伴隨著各行各業(yè)數字化的深入,如何防范網絡欺詐也已經是老生常談。雖然風控和安全技術逐年精進,但每年全球依舊有大量企業(yè)因網絡欺詐遭遇了重大損失。
造成這樣的原因主要在于:第一,雖然安全技術在升級,但欺詐分子的欺詐手段和技術也在不斷變化,且出現了大量利用惡意機器人的自動化網絡攻擊。第二,網絡欺詐呈現全球化攻擊、階梯式進展的特點,欺詐分子會敏感地發(fā)覺監(jiān)管不完善的地區(qū)、網絡安全意識薄弱的行業(yè),找尋其中風控薄弱的企業(yè)進行攻擊,從而不當得利。
可見,防范網絡欺詐,是一個需要企業(yè)賦予持續(xù)關注的安全議題,并且需要有意識地不斷迭代風控技術和安全手段。
2023年以來,全球企業(yè)最常遭遇的網絡欺詐手段包括:
網絡勒索:是一種使用惡意軟件破壞、加密或禁止用戶訪問相關設備、封鎖相關數據的攻擊手段,欺詐分子在發(fā)起破壞性的攻擊后,會要求受害企業(yè)或個人支付贖金以解鎖數據或恢復訪問權限。
網絡勒索攻擊的危害性非常高。它可以導致個人用戶、企業(yè)和組織的數據丟失或被盜取,對業(yè)務運營和日常工作造成重大影響。如果受害企業(yè)拒絕支付贖金,數據可能會永久丟失,對受害者造成不可挽回的損失。此外,網絡勒索還可能導致數據泄露,給個人隱私和商業(yè)機密帶來風險。
網絡勒索通常偏好攻擊運營時間較久、資歷較深的行業(yè)企業(yè),近2年來,歐美地區(qū)的一些老牌企業(yè)頻繁遭遇此類攻擊。
深度偽造/偽造或合成身份:是一種利用人工智能技術(比如近期火熱的生成式人工智能技術)制作虛假視頻、音頻或圖像,再利用這些偽造的視頻、音頻或圖像進行欺詐的攻擊手段。
這種網絡欺詐方式結合了深度學習和圖像處理技術,可以以驚人的準確度合成、替換或修改現有的圖像、音頻或視頻內容,使其看起來像是真實的,但實際上是偽造的。
利用深度偽造,欺詐分子偏好利用此技術制造偽造他人身份,直接進行行騙或利用偽造身份蒙混金融機構的身份驗證機制竊取他人賬戶資產,或制造大量虛假身份攻擊在線平臺(比如“薅羊毛”“發(fā)表不當評論”等)。
這也導致了利用“合成身份”犯罪在2023年以來迅速增長——麥肯錫研究所稱,合成身份欺詐已成為增長最快的金融犯罪形式之一。
根據公開信息,美國聯邦貿易委員會統(tǒng)計目前通過合成身份進行的欺詐已占到所有身份欺詐案件的85%,而傳統(tǒng)的欺詐方式身份盜竊僅占到所有身份欺詐案件的10%~15%;
而據某身份驗證服務商發(fā)布的報告數據,美國是遭遇合成身份欺詐高發(fā)的地區(qū),預計到2024年基于合成身份造成的欺詐損失將高達24.8億美元。
賬戶接管:是一種通過技術手段控制他人的金融或商業(yè)賬戶,從而進行欺詐、資金盜取或濫用賬戶權限的攻擊行為。根據HUMAN發(fā)布的2023年企業(yè)欺詐報告,2023年賬戶接管攻擊的發(fā)生率相比2022年增加了108%。
賬戶接管可能通過多種攻擊手段進行,比如社會工程釣魚、暴力破解密碼、盜取密碼、撞庫使用密碼、植入惡意軟件等。
網絡釣魚:是一種通過假扮成可信的實體(比如銀行、企業(yè)官方、電子郵件提供商、社交媒體平臺等),通過發(fā)送虛假的電子郵件、短信、社交媒體消息或創(chuàng)建偽造的網站來引誘用戶提供個人敏感信息(如用戶名、密碼、信用卡號碼、身份證件號碼等)的攻擊方式。
