2025年银行及金融服务提供商欺诈预防手册

面向银行和金融服务提供者 前十金融欺诈和网络安全挑战——以及如何阻止它们 2024年金融欺诈和网络攻击创下新纪录——2023年、2022年以及过去十年的时间也创下过纪录。全球消费者损失超过1万亿到诈骗，根据全球反诈骗联盟的说法。与此同时，据估计，金融服务公司可能已经损失最多是四倍的数量。 到目前为止，还没有迹象表明2025年会有什么不同。事实上，德勤估计，到2027年，生成式人工智能和深度伪造技术可能提高消费者遭受金融诈骗所承受的损失到仅美国的400亿美元。 从深度伪造和设备克隆到通过钓鱼攻击执行的诈骗，不断变化的威胁形势可能令人望而生畏。金融服务提供者不可能消除欺诈风险。但通过恰当的解决方案和方法组合，他们可以占据上风。 在本指南中，我们将研究前十大攻击类型，探讨它们如何影响银行和金融机构——并检查降低每种风险的最好方法。 问题与解决方案概述 骗局的生命周期 金融欺诈的十大类型 这里有一些最佳端到端解决方案的关键组件： •身份管理与资格认证确保用户是他们所声称的那个人——并且设备可以被信任——贯穿整个客户旅程 •技术分析标记不安全的配置、恶意软件、克隆设备、远程访问工具和其他已知攻击 1.2.3.4.5.8.9.开户欺诈设备克隆凭证攻击暴力破解账户接管欺诈恶意软件SIM卡交换10. 内部威胁6. 网络钓鱼、短信钓鱼和语音钓鱼7. 授权推送支付欺诈 •安全物理和逻辑访问管理从内到外保护您，确保您的员工和资产免受恶意行为者的侵害 •自适应多因素认证 (MFA)确保只有授权用户可以访问关键网络、应用程序和数据——并在您最需要时增强保护 •风险管理系統通过基于人工智能的模式识别将复杂数据结合起来，为合法和非法交易提供快速决策支持 消费者银行旅程始于开立新账户，到登录、交易和发起可能加深或扩展关系的互动，欺诈者始终与消费者同行，等待着利用任何弱点或漏洞。 而且，这些组件是如何协同工作以保护客户旅程的： 这就是为什么打击欺诈始于评估客户数据的整个生命周期——并识别每个阶段存在的风险。攻击方式可能不同，但最有效的缓解策略往往非常相似，使用实时分析来最大化安全性和最小化对业务的影响。事实上，企业寻找端到端的反欺诈解决方案是至关重要的，以确保没有留下任何漏洞或被忽视的脆弱性。 新账户注册 交易&支付 用户登录 •身份验证•文件验证•设备指纹识别 •员工多因素认证•双签名策略 •风险管理解决方案 (RMS)•行为生物识别•恶意软件检查和已知威胁检测 •防克隆技术•密码学保护•基于风险的认证 深入探讨具体问题和解决方案 开户欺诈 它是什么？ 我该如何阻止它？ 账户开立欺诈——也被称为“新账户欺诈”或“合成欺诈”——发生在犯罪分子使用伪造身份提交虚假申请以获取真实银行账户、信用卡、贷款和其他金融服务时。技术包括： 防止账户欺诈的诀窍不在于任何单一技术，而在于结合多种技术以满足组织独特需求的解决方案。这就是为什么领先身份和文档验证工具整合多种不同方法以确保机构知道谁申请每个新账户。这些方法包括： 猫鼠游戏 许多全球性法规——从反洗钱（AML）和了解你的客户（KYC）到政治暴露人员（PEP）和其他制裁筛查——都试图解决开户欺诈问题。确保您的安全提供商理解这些法规，并能够将身份验证工具集成到您的更广泛战略中非常重要。 •深度伪造技术使用人工智能创造全新的身份，伪造的图像和细节往往令人震惊地逼真•合成身份利用来自多个不同来源的真实和虚假信息的混合，创建新的欺诈性ID•伪造的身份证件利用被盗的个人可识别信息（PII） •数字支票验证跨多个可信来源的关键个人信息——并通过分析安全特征和字体来确认文件的真实性•基于人工智能的生物特征验证使您能够将自拍照与政府颁发的身份证上的人进行匹配•活体检测确保自拍来自一个真实且在场的人，而不是一张照片、3D面具或深度伪造图像 教育、金融、政府、就业甚至医疗记录——连同社交媒体——都是新账户骗子的信息来源，他们最终寻求滥用促销和即时贷款，或促进其他非法所得的转移。 