer.

Erst auf Kontoebene wird das Muster deutlicher. IPQS nennt dafür Geräteintelligenz, Ausgabeverhalten, Geolokalisierung, verhaltensbasierte Biometrie und Interaktionen mit zusätzlichen Verifikationsschritten. Der Nutzen dieser Ebene zeige sich vor allem im Vergleich mit dem bisherigen Kontoverhalten. Betrüger könnten vertrauenswürdiges Verhalten nicht vollständig nachbilden und zugleich ihr Ziel erreichen. Sie versuchten unter anderem, Zahlungsinformationen zu ändern, automatische Verifikationen zu umgehen, Prüfungen erst nach einer verdächtigen Zahl von Versuchen zu bestehen oder neue Adressen und Regionen mit dem Konto zu verknüpfen.

Im Bankbeispiel nennt IPQS mehrere verdächtige Signale auf Kontoebene: Anrufe beim Kundendienst von einer neuen Telefonnummer, geänderte Kontaktdaten, die kurze Zeitspanne bis zur Bestellung einer zweiten Karte, die Beziehung zwischen dem berechtigten Nutzer und dem Kontoinhaber, die Abfolge von Überweisungen und Abhebungen sowie das verwendete Gerät. Jede dieser Interaktionen lasse sich überwachen und mit Verifikationen verknüpfen.

Die Plattformebene betrachtet Gruppen von Konten innerhalb einer Plattform. Wer sowohl vertrauenswürdige als auch bestätigte betrügerische Konten verfolge, könne laut IPQS Reibung für legitime Interaktionen senken, die Kundenzufriedenheit erhöhen und die Quote falscher Positivmeldungen verringern. Zudem ließen sich Betrugsringe und Angriffe mit vielen Konten anhand von Geolokalisierung, Geräteintelligenz und IP-Auflösung schneller erkennen.

Im beschriebenen Szenario sei es unwahrscheinlich, dass diese Abfolge erstmals auftrete. Durch automatisierte Auswertung könnten weitere Fälle identifiziert und Regionen, IP-Adressen, Geräte und Verhaltensweisen herausgefiltert werden, die über ein einzelnes Konto hinausgehen. IPQS betont, dass der gesamte Ablauf nur wenige Stunden dauern könne und Betrüger typischerweise nicht nur ein Konto gleichzeitig angreifen. Als Indikatoren nennt der Anbieter unter anderem die Versandadresse für die zusätzliche Karte, Device Fingerprinting, Geolokalisierung des Nutzers und der Abhebungen, Beträge sowie die finanzierenden Institute.

Die vierte Ebene ist aus Sicht von IPQS das Netzwerk: Partnerschaften mit Anbietern, die Daten anreichern und Entscheidungen auf Grundlage von Erkenntnissen aus ihrem gesamten Netzwerk ermöglichen. Bis zu diesem Punkt arbeiteten viele Teams faktisch isoliert. Ein Lösungsanbieter könne dagegen die Erfahrungen anderer Teilnehmer einbringen. IPQS fasst das mit dem Satz zusammen: „Was für Sie zum ersten Mal auftaucht, haben wir nicht unbedingt zum ersten Mal gesehen.“ Im Beispiel sollen sich so bekannte verdächtige Datenpunkte wie die Telefonnummer beim Kundendienst, das verwendete Gerät, die Versandadresse für die zusätzliche Karte oder der Name des berechtigten Nutzers automatisiert in Entscheidungen einbeziehen lassen.