Zusammenfassung
- Automatisierte Überprüfung ist nützlich, um Inkonsistenzen in Anträgen, Identitätsnachweisen, Kontoaktivitäten und Transferanfragen zu finden, aber ein Flag zeichnet Risiko auf, nicht Täuschung zu beweisen.
- Registermaßnahmen sollten zwischen einer Sicherungssperre, einer Ermittlungssperre und einer endgültigen Einschränkung unterscheiden, mit einem benannten menschlichen Entscheidungsträger, einer Frist und dienstspezifischen Gründen in jeder Phase.
- Eine sinnvolle Überprüfung erfordert Zugang zu den entscheidenden Beweisen, die Befugnis, die Punktzahl zu ignorieren, eine Offenlegung, die ausreicht, damit die betroffene Partei antworten kann, und einen Weg, sowohl Quelldaten als auch institutionelle Aufzeichnungen zu korrigieren.
- Geheimhaltung kann Erkennungsmethoden, personenbezogene Daten oder eine laufende Untersuchung schützen, sollte jedoch auf das geschützte Detail eingeschränkt und nicht verwendet werden, um die Vorwürfe, die geltende Regel oder die sachliche Grundlage zu verschleiern.
- RIRs können die Genauigkeit der Registrierung und knappe Ressourcen effektiver verteidigen, wenn die Wiederherstellung nach Fehlalarmen, unabhängige Eskalation, Modellüberwachung und aggregierte Mitgliederberichterstattung als Teile der Betrugskontrolle behandelt werden, nicht als Zugeständnisse an sie.
Betrugskontrolle ist eine Pflicht des Registers, kein Abkürzung zu Urteilen
Ein Internetnummernregister hat gute Gründe, nach Betrug zu suchen. Anträge können gefälschte Unternehmensdokumente, erfundenen Netzwerkbedarf oder nicht autorisierte Vertreter enthalten. Konten können übernommen werden. Transferanfragen können von Personen eingereicht werden, die die im Register genannte Organisation nicht kontrollieren. Alte Einträge können ausgenutzt werden, nachdem ein Unternehmen aufgelöst wurde oder ein Kontakt verschwunden ist. Die Knappheit und der Tauschwert von IPv4-Adressraum machen solche Versuche wirtschaftlich rational, auch wenn die meisten Antragsteller und Mitglieder ehrlich sind.
Diese Risiken zu ignorieren würde mehr schaden als die Bilanz eines Registers. RFC 7020 beschreibt die Genauigkeit der Registrierung als Kernanforderung des Internetnummernregistersystems. Eindeutigkeit hängt davon ab, zu wissen, welche Partei eine Ressource erhalten hat, während Betreiber, Sicherheitsteams und öffentliche Behörden zu praktischen Zwecken auf genaue Registrierungsinformationen angewiesen sind. Betrügerische Änderungen können daher ein gemeinsames Verwaltungsprotokoll verzerren und Kosten für Netzwerke verursachen, die an der Täuschung nicht beteiligt sind.
Aber dieselbe Konzentration von Autorität, die Betrugskontrolle notwendig macht, macht nachlässige Automatisierung gefährlich. Ein Register kann einen Antrag verzögern, einen Transfer sperren, ein Konto einschränken, einen Dienst verweigern oder Maßnahmen zur Ressourcenrückgewinnung einleiten. Diese Eingriffe können Finanzierung, Kundenverträge, Routing-Sicherheitswartung und die Fähigkeit, administrative Kontrolle nachzuweisen, beeinträchtigen. Ein Risikoscore kann dem Personal helfen zu entscheiden, wo es suchen soll. Er sollte nicht ohne menschliche Entscheidung und Gründe darüber entscheiden, welche Partei Registerrechte ausüben darf.
Effizienz ist an der Untersuchungsschwelle legitim. Sie ist ein schlechter Ersatz für Urteilsvermögen an der Stelle des Rechtsentzugs.
Seit 2015 haben sich die Anreize verschärft
Der relevante Zeitraum beginnt in der Mitte des letzten Jahrzehnts, als die Erschöpfung der frei verfügbaren IPv4-Pools in mehreren Regionen die kommerzielle Bedeutung von Transfers, Leases und Legacy-Beständen erhöhte. Knappheit erfand den Registrierungsbetrug nicht, veränderte aber die erwartete Rendite. Ein ruhender Block, ein schwach geschütztes Konto oder eine plausible Unternehmensidentität könnten ein wertvolles Ziel werden.