设备克隆 攻击克隆体 它是什么？ 设备克隆始于攻击者创建某人的移动设备未经授权的副本。该副本——真实的或虚拟的——使他们能够冒充设备所有者，访问敏感数据并执行欺诈交易。 顶尖反克隆技术通过以下方式识别设备克隆： • 利用用户设备上的内置硬件安全功能 我该如何阻止它？ 将防克隆技术整合到认证系统中，以确保任何试图通过克隆设备访问的人都会被阻止。 在认证过程中加入多层密码保护 这些解决方案可以作为独立应用程序构建，或集成到现有应用程序中以验证用户设备并保护登录和交易。最安全的防克隆技术利用内置硬件保护，依靠所谓的安全元件（SE）。安全元件是一种防篡改的微处理器，用于存储敏感数据，并且几乎包含在所有现代智能手机中。笔记本电脑有一个类似模块，称为可信平台模块（TPM）。 • 确保任意一个安全密钥的泄露不会危及其他的 阻止潜在克隆者的一种方法：将多层加密保护融入到认证过程中。顶级解决方案以这种方式结构化这个流程，防止一个安全密钥的泄露导致其他任何密钥被破坏——从而阻止攻击者能够假冒设备。 它是什么？ 风险与回报 被盗密码在几十年来的网络犯罪中扮演了重要角色。多年来，攻击者变得越来越复杂，使用自动化工具诱骗用户泄露他们的凭证，然后在不同的平台上测试它们。事实上，根据IBM的数据，2024年同比增长了71%。网络攻击增加那些使用被盗或受损凭证的。 基于风险的顶级身份验证技术通过以下方式阻止凭证攻击： •强制智能密码策略• 提高高风险交易的身份验证要求• 使组织能够创建定制的用户旅程，在不会减慢用户速度的情况下提供适当的安全保障 我该如何阻止它？ 因为凭证攻击始于合法账户信息，所以它们很难预防。智能密码策略是第一步，得到基于风险的认证使组织能够选择何时以及如何要求额外步骤的解决方案。 机构可能会在成功输入密码后触发推送通知，或要求用户在访问其账户前输入设备PIN码/密码或生物特征标记。或者，他们可以选择支持抗钓鱼的密钥认证，并提供完全无密码的体验。关键在于能够根据不同类型的风险适应不同的流程——并在不延误用户的情况下提供适当的安全保障。 暴力破解攻击 推送通知，例如，在不牺牲安全性的前提下提供流畅的用户体验，而密码密钥则提供完全无密码（且抗网络钓鱼）的体验。最稳固的解决方案能够让您根据您的特定需求和策略定制设置，使用的技术包括： SCA是什么？ 它是什么？ 暴力破解攻击使用穷举法来推导登录信息和加密密钥。它很简单——而且出奇地有效。事实上，自动化工具现在可以在几秒钟内生成并输入数百万个密码，直到找到正确的那个。（破解一个混合了数字以及大小写字母的六位密码只需六小时,) 安全客户认证，或称SCA，是欧洲具有突破性的PSD2指令引入的一项要求，并得到了全球其他开放银行法规的呼应。它是一种需要用户在进行线上交易时提供两种或多种特定类型身份识别的MFA： ••延迟锁引发了一系列逐步升级的延迟当用户输入错误凭证时，在他们可以再试一次静音锁在用户操作时不会提供任何反馈输入错误的凭证；他们直接锁定系统外人员•防暴力锁在连续多次尝试失败后将密码置无效 研究表明，蛮力是造成超过20%2024年针对网络应用程序的攻击中显著更高的比例对微软 Azure 等云服务提供商的攻击。 • 知识— 他们知道的一些东西，比如PIN码或密码• 占有— 他们拥有的东西，比如一张卡片或一个钥匙扣• 内禀— 他们所是的东西，就像生物识别 我该如何阻止它？ 一些身份验证保护措施可以防止暴力破解攻击，从监控和限制异常IP地址数量的方案到区分机器人与真实用户的验证码。通过这些保护措施补充强客户认证 (SCA)— 一种专门针对暴力破解攻击设计的MFA — 以防止破解的密码让攻击者立即访问用户账户。 账户接管欺诈 它是什么？ 鲁棒风险管理系统提供了许多用于打击账户接管欺诈的附加工具，包括： 账户接管欺诈发生在恶意行为者通过被盗密码或暴力破解攻击等方式获取用户账户访问权限，并执行未经授权的交易时。对受害者造成的后果往往非常严重，从经济损失到直接的身份盗窃都有可能。恶意软件攻击、远程访问软件和社会工程诈骗也可能导致账户接管欺诈。 •实时分析可标记不安全的配置、恶意软件、远程访问工具和其他非人类活动 •高级机器学习算法收集和分析所谓的行为生物特征——用户打字或握持手机的方式、他们依赖的设备和操作系统、他们的IP地址和地理位置——以发现异常活动 我该如何阻止它？ 由于原因各不相同，预防账户接管欺诈需要一个多层次的策略。强客户认证（SCA）提供了关键的第一道防线，防止被盗的凭证让攻击者自动进入用户的账户。使用加密技术将设备与其所有者的身份联系起来的推送认证通知特别有效，因为它们使得攻击者在没有物理访问其手机、平板电脑或笔记本电脑的情况下无法冒充他人。 •能够让您针对不同情况做出不同反应、并在例如交易异常大或发起于非正常时间时提高身份验证要求的事务风险评估 有些系统只包含其中一到两款工具，但值得寻找一个能够提供所有三款的解决方案——尤其是因为它还能帮助你应对其他类型的欺诈。（我们将在接下来的几页中介绍这一点。） 网络钓鱼、短信钓鱼和语音钓鱼 分层胜出 它是什么？ 网络钓鱼、短信钓鱼和语音钓鱼是一种社会工程形式，诱骗个人泄露敏感信息——无论是登录凭据还是多因素认证码——以获取账户访问权限。变体包括： 安全专业人员经常谈论多层策略的重要性，其中不同的技术针对不同类型的威胁——每层都有备用方案来弥补任何剩余的缺口或缺陷。这是因为多层解决方案不仅仅是一个部分的总和。各个层对于应对特定风险至关重要，而它们一起工作以优化性能并防止潜在威胁被遗漏。多层解决方案还可以在不增加用户摩擦的情况下减少误报。 •网络钓鱼攻击使用欺诈性电子邮件诱骗用户进入他们认为合法的网站（但实际上只是设计用来诱骗他们输入登录信息，然后窃取数据） •网络钓鱼使用短信、文本消息和假冒应用程序来实现相同的目标 •钓鱼电话依赖于电话，其中诈骗者（或他们的AI代理）冒充政府或商业官员来诱骗受害者分享信息 我该如何阻止它？ The风险管理我们上一节刚刚讨论过的系统在账户信息被泄露时表现得尤为突出。这是因为它们结合了人工智能和复杂的数据分析，以提供实时视图，显示出哪些登录和交易是——以及不是——正常的。你对用户登录和交易方式了解得越多，就越能快速发现异常活动……并阻止它导致欺诈。 授权推送支付欺诈（APP） 它是什么？ APP诈骗者欺骗受害者并非是为了泄露信息，而是诱使其自愿将资金转移到诈骗者的账户。一些攻击者通过冒充可信赖的个人或权威机构来进行此操作，而另一些攻击者则建立虚假慈善机构或欺诈性电商平台。APP诈骗尤其具有破坏性，因为其受害者会授权每一笔支付，使得追回资金变得困难——尽管在英国，银行必须尝试（因为它们现在需要承担每次事件高达85,000英镑的损害赔偿责任）。 我该如何阻止它？ 获取有关正常与异常情况的、数据驱动的视角对于阻止APP欺诈至关重要。用户通常如何、何时以及在何处进行交易？交易是否偏离了这些模式，或者是否符合已知威胁或攻击向量的特征？客户在恶意软件运行时是否正在通话中？强大的风险管理系統可以以单一、易于实施的技术提供此类分析——并利用相对较少的数据识别新威胁。 为了最大化灵活性并最小化运营成本，寻找一种能够使您自定义对各种交易和风险类型的响应方式（无论是警报还是自动阻止）的解决方案。同时，找到易于集成到现有应用程序和门户的解决方案也很重要，因为它能为用户提供最佳体验。 恶意软件 它是什么？ 恶意软件无处不在，但由于针对移动银行应用程序和服务的恶意软件种类繁多，它对金融服务提供者尤其有害。一些程序模仿合法应用程序或网站的界面来捕获人们的登录凭证。另一些程序拦截短信并发起欺诈性转账——甚至允许攻击者控制设备。全球移动银行恶意软件2023年增长了32%，根据卡巴斯基的说法。