為什么金融部門仍然充斥著社交工程欺詐

如今，各行業組織成為網絡犯罪受害者的可能性越來越大。在2021年上半年，網絡犯罪分子通過社交工程欺詐使英國的企業或組織損失了7.539億英鎊，與2020年上半年相比增加了四分之一以上(30%)。而越來越多的網絡犯罪分子針對銀行和其他金融機構實施社交工程欺詐。

人員是安全鏈中最薄弱的環節，網絡犯罪分子繼續利用這一環節進行社交工程欺詐。因為人們容易出錯，并且多次犯同樣的錯誤。金融機構無法阻止員工犯錯，因此人員成為了鏈條中最薄弱的一環。雖然社交工程欺詐行為已經實施多年，主要以網絡釣魚和語音網絡釣魚的形式，但仍在不斷增長。

為了解決這個問題，基于行為生物識別的技術可用于在銀行交易期間確認個人身份，而無需額外的安全層來檢測此類欺詐。

什么是實時欺詐檢測?

實時欺詐也稱為授權推送支付(APP)欺詐，是一種社交工程形式，可能會造成相當大的經濟損失。為了確定必要的真實性，網絡犯罪分子利用受害者的個人數據，這些數據是通過暗網上的數據泄露或從社交媒體資料中獲取的。犯罪者獲得的信息越多，他們的可信度就越高。在這一過程中，他們通過電話聯系受害者，并假裝是政府機構的代表、銀行或其他官方組織的雇員。通過這種方式，他們可以說服對方將一定數量的款項轉移到另一個帳戶，并且可以繞過銀行的安全流程，因為真實賬戶持有人將會觸發轉賬。因此，多因素身份驗證(MFA)也無法提供任何保護。

識別欺詐具有挑戰性，因為它涉及從授權地點登錄并使用自己的終端設備完成身份驗證過程的真實人員。這是因為以往的檢查措施(例如識別位置、終端設備或IP)已經不再安全。甚至可以繞過帶外方法，例如通過SMS使用一次性密碼(OTP)進行身份驗證。進行此類攻擊的網絡犯罪分子通常也擁有復雜的腳本，并且熟悉銀行的安全實踐和程序。更糟糕的是，網絡犯罪分子使用社交工程方法來引起受害者的情緒反應。犯罪分子使用緊迫感、奉承、權威或信任的氣質試圖從受害者身上獲取同情、內疚或陪伴的感覺。這些流行的方法將會引起受害者產生恐懼、焦慮或輕松等感覺，導致受害者的倉促行事或失去判斷力，從而實現網絡攻擊者預期的結果。

如何使用行為生物識別技術來檢測授權推送支付(APP)欺詐?

在英國，授權推送支付(APP)欺詐行為呈上升趨勢，受害者總共損失了4.79億英鎊，平均每人損失超過7000英鎊。然而，基于行為生物特征的技術可以檢測到這種類型的欺詐;它可用于在銀行交易整個過程中驗證個人身份。BioCatch使用基于數據的洞察力來區分真實用戶和被操縱用戶的行為。BioCatch與其客戶合作開發了可用于識別各種威脅的風險模型，因為這種協作努力被認為對于增強客戶能力和保障消費者安全至關重要。此外，還有一些明確的行為模式可以區分在線會話期間的“真實”和“欺詐”活動，并揭示網絡犯罪分子的操縱行為：

?會話持續時間異常：會話持續時間比平時長得多，并且賬戶持有人表現出明顯的行為模式，例如漫無目的的鼠標移動。這可能表明該人在等待罪犯的指示時感到緊張或面臨壓力。

?分段擊鍵：如果鍵入過程中出現中斷，這可能表明犯罪者正在大聲朗讀帳號，從而妨礙了日常打字。

?猶豫或延遲：執行簡單、直觀的操作(例如確認輸入)所需的時間顯著增加。

?終端設備的異常處理：設備的方向經常變化。這可能表明登錄用戶反復放下或拿起智能手機以接受犯罪分子的指示。

無論銀行的安全系統和程序有多么復雜，利用社交工程學進行欺騙的網絡犯罪分子都會更加積極和熟練。在成功實施社交工程欺詐之后，通常難以挽回受害者的損失。因此，為了保護客戶免受財務損失，必須在欺詐發生時立即發現。而使用行為生物識別技術可以防止重大損失，同時全面保護客戶和公司的資產，因此這將成為金融機構反欺詐保護的基石。