“合成身份”欺詐成為增長最快的金融犯罪形式，惡意機器人攻擊讓在線平臺防不勝防，企業(yè)如何應(yīng)對？

伴隨著各行各業(yè)數(shù)字化的深入，如何防范網(wǎng)絡(luò)欺詐也已經(jīng)是老生常談。雖然風(fēng)控和安全技術(shù)逐年精進，但每年全球依舊有大量企業(yè)因網(wǎng)絡(luò)欺詐遭遇了重大損失。

造成這樣的原因主要在于：第一，雖然安全技術(shù)在升級，但欺詐分子的欺詐手段和技術(shù)也在不斷變化，且出現(xiàn)了大量利用惡意機器人的自動化網(wǎng)絡(luò)攻擊。第二，網(wǎng)絡(luò)欺詐呈現(xiàn)全球化攻擊、階梯式進展的特點，欺詐分子會敏感地發(fā)覺監(jiān)管不完善的地區(qū)、網(wǎng)絡(luò)安全意識薄弱的行業(yè)，找尋其中風(fēng)控薄弱的企業(yè)進行攻擊，從而不當(dāng)?shù)美?/p>

可見，防范網(wǎng)絡(luò)欺詐，是一個需要企業(yè)賦予持續(xù)關(guān)注的安全議題，并且需要有意識地不斷迭代風(fēng)控技術(shù)和安全手段。

2023年以來，全球企業(yè)最常遭遇的網(wǎng)絡(luò)欺詐手段包括：

網(wǎng)絡(luò)勒索：是一種使用惡意軟件破壞、加密或禁止用戶訪問相關(guān)設(shè)備、封鎖相關(guān)數(shù)據(jù)的攻擊手段，欺詐分子在發(fā)起破壞性的攻擊后，會要求受害企業(yè)或個人支付贖金以解鎖數(shù)據(jù)或恢復(fù)訪問權(quán)限。

網(wǎng)絡(luò)勒索攻擊的危害性非常高。它可以導(dǎo)致個人用戶、企業(yè)和組織的數(shù)據(jù)丟失或被盜取，對業(yè)務(wù)運營和日常工作造成重大影響。如果受害企業(yè)拒絕支付贖金，數(shù)據(jù)可能會永久丟失，對受害者造成不可挽回的損失。此外，網(wǎng)絡(luò)勒索還可能導(dǎo)致數(shù)據(jù)泄露，給個人隱私和商業(yè)機密帶來風(fēng)險。

網(wǎng)絡(luò)勒索通常偏好攻擊運營時間較久、資歷較深的行業(yè)企業(yè)，近2年來，歐美地區(qū)的一些老牌企業(yè)頻繁遭遇此類攻擊。

深度偽造/偽造或合成身份：是一種利用人工智能技術(shù)（比如近期火熱的生成式人工智能技術(shù)）制作虛假視頻、音頻或圖像，再利用這些偽造的視頻、音頻或圖像進行欺詐的攻擊手段。

這種網(wǎng)絡(luò)欺詐方式結(jié)合了深度學(xué)習(xí)和圖像處理技術(shù)，可以以驚人的準(zhǔn)確度合成、替換或修改現(xiàn)有的圖像、音頻或視頻內(nèi)容，使其看起來像是真實的，但實際上是偽造的。

利用深度偽造，欺詐分子偏好利用此技術(shù)制造偽造他人身份，直接進行行騙或利用偽造身份蒙混金融機構(gòu)的身份驗證機制竊取他人賬戶資產(chǎn)，或制造大量虛假身份攻擊在線平臺（比如“薅羊毛”“發(fā)表不當(dāng)評論”等）。

這也導(dǎo)致了利用“合成身份”犯罪在2023年以來迅速增長——麥肯錫研究所稱，合成身份欺詐已成為增長最快的金融犯罪形式之一。

根據(jù)公開信息，美國聯(lián)邦貿(mào)易委員會統(tǒng)計目前通過合成身份進行的欺詐已占到所有身份欺詐案件的85%，而傳統(tǒng)的欺詐方式身份盜竊僅占到所有身份欺詐案件的10%~15%；

而據(jù)某身份驗證服務(wù)商發(fā)布的報告數(shù)據(jù)，美國是遭遇合成身份欺詐高發(fā)的地區(qū)，預(yù)計到2024年基于合成身份造成的欺詐損失將高達(dá)24.8億美元。

賬戶接管：是一種通過技術(shù)手段控制他人的金融或商業(yè)賬戶，從而進行欺詐、資金盜取或濫用賬戶權(quán)限的攻擊行為。根據(jù)HUMAN發(fā)布的2023年企業(yè)欺詐報告，2023年賬戶接管攻擊的發(fā)生率相比2022年增加了108%。

賬戶接管可能通過多種攻擊手段進行，比如社會工程釣魚、暴力破解密碼、盜取密碼、撞庫使用密碼、植入惡意軟件等。

網(wǎng)絡(luò)釣魚：是一種通過假扮成可信的實體（比如銀行、企業(yè)官方、電子郵件提供商、社交媒體平臺等），通過發(fā)送虛假的電子郵件、短信、社交媒體消息或創(chuàng)建偽造的網(wǎng)站來引誘用戶提供個人敏感信息（如用戶名、密碼、信用卡號碼、身份證件號碼等）的攻擊方式。

