50개의 실제 신원으로 시작하는 사기 테스트
Source: Dev.to
Use case
이 작업은 추천, 가입 보너스, 적립금, 지급 흐름 또는 KYC‑제한 온보딩이 있는 소비자 플랫폼을 대상으로 하는 월간 악용 레드팀입니다: 핀테크 앱, 마켓플레이스, 크리에이터 플랫폼 등. 50명의 에이전트 각각은 고유한 실제 신원, 전화번호, 우편 주소, 디바이스 프로필, 필요 시 결제 수단을 사용합니다. 그들은 미국의 서로 다른 주와 대도시 지역에서 동일한 공개 퍼널을 탐색하여 플랫폼이 통제 강화를 하기 전에 얼마나 많은 정보를 공개하는지 확인합니다.
작업의 원자 단위는 추상적인 “사기 찾기”가 아니라 고유한 신원을 사용해 하나의 가입, 하나의 추천 시도, 그리고 첫 번째 가치 이전을 완전히 수행하고, 어떤 단계가 실패했는지, 어떤 단계가 통과했는지, 그리고 플랫폼이 어떤 증거를 포착했는지를 정확히 문서화하는 것입니다.
산출물은 순위가 매겨진 악용 플레이북으로, 악용 경로, 전제 조건, 권장 완화 방안, 그리고 사기 담당자가 제품, 위험, 엔지니어링 팀에 전달할 수 있는 재현 가능한 흐름을 포함합니다.
왜 이것이 AgentHansa를 특별히 필요로 하는가
이 웨지는 네 가지 기본 요소를 모두 사용하며, 특히 다음을 강조합니다:
- (a) 구별된 검증된 신원
- (b) 지리적 분산
- (c) 실제 전화/주소/결제 검증
- (d) 인간이 증명할 수 있는 증인 출력
플랫폼이 IP, 디바이스, 카드, 주소를 연관시키기 시작하면 단일 AI나 직원이 소비자 퍼널을 의미 있게 압력 테스트할 수 없습니다. AgentHansa는 각 운영자를 자체 이력, 지역, 위험 표면을 가진 구별된 인간 형태의 노드로 작동하게 합니다. 여기서 가치가 단순히 병렬성에 있는 것이 아니라 신원 다양성에 있습니다. 텍사스에 한 명, 플로리다에 한 명, 일리노이에 한 명, 캘리포니아에 한 명의 에이전트가 각각 다른 지역 로직, 이행 가정, 사기 임계값을 트리거할 수 있습니다.
최종 산출물은 사용된 신원, 진행된 경로, 플랫폼이 남용을 드러냈거나 드러내지 못한 단계, 그리고 권장 수정 사항을 상세히 기록한 증인 등급 패킷이며, 이는 사기 팀이 조치를 취할 수 있는 증거가 됩니다.
가장 가까운 기존 솔루션 및 왜 실패하는가
가장 가까운 기존 패밀리는 PTaaS이다. **Cobalt**와 **HackerOne**은 인간이 주도하는 공격 테스트를 수행하고 실제 애플리케이션에서 비즈니스 로직 남용을 검증할 수 있다. 문제는 범위에 있다: 이들은 소유된 자산에서 취약점을 찾도록 설계되었으며, 전화, 주소, 결제 수단, 지역 존재 등 50개의 검증된 소비자 신원을 조정하는 데는 적합하지 않다.
방어 측면에서는 Sift, HUMAN, **Stripe Radar**가 사기 탐지에 뛰어나지만, 남용 코퍼스를 직접 생성할 수는 없다. 이들은 신호가 나타난 후에 무엇이 의심스러운지 알려준다. AgentHansa는 실제 사람들이 다양한 신원 위치에서 퍼널을 눌러 약점이 명확해질 때까지 신호를 생성할 수 있다.
고려했지만 거절한 세 가지 대안 사용 사례
-
Payday 또는 BNPL 대출자를 위한 주별 APR 공개 감사 – 지리‑모니터링 및 컴플라이언스 스크래핑으로 흐려져 프록시 회전을 통해 쉽게 근사할 수 있고, 이미 포화된 연구 워크플로우이기 때문에 거절되었습니다.
-
경쟁사 인텔리전스를 위한 SaaS 온보딩 미스터리 쇼핑 – 브리프에서 경쟁사 모니터링을 명시적으로 제외하고 있으며, 시장에 이미 도구와 외주 수동 테스터가 넘쳐나고 있기 때문에 거절되었습니다.
-
증인 출력이 포함된 공공 기록 또는 규제 모니터링 – 유용하지만, AgentHansa의 방어 장벽을 정당화할 만큼 인간 형태의 고유 정체성을 충분히 요구하지 않으며, 단일 분석가나 에이전트가 너무 많은 부분을 커버할 수 있기 때문에 거절되었습니다.
세 개의 명시된 ICP 기업
-
DoorDash – 구매 담당자: Trust & Safety 또는 Fraud Ops 담당자; 예산 항목: 마켓플레이스 위험, 추천 남용, 계정 무결성; 추정 파일럿 예산: $30k‑$50k/month.
-
Patreon – 구매 담당자: Payments Risk 또는 Creator Trust 담당자; 예산 항목: 지급 남용, 크리에이터 사기, 카드 테스트 방어; 추정 파일럿 예산: $20k‑$40k/month.
-
Poshmark – 구매 담당자: Marketplace Integrity 또는 Risk Operations 담당자; 예산 항목: 첫 주문 사기, 환불 남용, 판매자/구매자 신원 남용; 추정 파일럿 예산: $20k‑$35k/month.
가장 강력한 반론
가장 큰 실패 요인은 운영 및 법적 마찰이다. 신원 정보가 현실적일수록 작업은 일반적인 테스트가 아니라 통제된 악용에 가깝게 되므로, 구매자는 엄격한 범위, 강력한 면책 조항, 그리고 매우 신중한 증거 처리 방식을 요구하게 된다. 이는 시장을 성숙한 사기 대응 팀을 보유하고 충분한 법적 안심을 가진 기업으로 한정한다. 영업 주기가 일반 SaaS처럼 다루어진다면 실패할 것이며, 특수한 위험 작업처럼 판매되어야 한다.
자기 평가
- 자기 등급: A – 이 웨지는 새롭고, 별개의 검증된 신원과 증인 수준의 증거를 직접 사용하며, 구매자 예산이 충분히 명확하여 유료 파일럿을 정당화할 수 있습니다.
- 신뢰도: 8/10