企業如何規避人為的金融欺詐風險?

系統的安全性取決於其中最不靠譜的環節,在商業網路欺詐中,其實最不靠譜的環節就是——你周圍的同事。

網路欺詐犯們最簡單的攻擊方式就是讓別人主動把目標送上門來,比如使用詭計讓受害者公開用戶名和密碼。該技術被稱為社會工程學,這種威脅目前呈現上升趨勢:在2018年,97%的個人銀行帳號和39%的組織銀行帳號偷竊利用的是社會工程學技術。要想保護企業和消費者不受金融詐騙的威脅,商業領袖們應該學習了解社會工程學以及防範措施。

一、利用技術檢測

目前沒有技術能百分百保證檢測出社會工程學,你可以使用技術在惡意程式安裝時檢測異常行為或者防止感染,但是人類並不是機器人,人類的行為千奇百怪難以預測。

攻擊者會蒐集目標人物的訊息,很多人在社交網路上公開各種個人訊息,比如護照照片、駕照或者機票,這些會讓欺詐變得更加簡單。在使用類似於淘寶的交易網站時,買家有時會收到賣家的電話號碼或者電子信箱,電話號碼可以幫助攻擊者得知用戶在哪些銀行擁有帳戶。一旦他們獲取到目標人物的訊息,網路騙子們會用盡一切技術來偽裝自己。

二、社會工程學和新的技術

虛假的欺詐警告
最近,一個常見的欺詐騙局是偽裝成銀行工作人員電話聯繫用戶並聲稱幫助他們降低銀行手續費,或者——更加諷刺——警告客戶他們的帳戶存在欺詐跡象。犯罪分子利用自動互動式語音應答技術(IVR),要求客戶拼寫用戶名和密碼,然後引誘客戶在手機上安裝一個允許不法分子遠程訪問該設備的應用程式。

欺詐者可以通過遠程訪問手機來轉移資金、竊取並販賣個人數據和申請貸款。正如我們的2019年度反欺詐報告中所詳述的,卡巴斯基反欺詐平台每月監控到超過3000個在主流銀行網路上使用這類遠程工具的會話。我們利用行為分析和行為生物識別技術監測這些可疑活動,迅速向銀行、電子商務和類似服務平台發出警告。
利用對機器語音的信任
騙子們成功地洞察到了人們心理上傾向於信任錄音消息和機器語音的特點,這對他們來說十分重要。他們運用互動式語音應答技術(IVR)試圖獲取客戶的雙重驗證數據,用事先錄製好的語音訊息要求受害者輸入短信或推送通知中收到的代碼。由於雙重認證具有時效性,客戶一旦輸入代碼,騙子便可以立即將資金轉入其自己的帳戶。
偽裝的陌生號碼
銀行客戶已經習慣和銀行的合約方在電話裡討論和金融有關的話題。來電者可能聲稱自己是金融機構僱員、商戶收單或者催收人員。欺詐者知道人們對於陌生號碼會產生懷疑,但是他們可以利用技術將部分電話號碼替換為銀行電話號碼中的數字或者顯示為那些容易記住的特殊號碼。

三、兩種常見的商業欺詐場景

儘管這類欺詐方式很常見,它們常常遵循可預見的規律。以下兩種情況常出現在針對企業員工的社會工程學攻擊中。

場景1:救助者

罪犯可能會冒充安全專家並實施“救援”,他們以此身份打電話給銀行客戶,通知他們帳號存在可疑的轉帳或者支付活動,並提供幫助。

首先,他們以確認客戶、阻攔可疑交易或將資金轉入安全帳戶為藉口要求客戶通過短信或推送中發送的代碼來證實他們的身份。

如果目標受害者表現出缺乏信任,欺詐者可能會嘗試使用互動式語音應答技術或遠程設備連接來獲取雙重驗證訊息。

場景2:投資者

投資者情景中的欺詐者冒充投資公司僱員或者銀行投資顧問打電話給客戶,聲稱無需去銀行櫃檯即可投資加密貨幣或公司股權。

投資者使用與“救援者”場景中類似的工具向目標客戶索要短信或推送通知中收到的代碼,並聲稱這是提供服務的必須步驟。騙子們將“投資者”場景運用在那些因為對資產增長感興趣的數據被洩漏受害者身上。

企業應該怎麼做規避風險

社會工程是常見的,人類是易變的。但有效的組織可以讓詐騙者更難得逞。
利用意識培訓來提高員工對社會工程學的認識。這不僅有利於他們的工作,也有利於他們的個人和家庭生活。
當你的企業或安全專家進行滲透測試時,確保社會工程學是測試的一部分。
建立防止內部欺詐的系統。分析員工的行為,識別任何試圖損害業務的人,以及那些被社會工程鎖定的人。你還應該在你的數字服務渠道中使用欺詐檢測解決方案。
員工總是容易受到通過社交工程進行的網路欺詐。網路詐騙者會不斷使用最新的技術來操縱人們,攻擊也會變得更加複雜。了解社交工程的運作方式,並掌握網路欺詐者的最新動態,是保護您的業務的有力方法。

資料來源: https://mp.weixin.qq.com/s/q4qU-65-zt1e70QbP2TCRA

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: