在当今快速发展的金融格局中,随着银行不断扩大服务范围并采用创新技术,他们发现自己处于一把双刃剑的最前沿。虽然这些进步为客户带来了更大的便利和可及性,但它们也在无意中使金融行业面临不断变化的新兴欺诈趋势。新产品和安全控制之间的微妙平衡是现代银行业挑战的关键部分。在这篇博客中,我们探讨了这样一个例子。
IBM Security Trusteer 最近观察到西班牙一家零售银行的一个新趋势,即创建用于欺诈目的的虚拟信用卡,结果证明这是发行银行的一项几乎没有受到保护的服务。欺诈者利用它骗取受害者的全部账户余额,重新发明了一种已知且有效的骗局。
诈骗,一步步发生
每个安全攻击都有独特的结构和流程。我们将在这里检查这种特定欺诈的流程。
- 欺诈者通过向受害者发送短信来发起攻击。该短信将显示在与银行之前发送的消息相同的部分下。这是通过一种称为短信欺骗的策略来完成的。短信欺骗的主题超出了本博客的范围,但确实是这种欺诈流程的推动者。
- 诈骗者冒充银行,通过短信告知受害者其银行账户存在安全问题。他们进一步解释说,银行代表很快就会打电话给受害者,并提供一个数字代码来识别自己的身份。消息中也提供了代码。
- 接下来,诈骗者致电受害者,提供之前发送的短信中的代码来“识别”自己并详细说明安全问题:他们经常声称受害者的银行帐户已被盗用,为了保护资金,他们需要转移并将其存入为他们创建的新银行账户。
- 请注意,欺诈者通过短信和此时提供的代码建立了可靠性。受到压力的受害者向欺诈者提供了他们的凭据,允许他们登录银行账户。
- 此时,诈骗者有两种选择。他们可以尝试使用传统的电汇清空银行账户。然而,这些通常有特定的每日限额,受到银行的欺诈活动监控,并且需要欺诈性目标账户(也称为骡子账户)。第二种选择是创建虚拟信用卡,这是一种方便的选择,原因如下:
- 无每日限额:虚拟卡的限额为数千欧元,但诈骗者可以在受害者账户余额允许的情况下创建尽可能多的虚拟卡。例如,如果受害者的账户中有 10,000 欧元,欺诈者可以创建多张虚拟卡,每张限额为数千欧元。此操作需要身份验证,但受害者在压力下提供了2FA。
- 不需要骡子账户:信用卡创建后,欺诈者就会用它来购买加密货币并从传统银行系统中消失。
这种MO于 2023 年初出现,并慢慢流行起来。它现在危害了 41-48% 的欺诈性“交易”尝试。
信托人的解决方案
目前,虚拟信用卡的创建只能通过浏览器(而不是银行应用程序)进行。因此,我们通过分析用户流数据 (URL) 和交易数据来解决这一欺诈问题。
一般来说,用户流数据可以为帐户中潜在风险和未经授权的操作提供有价值的见解。这包括但不限于:
- 重置密码——实际登录之前发生的操作
- 更改联系方式,例如电话号码
- 交易限额变更
- 注册新设备以接收软令牌 (2FA)
用户流分析的先决条件是对银行应用程序的所有流的完全可见性,并在会话期间(登录前或登录后)的正确时间进行风险评估。
一旦 Trusteer 的系统中提供了数据,我们的欺诈预防解决方案就可以将数据纳入安全策略中。
在这种特定情况下,Trusteer 会向银行发出可疑虚拟信用卡创建的警报,以便他们采取行动。
银行必须注意什么
随着银行不断创新并推出新服务以满足客户的期望,同时也为欺诈提供了新的机会。端到端可见性和强大的数据收集是为新产品创建安全控制的关键。
通过使用Trusteer 的风险评估,银行拥有必要的资源来保持领先地位并及时识别和防止不断发展的欺诈趋势。这种方法可以保护银行及其尊贵客户的信任。
原文始发于微信公众号(祺印说信安):网络旧骗局的重新发明
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论