通过防范金融援助网络犯罪来建立客户信任

学生贷款服务机构通常会看到与学生贷款和财政援助欺诈相关的四种风险：

• 开立新账户诈骗
• 账户接管
• 身份盗窃
• 欺诈性索赔

所有四种风险都会造成许多共同的后果；然而，对业务影响最大的两个后果是客户信任和攻击相关的成本。 当借款人遭受与品牌相关的未经授权的账户行为、欺诈或身份盗窃时，借款人和贷款人之间的信任就会受到损害。 事件发生后，重建信任非常困难且耗时。 同样，如果攻击成功，恢复工作对于组织来说将是极其昂贵的。 这些往往是噩梦般的场景。

借款人成为犯罪分子的重点目标，他们利用学生贷款、贷款合并和债务减免等手段进行诈骗。 网络犯罪分子以学生为目标，就像我妻子收到的网络钓鱼攻击一样，他们预测学生会误以为他们是官方服务，并授权访问帐户或提供 PII。联邦调查局在 2022 年 10 月发布的一份通知中警告借款人，网络犯罪分子正瞄准毕业生，向他们提供欺诈性的美国学生贷款债务减免计划应用援助。

2022 年，加拿大某政府机构在提供学生经济援助和 COVID-19 疫情救济方面面临一系列令人担忧的分布式拒绝服务 (DDoS)、机器人和欺诈问题。 当该组织联系 F5 以协助减轻这些攻击时，我们开始对 F5 分布式云服务进行广泛的概念验证。 概念验证让他们看到了在整个应用中实现完整的安全可见性的重要性，展示了先进的信号以发现欺诈性应用流量。

在概念验证过程中，我们发现数据异常指向大量欺诈性索赔和账户行为。 在发现令人震惊的结果后，我们立即通知他们的网络犯罪行动团队，将调查结果报告给他们的 CISO 和安全组织内的其他主要领导人。 此次简报会结束后，CISO 向 F5 发送了一封电子邮件，对这项研究表示赞赏，并表示：

“您呈现的方式是我 33 年职业生涯中见过的最清晰、最简洁的呈现此类数据的方式。”

如今，这个政府组织受到了保护，并且总是比攻击者领先几步。 他们使用F5 分布式云机器人防御，阻止了超过 300 万美元的欺诈性索赔。 他们得到的结论是，能够快速、无缝地部署强大的服务来解决和防止未来的欺诈行为。 最好的结果之一是增强了安全团队和消费者夜间的保护并让他们更加安心。

F5 分布式云平台通过单一门户进行管理，保护应用免受多云、本地和边缘环境中的机器人和自动攻击。 安全专家可以部署 DDoS 缓解措施来抵御容量耗尽攻击，实时缓解机器人攻击，并使用强大的 AI 来保护账户，实现欺诈防护和身份验证智能，同时消除合法回头客的登录障碍。

学生和毕业生应保持良好的在线账户数字卫生。 由于攻击者通常利用撞库攻击和暴力攻击，借款人和经济援助接受者可以采取措施，通过关注密码、多因素身份验证和保持联系信息更新来最大限度地降低未经授权的帐户访问的可能性。

• 抵制网络钓鱼： 大多数攻击都是从简单的网络钓鱼电子邮件开始的。 必须教育借款人对贷款减免优惠或冒充大学人员索要 FSA ID 和密码等信息的人保持警惕。
• 密码： 就目前而言，密码还不会消失。 因此，如果您必须使用它们，请使用强而独特的密码，定期更改它们，并考虑使用密码管理器。 据Security.org称，像mycollege1这样的简单密码可能需要计算机算法大约一天的时间才能破解；然而，像dwf19g-3Y&es-cBE@!s这样的随机密码则可能需要一生以上的时间。 加密密码管理器确保人们不需要记住冗长、随机的密码。 Apple 的 iCloud Keychain和1Password等密码管理器可以建议和自动填充，使每个人的生活变得更轻松。 
• 多重身份验证 (MFA)： 如果密码在撞库攻击攻击期间被泄露和使用，MFA 将成为下一个重要的防御措施。 MFA 确保需要第二个一次性生成的代码来完成登录尝试。 有几种多因素身份验证应用程序可用，包括 Apple（通过 iCloud Keychain 内置于 macOS 和 iOS）、 Microsoft （Microsoft Authenticator）和 1Password 提供的应用程序。
• 联系信息： 随着生活变得忙碌，很容易忘记谁有旧的邮寄地址、电话号码、电子邮件地址和姓名。 更新联系信息可以帮助防止通知被忽视，以及防止不良行为者利用过时的信息获取未经授权的帐户访问权限。