隨著電子商務技術的迅猛發展,網路罪犯發現了其中的漏洞並創造了新的詐騙方式。那麼,網路詐欺的形式究竟發生了哪些變化?我們該如何確保商業訊息的安全?
現如今,電子商務是人們的一項基本需求。而今年新冠肺炎疫情爆發導致的封鎖,使人們更加依賴電子商務的快捷和便利。正所謂“水漲船高”,卡巴斯基2019年度反詐欺報告中指出:網路詐騙犯的數量在不斷增加,全球每50個在線金融和電子商務連接會話中就有一個來自於網路不法分子。
隨著電子商務技術的快速發展,網路罪犯發現了其中的漏洞,我們在應對全新的黑客工具和詐欺方式上正處於變革的關鍵時刻。
一、有哪些正在發生
通過機器人偽造忠誠度
人們通常會在電商平台的忠誠度計劃中獲得獎金,例如通過註冊、評論和邀請好友等方式。騙子們藉助機器人程式創建大量虛假帳戶並獲像真實用戶一樣獲得獎金。然後,他們利用獲得的獎金以很大折扣地購買商品再進行轉賣。
機器人程式佔據了最好的“觀演位置”
Distil Networks的研究估計售票網站約40%的流量來自於機器人程式。網路罪犯使用機器人程式購買演唱會、演出和體育賽事的門票,並在活動售罄時,將它們在社交媒體、P2P平台或門票轉售網站上進行轉售。這意味著粉絲越來越難購買門票,或者需要在門票上花費更多。
爬蟲蒐集價格和照片
網路詐欺者還使用網路爬蟲程式(搜索引擎也會合法使用這種程式來獲取準確的搜索查詢結果)來扒電子商務競爭對手的網站數據,記錄價格並使得自己的商品更具競爭力。他們還可能會竊取諸如圖片和產品說明之類的獨特內容,並將這些用在他們自己的網站上。由於搜索引擎會懲罰具有重複內容的網站,網路罪犯的這一行為將會破壞原始網站的搜索排名,給原始網站造成經濟損失。
機器人程式正變得越來越逼真
2019年新一代“人類機器人”出現,旨在完美模仿人類行為。以前,木馬以重複和簡單的導航模式在網頁上移動。新一代的“人類機器人”可以模仿更多人類的行為,例如快速移動鼠標。
目前很多反詐欺系統都是依靠人類特有行為來區分機器人程式和人類,因此這種模仿人類的行為對於此類系統來說是個大麻煩。
網路罪犯如何操縱這一切
詐欺者攻擊電子商務最簡單的方法是通過客戶。他們使用一種稱為社會工程學的操縱策略,要麼恐嚇人們,要麼贏得他們的信任,隨後獲取用戶的登錄訊息、密碼和其他個人訊息之類的憑據。
假設你接到某人電話,對方聲稱是你常常訪問的電商網站安全部門的職員,並告訴你有人試圖用你的信用卡購買昂貴物品,如果需要停止交易,你必須下載身份驗證應用程式。
當然,在這個例子中,電話是騙子打來的,而該應用程式授予詐欺者遠程訪問權限,他們以這種方式獲取設備的截屏並竊取你的個人訊息,比如全名、地址或身份證號。
然後,他們在暗網出售你的個人訊息,這將導致各種各樣的詐欺,例如使用你的姓名和銀行帳戶來申請貸款。
許多公司中的技術支持團隊合法地使用的遠程訪問工具(RAT),可以訪問你的電腦螢幕幫助你解決許多問題,但這在騙子手裡則是進行詐欺的強大工具。由於會計經常處理付款憑證,詐欺者通常以他們為目標。詐欺者會在受害者不知道的情況下訪問受害者的螢幕,並修改銀行的具體訊息來使自己獲利。
有時你可能會識別出這些越來越多的網路攻擊所採用的手段,其中一些是老套路,以下是三種新興的網路詐欺的趨勢。
趨勢1:詐欺即服務
網路犯罪是一種足不出戶就可以賺錢的簡單方法,這也導致了“詐欺即服務(FaaS)”的快速增長。FaaS使互聯網詐欺門檻大大降低,因此參與的人數也在增加。
在暗網論壇、非法網站或社交媒體上,任何人都可以購買一套黑客工具和一個被洩露的用戶數據庫,然後支付一定的費用接受關於如何賺取非法收入的培訓。
被盜信用卡數據的成本僅5美元,而進行廣泛的詐欺實踐課程需要數千美元。這個黑色產業鏈正高速發展,例如,地下數字市場出售機器人程式、用於遠程訪問設備的數字指紋以及使互聯網活動無法追蹤的匿名工具。
趨勢2:轉售銀行帳戶訪問權限
網路犯罪分子通常以金融業中的被大企業收購的中小型企業(SMB)為目標,他們會調整自身網路安全系統以適應收購方的要求。卡巴斯基通過分析暗網論壇聊天室發現,犯罪集團將這些較小的企業作為目標,然後轉售被入侵企業及其母公司內網的訪問權。我們預測這種詐欺行為將逐漸增加,尤其是在非洲、亞洲和東歐。
趨勢3:數據洩漏和偽造
我們都喜歡方便快捷的購買方式,例如亞馬遜的一鍵式訂購,雖然這意味著保存和共享更多的個人訊息。目前每個月都會有銀行、網店或電信公司出現重大數據洩露事件,有時甚至會暴露極其敏感的客戶個人數據,例如生物識別訊息。
同時,我們也看到了偽造技術正在興起,即用高級音頻、照片和視頻編輯功能(稱為Deepfake)將一個人的圖像替換為另一個人的圖像。已經有詐欺者成功使用Deepfake語音模仿和社會工程學技術模仿了某企業CEO。
二、保護企業免受詐欺的方法
這六個步驟將幫助你的企業建立強大的商業詐欺防範能力
- 評估風險
隨著業務增長或出現任何變化,遭遇詐欺的風險也將會增加,因此,確保能夠識別出易被詐欺的部分應該作為風險評估項目中的一部分。
- 審查產品設計
從詐欺者的角度重新考慮你的數字服務和忠誠度計劃的設計,並嘗試找出可能被利用的“漏洞”。
- 使用詐欺檢測和預防系統
這些系統可以分析網路連接會話、交易和付款行為。它們可以從一定程度上避免詐欺帶來的財務、聲譽和法律上的各種不良後果,並減少運營成本,例如技術支持團隊工作的時間。
- 加固安全系統
採取檢測和保護措施,例如,使用可以抵禦機器人程式的Web應用防火牆(WAF)或者能夠防禦分佈式拒絕服務攻擊(DDoS)的安全解決方案。
- 加強員工教育
通過將網路詐欺納入公司員工的網路意識培訓計劃中,確保他們了解網路詐欺的發生方式以及如何應對詐欺。
- 記錄因詐欺造成的損失
定期計算你的公司因詐欺而遭受的損失,包括直接損失、間接損失以及對品牌聲譽的影響。
如果詐欺行為影響到你公司的業務,請僱用防詐欺專家團隊為你提供技術支持並幫助你應對未來可能發生的事件。
通過採取這些步驟,可以減少你的公司遭遇網路詐欺的風險,並可以充分利用電子商務興起帶來的機會,極大地開拓公司的業務。
資料來源: https://mp.weixin.qq.com/s/euhoxF8aSRZy1qUKvOjW1g