Tra aprile e dicembre 2000 UTC, PayPal, Inc. ha registrato un catastrofico aumento dei ricaricazioni fraudolente, passando da un'inizio di $200,000 a oltre $11 milioni al mese. Questa emorragia finanziaria prevedeva un'insolvenza immediata entro cinque mesi. L'analisi di intelligence ha identificato un sofisticato avversario distribuito a livello globale, stimato a 12.000 persone, che si coordinava tramite canali IRC da diverse località geografiche tra cui San Pietroburgo e Lagos. Gli attaccanti hanno sfruttato vulnerabilità nella creazione di account e nel trattamento delle transazioni, utilizzando principalmente i dati di carte di credito rubate acquisiti sul dark web, funicolare articoli eBay di alto valore attraverso indirizzi drop basati negli Stati Uniti per la distribuzione oltremare.

In risposta, il CTO di PayPal Max Levchin ha avviato lo sviluppo e la distribuzione di due sistemi di difesa critici. "Igor", un motore di classificazione comportamentale, è stato implementato nel novembre 2000. Distingueva le interazioni umane degli utenti da attività di bot scriptati basate su metriche come la latenza dei clic, il movimento del cursore e gli intervalli di pressione. Allo stesso tempo, Levchin e David Gausebeck hanno sviluppato il test Gausebeck-Levchin, denominato in codice "GIGOT", un sistema di verifica visiva lanciato nel gennaio 2001.

La distribuzione combinata di Igor e GIGOT ha portato a una drammatica e immediata riduzione dell'attività fraudolenta. Entro 72 ore dall'attivazione di Igor, i tassi di ricarica nei segmenti segnalati sono diminuiti del 61%. L'implementazione di GIGOT ha portato a un crollo del 94% dei tassi di creazione di nuovi account, riducendo gli iscrizioni orarie da diverse migliaia a meno di 240, principalmente da utenti umani verificati. Questo pioneiro stack di apprendimento automatico antifrode ha ripristinato la solvibilità dell'azienda entro la primavera del 2001 e la redditività entro l'autunno del 2001.

RICOMANDAMENTO: La continua allocazione di risorse per la ricerca e lo sviluppo di avversari è di primaria importanza.Il successo storico di Igor e GIGOT dimostra la necessità critica di soluzioni tecniche proattive e interne contro le minacce informatiche in evoluzione, piuttosto che affidarsi a interventi esterni governativi o basati su consorzi.Le future strategie di difesa devono dare priorità all'analisi comportamentale in tempo reale e ai meccanismi di risposta alle sfide continuamente adattivi per mantenere un vantaggio persistente rispetto alle sofisticate attori dell'automazione e delle minacce.