“合成身份”欺詐成為增長(zhǎng)最快的金融犯罪形式，惡意機(jī)器人攻擊讓在線平臺(tái)防不勝防，企業(yè)如何應(yīng)對(duì)？

伴隨著各行各業(yè)數(shù)字化的深入，如何防范網(wǎng)絡(luò)欺詐也已經(jīng)是老生常談。雖然風(fēng)控和安全技術(shù)逐年精進(jìn)，但每年全球依舊有大量企業(yè)因網(wǎng)絡(luò)欺詐遭遇了重大損失。

造成這樣的原因主要在于：第一，雖然安全技術(shù)在升級(jí)，但欺詐分子的欺詐手段和技術(shù)也在不斷變化，且出現(xiàn)了大量利用惡意機(jī)器人的自動(dòng)化網(wǎng)絡(luò)攻擊。第二，網(wǎng)絡(luò)欺詐呈現(xiàn)全球化攻擊、階梯式進(jìn)展的特點(diǎn)，欺詐分子會(huì)敏感地發(fā)覺(jué)監(jiān)管不完善的地區(qū)、網(wǎng)絡(luò)安全意識(shí)薄弱的行業(yè)，找尋其中風(fēng)控薄弱的企業(yè)進(jìn)行攻擊，從而不當(dāng)?shù)美?/p>

可見(jiàn)，防范網(wǎng)絡(luò)欺詐，是一個(gè)需要企業(yè)賦予持續(xù)關(guān)注的安全議題，并且需要有意識(shí)地不斷迭代風(fēng)控技術(shù)和安全手段。

2023年以來(lái)，全球企業(yè)最常遭遇的網(wǎng)絡(luò)欺詐手段包括：

網(wǎng)絡(luò)勒索：是一種使用惡意軟件破壞、加密或禁止用戶訪問(wèn)相關(guān)設(shè)備、封鎖相關(guān)數(shù)據(jù)的攻擊手段，欺詐分子在發(fā)起破壞性的攻擊后，會(huì)要求受害企業(yè)或個(gè)人支付贖金以解鎖數(shù)據(jù)或恢復(fù)訪問(wèn)權(quán)限。

網(wǎng)絡(luò)勒索攻擊的危害性非常高。它可以導(dǎo)致個(gè)人用戶、企業(yè)和組織的數(shù)據(jù)丟失或被盜取，對(duì)業(yè)務(wù)運(yùn)營(yíng)和日常工作造成重大影響。如果受害企業(yè)拒絕支付贖金，數(shù)據(jù)可能會(huì)永久丟失，對(duì)受害者造成不可挽回的損失。此外，網(wǎng)絡(luò)勒索還可能導(dǎo)致數(shù)據(jù)泄露，給個(gè)人隱私和商業(yè)機(jī)密帶來(lái)風(fēng)險(xiǎn)。

網(wǎng)絡(luò)勒索通常偏好攻擊運(yùn)營(yíng)時(shí)間較久、資歷較深的行業(yè)企業(yè)，近2年來(lái)，歐美地區(qū)的一些老牌企業(yè)頻繁遭遇此類攻擊。

深度偽造/偽造或合成身份：是一種利用人工智能技術(shù)（比如近期火熱的生成式人工智能技術(shù)）制作虛假視頻、音頻或圖像，再利用這些偽造的視頻、音頻或圖像進(jìn)行欺詐的攻擊手段。

這種網(wǎng)絡(luò)欺詐方式結(jié)合了深度學(xué)習(xí)和圖像處理技術(shù)，可以以驚人的準(zhǔn)確度合成、替換或修改現(xiàn)有的圖像、音頻或視頻內(nèi)容，使其看起來(lái)像是真實(shí)的，但實(shí)際上是偽造的。

利用深度偽造，欺詐分子偏好利用此技術(shù)制造偽造他人身份，直接進(jìn)行行騙或利用偽造身份蒙混金融機(jī)構(gòu)的身份驗(yàn)證機(jī)制竊取他人賬戶資產(chǎn)，或制造大量虛假身份攻擊在線平臺(tái)（比如“薅羊毛”“發(fā)表不當(dāng)評(píng)論”等）。

