金融安全 | 三招揭穿常見欺詐手段！

在黑客針對金融行業(yè)的N宗罪中，帳戶接管（ATO）攻擊的殺傷力愈發(fā)強(qiáng)勁。濫用技術(shù)的金融“欺詐師”，往往結(jié)合社會工程、網(wǎng)絡(luò)釣魚和暴力破解等攻擊形式，竊取憑據(jù)并獲取私人帳戶訪問權(quán)限。

回顧2022年，銀行轉(zhuǎn)賬或支付欺詐造成的損失高達(dá)15.9億美元。據(jù)估計，有三分之一的金融機(jī)構(gòu)和金融科技公司遭遇的登錄嘗試，也都屬于ATO欺詐嘗試。一旦打通未經(jīng)授權(quán)的訪問路徑，黑客便如入無人之境，進(jìn)行向欺詐性銀行帳戶發(fā)起電匯等犯罪活動。

對于金融機(jī)構(gòu)來說，遭遇ATO的破壞性后果表現(xiàn)為客戶信任度受損、受到法律處罰、業(yè)務(wù)流中斷等。若不能及時彌補(bǔ)Web應(yīng)用程序和API漏洞，網(wǎng)絡(luò)犯罪分子便可能使用如下策略攻擊金融機(jī)構(gòu)，訪問財務(wù)數(shù)據(jù)、注入惡意代碼或竊取敏感信息。

ATO攻擊形式

·惡意機(jī)器人攻擊

網(wǎng)絡(luò)犯罪分子可以發(fā)起惡意機(jī)器人攻擊來執(zhí)行一系列任務(wù)，包括竊取數(shù)據(jù)、執(zhí)行DDoS攻擊或?qū)嵤┢墼p。DDoS攻擊可能會導(dǎo)致金融系統(tǒng)，不堪流量重負(fù)而崩潰。

·惡意軟件攻擊

勒索軟件便是一種典型的惡意軟件攻擊，黑客會對企業(yè)關(guān)鍵數(shù)據(jù)進(jìn)行加密，向受害者勒索贖金。此類網(wǎng)絡(luò)犯罪的頻率和嚴(yán)重性一直處于增加趨勢。

·網(wǎng)絡(luò)釣魚攻擊

通常，網(wǎng)絡(luò)釣魚攻擊可被視為勒索軟件的傳遞機(jī)制。網(wǎng)絡(luò)犯罪分子冒充合法金融機(jī)構(gòu)，誘騙個人泄露敏感信息或點(diǎn)擊安裝惡意軟件的鏈接。

當(dāng)下，主攻金融行業(yè)的欺詐手段靈活且多樣，制定了嚴(yán)密的帳戶接管擊殺鏈。因此，企業(yè)加強(qiáng)防御策略以應(yīng)對黑客日益復(fù)雜攻擊的水平至關(guān)重要。Akamai建議企業(yè)使用以下三種技巧，及時洞見ATO欺詐行為，盡早中斷帳戶接管擊殺鏈。

ATO應(yīng)對技巧

1、辨別機(jī)器人/真實(shí)人類行為

多數(shù)情況下，黑客會用機(jī)器人進(jìn)行暴力破解或執(zhí)行自動化撞庫。占據(jù)攻防主動權(quán)，企業(yè)安全團(tuán)隊更需在帳戶訪問中具備識別機(jī)器/人類行為的能力，構(gòu)建風(fēng)險防范措施。

2、跟蹤欺詐行為，確定攻擊模式

企業(yè)運(yùn)營方可以通知員工和客戶報告任何可疑的電子郵件、短信等資訊。盡管煞有介事的通信內(nèi)容，很有可能是網(wǎng)絡(luò)釣魚行為，但也要注意已竊取敏感信息的黑客，還能輕松實(shí)施身份盜竊，以客戶實(shí)名創(chuàng)建帳戶，偽裝潛伏數(shù)月之久，侵蝕更多金融資產(chǎn)。

3、投資多重要素驗(yàn)證（MFA）保護(hù)

過往，銀行業(yè)預(yù)防欺詐的策略主要是使用復(fù)雜密碼。但近年來，專門針對金融機(jī)構(gòu)的Kr3pto等網(wǎng)絡(luò)釣魚工具包，能夠繞過雙因素身份驗(yàn)證（2FA）。當(dāng)下，使用MFA和基于公鑰加密技術(shù)的FIDO2開放標(biāo)準(zhǔn)，可提供比密碼更安全的身份驗(yàn)證。

多變的金融安全環(huán)境中，企業(yè)與其著眼于如何處理每一次危機(jī)，不如聯(lián)合內(nèi)外部資源，投資部署全方位的安全體系，超越金融欺詐師的現(xiàn)有技術(shù)。同時，企業(yè)的安全團(tuán)隊也需要強(qiáng)化培訓(xùn)客戶和員工識別可疑行為跡象，聯(lián)動全員齊心協(xié)力阻截ATO入侵。

抵御ATO攻擊，維護(hù)客戶信任度。Akamai Bot Manager和Akamai Account Protector等解決方案，可充分融合Akamai Neosec精細(xì)化的API可見性能力，實(shí)現(xiàn)自定義的異常檢測和保護(hù)模式，保護(hù)金融機(jī)構(gòu)和客戶免受黑客、機(jī)器人和欺詐的侵害。