網絡釣魚是出現歷史最悠久的網絡欺詐手段,也是造成損失、受害人數最多的網絡欺詐手段。如今的欺詐分子常把網絡釣魚的攻擊手法作為開展深度欺詐攻擊的“引子”,且常會通過社會工程途徑去放“魚餌”。因此,企業(yè)對于網絡釣魚類型的網絡攻擊,始終要加以防范,不能因小失大,疏忽放任。
數據污染:是一種向數據庫、網絡平臺或應用程序的數據源惡意操作或注入虛假、錯誤或有害數據的行為。
欺詐分子可能通過篡改或操縱數據來損害系統(tǒng)的完整性、可靠性或可用性。這種攻擊手段可能導致錯誤的決策、不準確的分析結果或系統(tǒng)故障,極易對企業(yè)口碑、業(yè)務運營和用戶信任造成嚴重影響。
網絡欺詐發(fā)展趨勢
Trend Analysis
能夠制造更嚴重的損失:伴隨用戶的增長和整體網絡環(huán)境的變化,很多金融機構、商業(yè)企業(yè)都在集成或使用更復雜的模型,除了常見網絡欺詐的攻擊手段,金融機構、大型商業(yè)企業(yè)特別需要關注由誤用模型輸出、不正確使用模型輸出或報告決策等模型風險而引發(fā)的網絡欺詐,因為一旦發(fā)生這種欺詐,將會損失慘重。
欺詐手法難以辨別且多樣化:人工智能技術日益“商品化”,如ChatGPT等人工智能工具的廣泛應用為欺詐分子創(chuàng)造了更多的行動機會,令欺詐更多樣化且難以辨別。
自動化欺詐顯著增多:HUMAN發(fā)布的2023年企業(yè)欺詐報告中顯示,通過惡意機器人進行的自動化網絡欺詐和攻擊正在顯著增多,表現出來的攻擊趨勢包括:
節(jié)假日或特定事件(如演唱會)發(fā)生前后的自動化攻擊顯著增加。
已有26%的惡意請求是來自移動端設備。
惡意機器人流量占據了在線流量的57%,且增長迅速。
企業(yè)如何應對網絡欺詐
如前文所述,防范網絡欺詐,是一個需要企業(yè)賦予持續(xù)關注的安全議題,并且需要有意識地不斷迭代風控技術和安全手段。
伴隨經濟的發(fā)展和行業(yè)數字化程度的加深,東南亞、非洲、拉丁美洲等新興國家市場遭遇網絡欺詐的風險在未來3年內也將持續(xù)走高。比如,據越南信息通信部信息安全司統(tǒng)計,2023年前6個月,越南網絡詐騙同比增長64.78%。
上述地區(qū)不少大型銀行和頭部企業(yè)已經在積極改進風控和身份驗證機制,以更好應對變化多端的網絡欺詐,以更好保護用戶權益,比如:
防范賬戶接管、盜用:部署多因素數字身份驗證,可以提供額外的安全層。除了用戶名和密碼,多因素數字身份驗證要求用戶提供其他身份驗證因素,比如人臉、指紋等生物識別信息、硬件令牌等。
防范深度偽造“合成身份”:部署“活體檢測”身份驗證解決工具,可以識別部分通過AI工具生成的人臉圖像或視頻,從而進行防范。
防范惡意機器人賬戶“薅羊毛”:組合部署“常用電話號碼檢測”“社交賬號檢測”“郵箱賬號檢測”等風控工具,可以檢測目標賬戶的電話號碼是否是活躍號碼、有哪些網絡使用習慣,并以此判斷該用戶賬戶的真實和常用屬性,對利用虛擬電話號碼或自動化工具生成的虛擬賬號注冊的賬戶提出預警。
防范數據污染:在關鍵數據使用崗位設置訪問控制和權限管理,并根據員工的職責和需求進行合理的權限劃分,只授權必要的人員訪問敏感數據。此外,在一些容易成為數據污染入口的工作流程端,比如賬戶注冊、登錄環(huán)節(jié),對外合作時要選擇與可靠、合規(guī)、有技術認證的第三方技術服務商進行合作。