這也導(dǎo)致了利用“合成身份”犯罪在2023年以來(lái)迅速增長(zhǎng)——麥肯錫研究所稱，合成身份欺詐已成為增長(zhǎng)最快的金融犯罪形式之一。

根據(jù)公開(kāi)信息，美國(guó)聯(lián)邦貿(mào)易委員會(huì)統(tǒng)計(jì)目前通過(guò)合成身份進(jìn)行的欺詐已占到所有身份欺詐案件的85%，而傳統(tǒng)的欺詐方式身份盜竊僅占到所有身份欺詐案件的10%~15%；

而據(jù)某身份驗(yàn)證服務(wù)商發(fā)布的報(bào)告數(shù)據(jù)，美國(guó)是遭遇合成身份欺詐高發(fā)的地區(qū)，預(yù)計(jì)到2024年基于合成身份造成的欺詐損失將高達(dá)24.8億美元。

賬戶接管：是一種通過(guò)技術(shù)手段控制他人的金融或商業(yè)賬戶，從而進(jìn)行欺詐、資金盜取或?yàn)E用賬戶權(quán)限的攻擊行為。根據(jù)HUMAN發(fā)布的2023年企業(yè)欺詐報(bào)告，2023年賬戶接管攻擊的發(fā)生率相比2022年增加了108%。

賬戶接管可能通過(guò)多種攻擊手段進(jìn)行，比如社會(huì)工程釣魚(yú)、暴力破解密碼、盜取密碼、撞庫(kù)使用密碼、植入惡意軟件等。

網(wǎng)絡(luò)釣魚(yú)：是一種通過(guò)假扮成可信的實(shí)體（比如銀行、企業(yè)官方、電子郵件提供商、社交媒體平臺(tái)等），通過(guò)發(fā)送虛假的電子郵件、短信、社交媒體消息或創(chuàng)建偽造的網(wǎng)站來(lái)引誘用戶提供個(gè)人敏感信息（如用戶名、密碼、信用卡號(hào)碼、身份證件號(hào)碼等）的攻擊方式。

網(wǎng)絡(luò)釣魚(yú)是出現(xiàn)歷史最悠久的網(wǎng)絡(luò)欺詐手段，也是造成損失、受害人數(shù)最多的網(wǎng)絡(luò)欺詐手段。如今的欺詐分子常把網(wǎng)絡(luò)釣魚(yú)的攻擊手法作為開(kāi)展深度欺詐攻擊的“引子”，且常會(huì)通過(guò)社會(huì)工程途徑去放“魚(yú)餌”。因此，企業(yè)對(duì)于網(wǎng)絡(luò)釣魚(yú)類型的網(wǎng)絡(luò)攻擊，始終要加以防范，不能因小失大，疏忽放任。

數(shù)據(jù)污染：是一種向數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)平臺(tái)或應(yīng)用程序的數(shù)據(jù)源惡意操作或注入虛假、錯(cuò)誤或有害數(shù)據(jù)的行為。

欺詐分子可能通過(guò)篡改或操縱數(shù)據(jù)來(lái)?yè)p害系統(tǒng)的完整性、可靠性或可用性。這種攻擊手段可能導(dǎo)致錯(cuò)誤的決策、不準(zhǔn)確的分析結(jié)果或系統(tǒng)故障，極易對(duì)企業(yè)口碑、業(yè)務(wù)運(yùn)營(yíng)和用戶信任造成嚴(yán)重影響。

網(wǎng)絡(luò)欺詐發(fā)展趨勢(shì)

Trend Analysis

能夠制造更嚴(yán)重的損失：伴隨用戶的增長(zhǎng)和整體網(wǎng)絡(luò)環(huán)境的變化，很多金融機(jī)構(gòu)、商業(yè)企業(yè)都在集成或使用更復(fù)雜的模型，除了常見(jiàn)網(wǎng)絡(luò)欺詐的攻擊手段，金融機(jī)構(gòu)、大型商業(yè)企業(yè)特別需要關(guān)注由誤用模型輸出、不正確使用模型輸出或報(bào)告決策等模型風(fēng)險(xiǎn)而引發(fā)的網(wǎng)絡(luò)欺詐，因?yàn)橐坏┌l(fā)生這種欺詐，將會(huì)損失慘重。

