跳转到主要内容

组织如何保护消费者免受账户接管攻击?

Brett Petersen
Brett Petersen
路孚特旗下公司 GIACT 销售和客户关系执行副总裁

新冠肺炎疫情加速了数字化转型的步伐,许多消费者都采用了手机银行。但是,诈骗者也适应了新环境,因此以账户接管攻击的形式发展了他们的战术。组织可以采取哪些措施来挫败金融犯罪分子并保护消费者?


  1. 自 2020 年 4 月以来,手机银行的使用量大幅增加。然而,研究表明,账户接管攻击的数量也相应增加。
  2. 欺诈者使用多种方式实施账户接管攻击,包括暴力攻击、凭证填充、网络钓鱼和社交工程。
  3. 组织的所有部门都必须采取严格的预防措施,以减轻客户遭受账户接管攻击的威胁,而这要从升级和优化身份验证流程开始做起。

欲通过电子邮件收取更多数据驱动洞见相关资讯,请订阅《路孚特视角》周刊

2020 年 4 月,全球最大的银行在新的手机银行注册方面实现了 200% 的增长。在整个 2020 年,点对点支付公司庆祝其网络交易和美元成交量达到新高。

这两种趋势都说明了数字账户和支付的采用量出现了大幅增长。越来越多的消费者依靠数字账户进行日常交易。

遗憾的是,与此同时,欺诈者也注意到这一点并加快了以账户接管 (ATO) 攻击的形式对现有账户发起攻击。

账户接管的定义是未经授权接管现有的合法账户,这种情况已经变得越来越普遍。

事实上,根据 Aite Group 的一份报告(由路孚特的旗下公司 GIACT 赞助)——“美国身份盗窃:严峻的现实”显示,超过三分之一 (38%) 的美国消费者在过去两年中遭遇了 ATO 攻击。

Account takeover victims in the past two years

阅读白皮书:《了解账户接管 2021 年》

ATO 攻击的类型

在他们的攻击中,欺诈发起者利用暗网中公开的个人身份信息 (PII),以及他们通过社交媒体和在线搜索可以轻易找到的信息。

多年来,诈骗者不断完善他们的技能,运用传统和演变的战术发起攻击,包括:

  • 暴力破解攻击:网络犯罪分子使用自动脚本,通过破解密码组合来验证登录凭证。
  • 凭据填充:类似于暴力破解攻击,但通过“有根据的推测”进行,利用公开和可用的 PII。
  • 网络钓鱼:一种电子邮件战术,用于欺骗受害者点击恶意软件或以社交工程的方式诱惑他们在看似合法的域中输入 PII(包括登录凭据)。
  • 社交工程:涵盖广泛的战术——从电子邮件、社交媒体、短信和电话,到欺诈者通过社交工程使受害者交出信息或转移资金。通常是通过欺诈者冒充合法实体(企业或政府)来实现的,可能包括威胁甚至是勒索。
  • 合成身份欺诈:一种身份欺诈战术,使用真实和虚构的 PII 组合来开立或访问账户。
  • 好友/家人欺诈:ATO、家庭或好友欺诈背后一个不幸但非常普遍的战术是,欺诈是由受害者的熟人实施的。

观看:路孚特收购 GIACT 以构建端到端安全体系

ATO 后续影响

成功执行后,欺诈者可以根据账户类型从事各种不同的活动。

Aite Group 的报告发现,欺诈者在接管后进行了以下活动:

 图 19:账户接管 (ATO) 后执行的活动

账户类型和活动的多样性表明欺诈行为已经大量转移到传统银行账户之外。如上所述,P2P 应用程序、账单支付、奖励积分,甚至连医疗保险都成为攻击目标。预计这种趋势将持续下去。

预防 ATO 的最佳实践

鉴于数字通信和云数据存储的增长,欺诈者现在有多种可能的切入点来访问 PII。

信息技术、人力资源、会计和行政等内部组织部门必须要认识到与公司网络以及包含员工、薪资和其他财务敏感数据的数据库有关的网络安全危险——所有这些数据对欺诈网络来说都非常重要。

任何组织为减少 ATO 欺诈的风险而采取的预防措施,都要从积极主动地升级当前的身份验证方法开始做起。

欺诈者越来越多地找到绕过弱口令的方法,长期以来弱口令使黑客从中获益,并令安全专家感到束手无策。

欺诈发起者也越来越多地以不受保护的非金融账户(电子邮件、社交账户、手机账户)为攻击目标,以获得他们可以用来进行 ATO 的敏感数据。

组织可以利用系统,通过集成的综合性方法保护客户免受支付和身份欺诈,由此减轻 ATO 的风险。

这种整体方法应包括利用多种传统和非传统数据源积极识别消费者和企业账户,以改善承保、风险管理和“了解你的客户”(KYC) 流程;在客户注册或 ACH 付款处理之前,对客户和企业进行实时账户验证和身份验证;在所有客户接触点实时进行移动身份验证、身份识别和验证;以及对扫描的身份证和支票付款进行实时身份验证和认证。

积极主动地采用单点登录 (SSO) 和密码管理器等先进的身份验证方法,使安全管理员能够应用一些密码清理措施。

其他做法可能包括使用身体和行为生物识别技术、设备识别等数字身份、地理围栏,以及其他有助于比密码更可靠地验证消费者身份的新技术。

其中包括双因素身份验证 (2FA);基于知识的问题;基于人工智能的第三方数据库跟踪器;以及提醒客户和员工注意防范诈骗以及家庭和好友欺诈。

要了解有关此主题以及如何缓解 ATO 和其他形式的身份和付款欺诈的更多信息,请阅读此处提供的 GIACT 最新报告《了解账户接管 2021 年》。

Read the white paper: Understanding Account Takeover 2021