網(wǎng)絡(luò)釣魚是出現(xiàn)歷史最悠久的網(wǎng)絡(luò)欺詐手段，也是造成損失、受害人數(shù)最多的網(wǎng)絡(luò)欺詐手段。如今的欺詐分子常把網(wǎng)絡(luò)釣魚的攻擊手法作為開展深度欺詐攻擊的“引子”，且常會通過社會工程途徑去放“魚餌”。因此，企業(yè)對于網(wǎng)絡(luò)釣魚類型的網(wǎng)絡(luò)攻擊，始終要加以防范，不能因小失大，疏忽放任。

數(shù)據(jù)污染：是一種向數(shù)據(jù)庫、網(wǎng)絡(luò)平臺或應(yīng)用程序的數(shù)據(jù)源惡意操作或注入虛假、錯誤或有害數(shù)據(jù)的行為。

欺詐分子可能通過篡改或操縱數(shù)據(jù)來損害系統(tǒng)的完整性、可靠性或可用性。這種攻擊手段可能導(dǎo)致錯誤的決策、不準(zhǔn)確的分析結(jié)果或系統(tǒng)故障，極易對企業(yè)口碑、業(yè)務(wù)運營和用戶信任造成嚴(yán)重影響。

網(wǎng)絡(luò)欺詐發(fā)展趨勢

Trend Analysis

能夠制造更嚴(yán)重的損失：伴隨用戶的增長和整體網(wǎng)絡(luò)環(huán)境的變化，很多金融機構(gòu)、商業(yè)企業(yè)都在集成或使用更復(fù)雜的模型，除了常見網(wǎng)絡(luò)欺詐的攻擊手段，金融機構(gòu)、大型商業(yè)企業(yè)特別需要關(guān)注由誤用模型輸出、不正確使用模型輸出或報告決策等模型風(fēng)險而引發(fā)的網(wǎng)絡(luò)欺詐，因為一旦發(fā)生這種欺詐，將會損失慘重。

欺詐手法難以辨別且多樣化：人工智能技術(shù)日益“商品化”，如ChatGPT等人工智能工具的廣泛應(yīng)用為欺詐分子創(chuàng)造了更多的行動機會，令欺詐更多樣化且難以辨別。

自動化欺詐顯著增多：HUMAN發(fā)布的2023年企業(yè)欺詐報告中顯示，通過惡意機器人進行的自動化網(wǎng)絡(luò)欺詐和攻擊正在顯著增多，表現(xiàn)出來的攻擊趨勢包括：

節(jié)假日或特定事件（如演唱會）發(fā)生前后的自動化攻擊顯著增加。

已有26%的惡意請求是來自移動端設(shè)備。

惡意機器人流量占據(jù)了在線流量的57%，且增長迅速。

企業(yè)如何應(yīng)對網(wǎng)絡(luò)欺詐

如前文所述，防范網(wǎng)絡(luò)欺詐，是一個需要企業(yè)賦予持續(xù)關(guān)注的安全議題，并且需要有意識地不斷迭代風(fēng)控技術(shù)和安全手段。

伴隨經(jīng)濟的發(fā)展和行業(yè)數(shù)字化程度的加深，東南亞、非洲、拉丁美洲等新興國家市場遭遇網(wǎng)絡(luò)欺詐的風(fēng)險在未來3年內(nèi)也將持續(xù)走高。比如，據(jù)越南信息通信部信息安全司統(tǒng)計，2023年前6個月，越南網(wǎng)絡(luò)詐騙同比增長64.78%。

上述地區(qū)不少大型銀行和頭部企業(yè)已經(jīng)在積極改進風(fēng)控和身份驗證機制，以更好應(yīng)對變化多端的網(wǎng)絡(luò)欺詐，以更好保護用戶權(quán)益，比如：

防范賬戶接管、盜用：部署多因素數(shù)字身份驗證，可以提供額外的安全層。除了用戶名和密碼，多因素數(shù)字身份驗證要求用戶提供其他身份驗證因素，比如人臉、指紋等生物識別信息、硬件令牌等。

防范深度偽造“合成身份”：部署“活體檢測”身份驗證解決工具，可以識別部分通過AI工具生成的人臉圖像或視頻，從而進行防范。

防范惡意機器人賬戶“薅羊毛”：組合部署“常用電話號碼檢測”“社交賬號檢測”“郵箱賬號檢測”等風(fēng)控工具，可以檢測目標(biāo)賬戶的電話號碼是否是活躍號碼、有哪些網(wǎng)絡(luò)使用習(xí)慣，并以此判斷該用戶賬戶的真實和常用屬性，對利用虛擬電話號碼或自動化工具生成的虛擬賬號注冊的賬戶提出預(yù)警。

防范數(shù)據(jù)污染：在關(guān)鍵數(shù)據(jù)使用崗位設(shè)置訪問控制和權(quán)限管理，并根據(jù)員工的職責(zé)和需求進行合理的權(quán)限劃分，只授權(quán)必要的人員訪問敏感數(shù)據(jù)。此外，在一些容易成為數(shù)據(jù)污染入口的工作流程端，比如賬戶注冊、登錄環(huán)節(jié)，對外合作時要選擇與可靠、合規(guī)、有技術(shù)認(rèn)證的第三方技術(shù)服務(wù)商進行合作。