博客

通过防范金融援助网络犯罪来建立客户信任

亨特·斯密特缩略图
亨特·斯密特
2023 年 4 月 10 日发布

去年,当我的妻子开始攻读博士学位时,她开始收到一系列经济援助网络钓鱼电子邮件。 虽然目标群体广泛,但他们试图表现得更专业,使用类似的品牌、类似的域名和号召性用语;然而,他们是主动发起的,而且号召性用语很紧急。 仔细一看,这些都是网络钓鱼行为。 虽然她迅速在 Microsoft Outlook 中点击“报告为网络钓鱼”并删除了电子邮件,但这开始让我思考财政援助诈骗的影响。

在美国,大约有4300 万人的学生贷款平均余额为 37,000.00 美元。 根据国家教育统计中心的数据,近 80% 的学生获得了经济援助。 由于大量人口背负学生贷款和接受经济援助,不良行为者将这个庞大的市场视为主要目标。 据《福布斯》报道,2022 年学生贷款诈骗金额超过 50 亿美元。 欺诈性指标不仅仅是令人沮丧的统计数据;它们还影响实际的人:应届毕业生在进入职场时会发现他们早期的职业基础受到干扰。

服务商和借款人的风险

学生贷款服务机构通常会看到与学生贷款和财政援助欺诈相关的四种风险:

  • 开立新账户诈骗
  • 账户接管
  • 身份盗窃
  • 欺诈性索赔

所有四种风险都会造成许多共同的后果;然而,对业务影响最大的两个后果是客户信任和攻击相关的成本。 当借款人遭受与品牌相关的未经授权的账户行为、欺诈或身份盗窃时,借款人和贷款人之间的信任就会受到损害。 事件发生后,重建信任非常困难且耗时。 同样,如果攻击成功,恢复工作对于组织来说将是极其昂贵的。 这些往往是噩梦般的场景。

借款人成为犯罪分子的重点目标,他们利用学生贷款、贷款合并和债务减免等手段进行诈骗。 网络犯罪分子以学生为目标,就像我妻子收到的网络钓鱼攻击一样,他们预测学生会误以为他们是官方服务,并授权访问帐户或提供 PII。联邦调查局在 2022 年 10 月发布的一份通知中警告借款人,网络犯罪分子正瞄准毕业生,向他们提供欺诈性的美国学生贷款债务减免计划应用援助。

化险为夷,让事情变得轻而易举

2022 年,加拿大某政府机构在提供学生经济援助和 COVID-19 疫情救济方面面临一系列令人担忧的分布式拒绝服务 (DDoS)、机器人和欺诈问题。 当该组织联系 F5 以协助减轻这些攻击时,我们开始对 F5 分布式云服务进行广泛的概念验证。 概念验证让他们看到了在整个应用中实现完整的安全可见性的重要性,展示了先进的信号以发现欺诈性应用流量。

在概念验证过程中,我们发现数据异常指向大量欺诈性索赔和账户行为。 在发现令人震惊的结果后,我们立即通知他们的网络犯罪行动团队,将调查结果报告给他们的 CISO 和安全组织内的其他主要领导人。 此次简报会结束后,CISO 向 F5 发送了一封电子邮件,对这项研究表示赞赏,并表示:

“您呈现的方式是我 33 年职业生涯中见过的最清晰、最简洁的呈现此类数据的方式。”

如今,这个政府组织受到了保护,并且总是比攻击者领先几步。 他们使用F5 分布式云机器人防御,阻止了超过 300 万美元的欺诈性索赔。 他们得到的结论是,能够快速、无缝地部署强大的服务来解决和防止未来的欺诈行为。 最好的结果之一是增强了安全团队和消费者夜间的保护并让他们更加安心。

F5 分布式云平台通过单一门户进行管理,保护应用免受多云、本地和边缘环境中的机器人和自动攻击。 安全专家可以部署 DDoS 缓解措施来抵御容量耗尽攻击,实时缓解机器人攻击,并使用强大的 AI 来保护账户,实现欺诈防护和身份验证智能,同时消除合法回头客的登录障碍。

分享这些技巧来帮助保护您的学生贷款借款人

学生和毕业生应保持良好的在线账户数字卫生。 由于攻击者通常利用撞库攻击和暴力攻击,借款人和经济援助接受者可以采取措施,通过关注密码、多因素身份验证和保持联系信息更新来最大限度地降低未经授权的帐户访问的可能性。

  • 抵制网络钓鱼: 大多数攻击都是从简单的网络钓鱼电子邮件开始的。 必须教育借款人对贷款减免优惠或冒充大学人员索要 FSA ID 和密码等信息的人保持警惕。
  • 密码: 就目前而言,密码还不会消失。 因此,如果您必须使用它们,请使用强而独特的密码,定期更改它们,并考虑使用密码管理器。 据Security.org称,像mycollege1这样的简单密码可能需要计算机算法大约一天的时间才能破解;然而,像dwf19g-3Y&es-cBE@!s这样的随机密码则可能需要一生以上的时间。 加密密码管理器确保人们不需要记住冗长、随机的密码。 Apple 的 iCloud Keychain1Password等密码管理器可以建议和自动填充,使每个人的生活变得更轻松。 
  • 多重身份验证 (MFA): 如果密码在撞库攻击攻击期间被泄露和使用,MFA 将成为下一个重要的防御措施。 MFA 确保需要第二个一次性生成的代码来完成登录尝试。 有几种多因素身份验证应用程序可用,包括 Apple(通过 iCloud Keychain 内置于 macOS 和 iOS)、 Microsoft (Microsoft Authenticator)和 1Password 提供的应用程序。
  • 联系信息: 随着生活变得忙碌,很容易忘记谁有旧的邮寄地址、电话号码、电子邮件地址和姓名。 更新联系信息可以帮助防止通知被忽视,以及防止不良行为者利用过时的信息获取未经授权的帐户访问权限。

适应速度比罪犯改组更快

服务商和借款人必须共同致力于网络安全。 安全必须成为建立信任和最大限度降低未来遭受攻击可能性的基础。 让我们通过积极主动的安全措施来保障彼此的数字生活安全。 对于贷方和服务商而言,F5 分布式云机器人防御可阻止犯罪分子重新装备以绕过防御措施,同时让您的组织领先于机器人,实现长期功效和零客户摩擦。 了解F5 分布式云机器人防御如何通过免费的机器人业务影响评估将欺诈性帐户创建减少 92%,并将撞库攻击攻击成本减少 96%。