欺詐手法難以辨別且多樣化：人工智能技術(shù)日益“商品化”，如ChatGPT等人工智能工具的廣泛應(yīng)用為欺詐分子創(chuàng)造了更多的行動(dòng)機(jī)會(huì)，令欺詐更多樣化且難以辨別。

自動(dòng)化欺詐顯著增多：HUMAN發(fā)布的2023年企業(yè)欺詐報(bào)告中顯示，通過(guò)惡意機(jī)器人進(jìn)行的自動(dòng)化網(wǎng)絡(luò)欺詐和攻擊正在顯著增多，表現(xiàn)出來(lái)的攻擊趨勢(shì)包括：

節(jié)假日或特定事件（如演唱會(huì)）發(fā)生前后的自動(dòng)化攻擊顯著增加。

已有26%的惡意請(qǐng)求是來(lái)自移動(dòng)端設(shè)備。

惡意機(jī)器人流量占據(jù)了在線流量的57%，且增長(zhǎng)迅速。

企業(yè)如何應(yīng)對(duì)網(wǎng)絡(luò)欺詐

如前文所述，防范網(wǎng)絡(luò)欺詐，是一個(gè)需要企業(yè)賦予持續(xù)關(guān)注的安全議題，并且需要有意識(shí)地不斷迭代風(fēng)控技術(shù)和安全手段。

伴隨經(jīng)濟(jì)的發(fā)展和行業(yè)數(shù)字化程度的加深，東南亞、非洲、拉丁美洲等新興國(guó)家市場(chǎng)遭遇網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)在未來(lái)3年內(nèi)也將持續(xù)走高。比如，據(jù)越南信息通信部信息安全司統(tǒng)計(jì)，2023年前6個(gè)月，越南網(wǎng)絡(luò)詐騙同比增長(zhǎng)64.78%。

上述地區(qū)不少大型銀行和頭部企業(yè)已經(jīng)在積極改進(jìn)風(fēng)控和身份驗(yàn)證機(jī)制，以更好應(yīng)對(duì)變化多端的網(wǎng)絡(luò)欺詐，以更好保護(hù)用戶權(quán)益，比如：

防范賬戶接管、盜用：部署多因素?cái)?shù)字身份驗(yàn)證，可以提供額外的安全層。除了用戶名和密碼，多因素?cái)?shù)字身份驗(yàn)證要求用戶提供其他身份驗(yàn)證因素，比如人臉、指紋等生物識(shí)別信息、硬件令牌等。

防范深度偽造“合成身份”：部署“活體檢測(cè)”身份驗(yàn)證解決工具，可以識(shí)別部分通過(guò)AI工具生成的人臉圖像或視頻，從而進(jìn)行防范。

防范惡意機(jī)器人賬戶“薅羊毛”：組合部署“常用電話號(hào)碼檢測(cè)”“社交賬號(hào)檢測(cè)”“郵箱賬號(hào)檢測(cè)”等風(fēng)控工具，可以檢測(cè)目標(biāo)賬戶的電話號(hào)碼是否是活躍號(hào)碼、有哪些網(wǎng)絡(luò)使用習(xí)慣，并以此判斷該用戶賬戶的真實(shí)和常用屬性，對(duì)利用虛擬電話號(hào)碼或自動(dòng)化工具生成的虛擬賬號(hào)注冊(cè)的賬戶提出預(yù)警。

防范數(shù)據(jù)污染：在關(guān)鍵數(shù)據(jù)使用崗位設(shè)置訪問(wèn)控制和權(quán)限管理，并根據(jù)員工的職責(zé)和需求進(jìn)行合理的權(quán)限劃分，只授權(quán)必要的人員訪問(wèn)敏感數(shù)據(jù)。此外，在一些容易成為數(shù)據(jù)污染入口的工作流程端，比如賬戶注冊(cè)、登錄環(huán)節(jié)，對(duì)外合作時(shí)要選擇與可靠、合規(guī)、有技術(shù)認(rèn)證的第三方技術(shù)服務(wù)商進(jìn)行合作。