金融安全 | 三招揭穿常見欺詐手段！

在黑客針對金融行業(yè)的N宗罪中，帳戶接管（ATO）攻擊的殺傷力愈發(fā)強勁。濫用技術的金融“欺詐師”，往往結合社會工程、網(wǎng)絡釣魚和暴力破解等攻擊形式，竊取憑據(jù)并獲取私人帳戶訪問權限。

回顧2022年，銀行轉賬或支付欺詐造成的損失高達15.9億美元。據(jù)估計，有三分之一的金融機構和金融科技公司遭遇的登錄嘗試，也都屬于ATO欺詐嘗試。一旦打通未經(jīng)授權的訪問路徑，黑客便如入無人之境，進行向欺詐性銀行帳戶發(fā)起電匯等犯罪活動。

對于金融機構來說，遭遇ATO的破壞性后果表現(xiàn)為客戶信任度受損、受到法律處罰、業(yè)務流中斷等。若不能及時彌補Web應用程序和API漏洞，網(wǎng)絡犯罪分子便可能使用如下策略攻擊金融機構，訪問財務數(shù)據(jù)、注入惡意代碼或竊取敏感信息。

ATO攻擊形式

·惡意機器人攻擊

網(wǎng)絡犯罪分子可以發(fā)起惡意機器人攻擊來執(zhí)行一系列任務，包括竊取數(shù)據(jù)、執(zhí)行DDoS攻擊或實施欺詐。DDoS攻擊可能會導致金融系統(tǒng)，不堪流量重負而崩潰。

·惡意軟件攻擊

勒索軟件便是一種典型的惡意軟件攻擊，黑客會對企業(yè)關鍵數(shù)據(jù)進行加密，向受害者勒索贖金。此類網(wǎng)絡犯罪的頻率和嚴重性一直處于增加趨勢。

·網(wǎng)絡釣魚攻擊

通常，網(wǎng)絡釣魚攻擊可被視為勒索軟件的傳遞機制。網(wǎng)絡犯罪分子冒充合法金融機構，誘騙個人泄露敏感信息或點擊安裝惡意軟件的鏈接。

當下，主攻金融行業(yè)的欺詐手段靈活且多樣，制定了嚴密的帳戶接管擊殺鏈。因此，企業(yè)加強防御策略以應對黑客日益復雜攻擊的水平至關重要。Akamai建議企業(yè)使用以下三種技巧，及時洞見ATO欺詐行為，盡早中斷帳戶接管擊殺鏈。

ATO應對技巧

1、辨別機器人/真實人類行為

多數(shù)情況下，黑客會用機器人進行暴力破解或執(zhí)行自動化撞庫。占據(jù)攻防主動權，企業(yè)安全團隊更需在帳戶訪問中具備識別機器/人類行為的能力，構建風險防范措施。

2、跟蹤欺詐行為，確定攻擊模式

企業(yè)運營方可以通知員工和客戶報告任何可疑的電子郵件、短信等資訊。盡管煞有介事的通信內(nèi)容，很有可能是網(wǎng)絡釣魚行為，但也要注意已竊取敏感信息的黑客，還能輕松實施身份盜竊，以客戶實名創(chuàng)建帳戶，偽裝潛伏數(shù)月之久，侵蝕更多金融資產(chǎn)。

3、投資多重要素驗證（MFA）保護

過往，銀行業(yè)預防欺詐的策略主要是使用復雜密碼。但近年來，專門針對金融機構的Kr3pto等網(wǎng)絡釣魚工具包，能夠繞過雙因素身份驗證（2FA）。當下，使用MFA和基于公鑰加密技術的FIDO2開放標準，可提供比密碼更安全的身份驗證。

多變的金融安全環(huán)境中，企業(yè)與其著眼于如何處理每一次危機，不如聯(lián)合內(nèi)外部資源，投資部署全方位的安全體系，超越金融欺詐師的現(xiàn)有技術。同時，企業(yè)的安全團隊也需要強化培訓客戶和員工識別可疑行為跡象，聯(lián)動全員齊心協(xié)力阻截ATO入侵。

抵御ATO攻擊，維護客戶信任度。Akamai Bot Manager和Akamai Account Protector等解決方案，可充分融合Akamai Neosec精細化的API可見性能力，實現(xiàn)自定義的異常檢測和保護模式，保護金融機構和客戶免受黑客、機器人和欺詐的侵害。