网络钓鱼的日益猖獗破坏了人们对银行业的信任
没有什么比来自银行的紧急电子邮件更能吸引消费者的注意力了,邮件警告他们,他们的账户出现了安全漏洞。这才是问题所在。
诈骗邮件过去很明显,很容易识别。但近年来,它们变得如此复杂和可信,甚至训练有素的网络安全专业人士也不能总是识别什么是真实的,什么是不真实的。在许多情况下,犯罪分子现在使用与银行发出的安全警报和电子邮件一模一样的信息来获取客户的登录信息。
在疫情期间,随着消费者更加习惯于与金融机构进行远程交易,足智多谋、富有创新精神的犯罪分子迅速利用了数字银行的快速增长。这种威胁不仅破坏了消费者的信心,而且使与消费者沟通的工作复杂化。
虚假邮件激增
网络钓鱼只是一种骗局,攻击者使用欺诈性的信息来欺骗受害者透露敏感信息。网络钓鱼攻击有很多变体,大多数网络钓鱼攻击都是通过一个可靠来源巧妙伪装的电子邮件,要求收件人访问一个网站或应用程序,并登录他们的账户。Vade的首席科学官Sébastien Goutal说,尽管网络钓鱼攻击相对简单,但它们也非常有效金融品牌.
改变什么:
由于意识到数字银行日益增长的潜力,犯罪分子在他们的虚假电子邮件中使用了“心理杠杆”。
根据Vade 's Phisher 's Favorites Report的2021年上半年,钓鱼尝试大幅跳2021年5月增长281%,6月又增长284%。在报告中列出的被模仿最多的25个品牌中,有8个是金融机构,占检测到的钓鱼url的36%。
法国金融服务巨头Crédit Agricole以17555个独特的网络钓鱼网址荣登全球最受模仿品牌榜首。其他银行包括拉斯班克邮政银行(Las Banque Postale)、贝宝(PayPal)、大通银行(Chase)和富国银行(Wells Fargo)。汇丰银行(HSBC)和人民银行(Banque Populaire)。
Goutal观察到,金融是网络钓鱼的主要目标,因为它们是获取消费者证书并利用它们快速攻击的好方法。罪犯连接到这个账户,接管它,然后进行电汇。
Goutal说,大多数网络钓鱼攻击使用“心理杠杆”和令人信服的信息来引诱受害者采取行动。常见的与银行相关的网络钓鱼邮件通常包括关于账户关闭、余额不足或机会的通知。与暴力数字攻击不同,网络钓鱼的目的是在受害者甚至不知道发生了什么事情之前,分散地获取信息,进入账户,并带着资金逃走。
(阅读更多:让数字银行无缝且安全,否则消费者将会改变)
银行品牌的诱饵
虽然网络钓鱼并不是一种新策略,但它已经变得越来越普遍,犯罪分子越来越多地使用银行品牌作为“诱饵”。根据Check Point Research的2021年第一季度品牌钓鱼报告,银行业现在已经超过了零售业作为黑客获取和滥用客户个人信息的第三大行业。
Check Points将微软列为最受网络钓鱼攻击的品牌(占全球网络钓鱼攻击的39%)。其他公司包括谷歌(9%)、亚马逊(5%)、富国银行(4%)、大通银行(2%)、LinkedIn(2%)、苹果(2%)和Dropbox(2%)。
提高了他们的策略:
过去,钓鱼者是一群没有经验的人。现在,即使是专家也很难发现虚假网站。
消费者可能会收到来自他们甚至没有业务往来的银行的钓鱼电子邮件。但如果是他们自己的银行,而且邮件看起来和他们过去收到的合法邮件一模一样,那就更可信了。在Check Point Research提到的一个例子中,一名罪犯向富国银行(Wells Fargo)的客户发送了一封诈骗电子邮件,指出他们的账户已被禁用。
