新常態下如何打擊機構支付欺詐：保護核心支付系統的三大支柱

　　Swift發布了《新常態下打擊機構支付欺詐：基本辯護、反措施和最佳做法》。

　　報告闡述了金融機構在防范支付欺詐方面面臨的挑戰，Swift公司通過安全計劃確定的攻擊模式和行為特征，以及金融機構在變化或不確定時期應采用的保持安全的工具、做法和工作文化。

　　保護核心支付系統的三大支柱

　　一、繼續在整個組織中建立網絡意識文化

　　確保在整個組織內傳播意識，向發現新威脅的員工發布具體和相關的信息。

　　麻省理工學院研究表明，在動亂或危機時期，傳統的溝通方式和培訓員工如何保持安全的方式已經趕不上惡意行為者的邪惡手段。

　　許多員工從安全的辦公環境過渡到在家工作，沒有任何警告或專業培訓。在國內更容易受到網絡犯罪分子的網絡釣魚企圖，因為其個人生活和工作生活或多或少地融合在一起。

　　網絡犯罪分子試圖利用這一點，通過發送偽裝成來自知名品牌的惡意電子郵件。他們可能會要求人們“升級”或“了解新的安全漏洞”，還制造假網站，讓人們點擊下載惡意軟件。

　　二、根據不斷演變的威脅審查流程：使用物理令牌進行多因素身份驗證

　　物理令牌支持多因素身份驗證過程的原理，其中用戶必須輸入多條信息才能訪問其機構內的安全系統。

　　作為有效網絡安全的基石，物理代幣不能虛擬復制，必須在訪問機構支付系統時使用。

　　只要它們留在機構指定員工手中，實物代幣就消除了一個簡單的密碼泄露可能讓欺詐者進入支付系統的可能性。

　　三、通過實施支付安全控制，自動識別和停止非正常支付

采用4eyes技術防范單點故障

　　在機構支付欺詐中發現的一種反復出現的模式是，網絡犯罪分子從機構內部發送支付，就好像他們是機構自己的雇員一樣。要么竊取個人的登錄憑證，要么從機構自己的員工那里獲得同謀支持。

　　至關重要的是，增加控制機制，確保關鍵行動不能由單一用戶執行，消除任何個人成為其機構單一故障點的可能性。因為在全球危機之后，企業希望恢復到一種新的正常狀態，在這種情況下，工作模式可能會中斷，或者員工更替率高于正常水平。

　　除了分離用戶職責的流程(用戶只能訪問機構已將其列入白名單的數據和功能)之外，機構還應在關鍵操作上采用“4eyes”控制，如審查阻止警報、激活新規則、更改警報設置和更改用戶權限。這大大降低了通過一個人的登錄詳細信息進行欺詐的風險，因為至少有兩個人必須批準更改。

　　報告總結

　　欺詐威脅不斷演變。沒有人知道網絡犯罪分子會如何調整他們的策略，以利用不斷變化的環境和行業運作的格局。

　　積極培養網絡安全意識和最佳做法的文化，與更廣泛的社區共享情報，并采用正確的工具和政策，這些都是應對不斷演變的機構支付欺詐風險的關鍵措施，尤其是在業務連續性中斷的時候。

　　文本由@云閑 原創發布于三個皮匠報告網站，未經授權禁止轉載。

　　數據來源：《Swift：新常態下打擊機構支付欺詐：基本辯護、反措施和最佳做法》。