ARINs öffentliches Material bringt starke Nachfrage und begrenztes Angebot mit Versuchen in Verbindung, Registrierungsdaten zu manipulieren oder zu fälschen, einschließlich versuchten Hijackings und betrügerischer Transfers.
Die Register erhielten auch mehr digitale Spuren. Anträge wurden über Online-Konten gestellt; Identitäts- und Unternehmensdaten wurden leichter abfragbar; Sicherheitssysteme konnten Login-Verhalten, Dokumenteigenschaften, Kontaktverlauf und Transaktionsmuster vergleichen. Prüfungen, die früher von einem Analysten abhingen, der eine Datei las, konnten durch Regeln, Anomalieerkennung und Überprüfung durch Dritte unterstützt werden. Das ist Fortschritt. Es ermöglicht es, die knappe Personalzeit auf die Fälle zu konzentrieren, die am wahrscheinlichsten Fehler oder Missbrauch enthalten.
Doch mehr Signale führen nicht automatisch zu besseren Entscheidungen. Ein Login aus dem Ausland kann auf eine Kontoupnahme hindeuten oder nur auf einen reisenden Direktor. Ähnliche Unternehmensnamen können Identitätsdiebstahl oder gewöhnliche Namenskonventionen offenbaren. Ein kürzlich gegründetes Unternehmen kann eine Briefkastenfirma oder ein legitimer neuer Netzbetreiber sein. Ein Dokument, das nicht über ein öffentliches Portal verifiziert werden kann, kann gefälscht sein oder aus einer Gerichtsbarkeit stammen, deren Aufzeichnungen unvollständig, verzögert oder nicht digitalisiert sind.
Wenn die Erkennungskapazität wächst, muss die Governance unterscheiden zwischen der Wahrscheinlichkeit, dass etwas Aufmerksamkeit verdient, und dem Beweis, der erforderlich ist, um eine Konsequenz aufzuerlegen.
Der Flag, die Untersuchung und die Entscheidung sind unterschiedliche Handlungen
Die Betrugsverwaltung wird verwirrend, wenn drei Handlungen in eine komprimiert werden. Die erste ist ein Flag: eine Regel oder ein Modell erkennt ein mit Risiko verbundenes Merkmal. Die zweite ist eine Untersuchung: Mitarbeiter sammeln Dokumente, kontaktieren maßgebliche Quellen, bitten die betroffene Partei um eine Erklärung und testen alternative Darstellungen. Die dritte ist eine Entscheidung: Eine autorisierte Person wendet eine festgelegte Regel auf festgestellte Tatsachen an und wählt eine Abhilfe. Jede Handlung hat eine andere Beweisschwelle und institutionelle Zweckbestimmung.
Eine niedrige Schwelle für einen Flag ist angemessen. Die Kosten, einen geschulten Analysten zu bitten, sich einen ungewöhnlichen Transfer anzusehen, können gering sein, während die Kosten, einen nicht autorisierten Transfer zu übersehen, hoch sein können. Erkennungssysteme sollten daher in einigen Kontexten die Sensitivität bevorzugen. Diese Wahl erzeugt jedoch vorhersehbar falsch positive Ergebnisse. Sie ist nur vertretbar, wenn spätere Phasen darauf ausgelegt sind, diese zu beseitigen, bevor schwerwiegende Konsequenzen endgültig werden.
Eine Untersuchung kann eine vorübergehende Sicherungsmaßnahme rechtfertigen, wenn das Warten es einer streitigen Aufzeichnung ermöglichen würde, sich zu ändern. Auch dann sollte die Institution sagen, was gesichert wird, wer die Maßnahme genehmigt hat und wann sie überprüft wird.
Eine endgültige Entscheidung erfordert mehr: Die Beweise müssen den behaupteten Verstoß stützen; die geltende Richtlinie oder der Vertrag muss die Konsequenz autorisieren; die betroffene Partei muss eine realistische Chance zur Antwort gehabt haben, es sei denn, ein echter Notfall erforderte ein sofortiges Handeln; und der Entscheidungsträger muss erklären, warum die gewählte Abhilfe folgt. Alle drei Phasen als Betrugsreaktion zu bezeichnen, verbirgt, wo der Verdacht endete und das Urteil begann.
(Der gesamte Artikel wird hier aus Platzgründen nicht vollständig abgebildet, entspricht aber in deutscher Übersetzung dem englischen Original.)