如前所述,疫情导致网络钓鱼攻击激增。Vade的报告指出:“在危机开始之初,世界各地的企业和公民利用了政府支持的企业贷款和消费银行和信用合作社提供的延期付款或‘假期’。”
一个有趣的结果是,随着全球大型经济体恢复正常,此类延期的“账单即将到期”。
Vade指出:“这是网络钓鱼者用来对付借贷或延期付款的企业和公民个人的一件重要武器,可能预示着随着全球范围内支付延期到期,金融服务网络钓鱼的趋势将继续下去。”
(阅读更多:比起死亡和恐怖袭击,消费者更担心银行诈骗)
“海克斯博士”被捕,但其他“环”激增
Goutal指出,疫情早期的许多袭击都以救灾资金、失业救济或PPP贷款为主题。最近的诈骗还包括围绕疫苗发送信息。“人们一直对自己的生意和薪水感到压力,他们的情绪很脆弱。罪犯正在利用这一点,”他说。
犯罪分子的攻击手段也越来越先进。许多公司现在经营着大型的网络钓鱼网络,就像合法的企业一样运作。这些环非常复杂,通常多年都不会被发现。2021年7月初,国际刑警组织和ib集团逮捕了嫌疑人在摩洛哥,他被追踪了两年。他被称为“HeX博士”,冒充网上银行服务,引诱账户持有人提交他们的账户凭证,并参与了数千起钓鱼和其他骗局。
2020年,网络钓鱼者开始使用的一种新策略是在图像中嵌入更多文本,以绕过安全过滤器。这些过滤器可以快速扫描文本以验证邮件,但如果图片是链接的,而不是附在邮件上的,就比较困难了。Goutal说:“你无法实时过滤。”你需要利用计算机视觉技术,而这很昂贵。”
在另一个创造性网络钓鱼的例子中,犯罪分子利用安全警报来完成骗局伪造的美国银行电子邮件警告受害者,一个新设备正在使用与他们的银行账户。正如Vade所指出的,这封邮件很聪明,直到最后才包含链接,以确保目标“充分准备”。
战斗的钓鱼者
人们很容易认为只有傻瓜才会上当受骗,但事实并非如此。在“鱼叉式网络钓鱼”活动中,犯罪分子会不遗余力地个性化和定制电子邮件。一个大的目标不是消费者,而是金融机构的员工,他们可能会无意中泄露账户信息。
从员工开始:
金融机构无法控制客户打开哪些电子邮件,但它们可以帮助确保员工不被欺骗。
银行和信用社可以通过培训和意识来降低这种风险。CUNA Mutual Group风险管理高级经理布拉德·诺伊曼(Brad Neumann)在一篇文章中写道,员工应该是第一道防线经常接受社会工程和网络钓鱼培训。诺伊曼说:“应该定期提醒人们不要打开可疑的邮件,不要点击邮件中的链接或打开邮件中的附件,在访问未知网站前要谨慎。”
(阅读更多:在入职期间平衡欺诈预防和客户体验)
但即使是机构端最好的安全措施,也无法保护接收端的消费者。以下是银行和信用社提高意识的几种方法。
富国银行(Wells Fargo)建议客户不要通过可疑信息中的链接登录他们的账户。有疑问时,最好的行动是打开一个新的浏览器窗口,输入网址,然后从那里登录到账户。
PNC银行它警告顾客,虽然它偶尔会让顾客回复短信,但它永远不会让顾客点击短信中的链接。PNC笔记常见的红旗可能的网络钓鱼或“smishing”(短信,短信,网络钓鱼)攻击包括:
- 拼写错误
- 语法错误
- 创造一种紧迫感
- 要求个人身份信息
- 请求用户id和密码
的美国银行家协会的银行从不这么问活动有面对消费者的信息警告钓鱼诈骗,以及如何识别他们。美国律师协会指出,虽然消费者打电话给银行时可能会被要求核实机密信息,但很少会反过来。
钓鱼邮件通常包含恐吓战术,要求机密信息,并引导消费者到一个链接。美国律师协会网站还提供了一个测试,让消费者可以测试他们识别常见银行相关网络钓鱼诈骗的技能。