ブログ

財政援助のサイバー犯罪から保護することで顧客の信頼を築く

ハンター・スミットのサムネイル
ハンター・スミット
2023年4月10日公開

昨年、妻が博士課程を始めたとき、奨学金を騙るフィッシングメールを何度も受け取るようになりました。 ターゲットは広範囲でしたが、類似のブランド、類似のドメイン名、行動喚起を使用してプロフェッショナルな印象を与えようとしました。しかし、それらは一方的なものであり、行動喚起は緊急のものでした。 よく見てみると、それはフィッシング詐欺でした。 彼女はすぐに Microsoft Outlook で「フィッシングとして報告」をクリックし、メールを削除しましたが、私は財政援助詐欺の影響について考えるようになりました。

米国では、約4,300 万人が平均約 37,000 ドルの学生ローン残高を抱えています国立教育統計センターによると、学生の約80%が経済援助を受けている。 学生ローンを負い、経済的援助を受けている人口が相当数いるため、悪質な行為者はこの大規模な市場を主なターゲットと見なしています。 フォーブスは、2022年に学生ローン詐欺の被害額が50億ドルを超えたと報じた。 不正な指標は単に憂鬱な統計というだけでなく、実際の人々に影響を与えます。例えば、新卒者が就職すると、初期のキャリアの基盤に混乱が生じることになります。

サービス提供者と借り手のリスク

学生ローンサービス業者は、一般的に、学生ローンおよび財政援助詐欺に関連する 4 種類のリスクを認識しています。

  • 新規口座開設詐欺
  • アカウント乗っ取り
  • 個人情報の盗難
  • 不正請求

これら 4 つのリスクはすべて、数多くの共通する結果をもたらしますが、ビジネスに最も重大な影響を与える 2 つの結果は、顧客の信頼と攻撃に関連するコストです。 借り手がブランドに関連した不正なアカウント操作、詐欺、または個人情報の盗難に遭うと、借り手と貸し手の間の信頼が損なわれます。 事件後、信頼を再構築するのは非常に困難で時間がかかります。 同様に、攻撃が成功した場合、組織にとって回復作業は莫大な費用がかかります。 これらはしばしば悪夢のようなシナリオです。

借り手は、学生ローン、ローン統合、債務軽減を装った詐欺を働く犯罪者の標的になりやすい。 サイバー犯罪者は、私の妻が受けたフィッシング詐欺のように、学生を餌食にし、学生が学生を公式サービスと勘違いしてアカウントへのアクセスを承認するか、個人情報を提供すると予測しています。2022年10月にFBIが発行した通知で、FBIは借り手に、サイバー犯罪者が米国学生ローン債務救済計画のapplication支援を不正に提供する卒業生を狙っていると警告しました。

困難なことを驚くほど簡単にする

2022 年、カナダの政府機関は、学生の財政援助と COVID-19 パンデミック救済に関して、一連の分散型サービス拒否 (DDoS)、ボット、詐欺の問題に直面しました。 この組織がこれらの攻撃を軽減するために支援を求めて F5 に連絡したとき、私たちは F5 分散クラウド サービスの広範な概念実証を開始しました。 概念実証により、不正なapplicationトラフィックを発見するための高度なシグナルが示され、applications全体にわたる完全なセキュリティ可視性の重要性が明らかになりました。

概念実証中に、重大な不正請求やアカウントの動作を示唆するデータの不規則性が見つかりました。 憂慮すべき結果が判明したため、当社は直ちにサイバー犯罪対策チームに警告し、その結果を CISO およびセキュリティ組織内のその他の主要リーダーに報告するよう依頼しました。 この説明の後、CISO は F5 に電子メールを送り、この研究を称賛し、次のように述べました。

「あなたのプレゼンテーション方法は、私が 33 年間のキャリアで見た中で、この種のデータを提示する最も明確で鮮明な方法です。」

現在、この政府機関は保護されており、常に攻撃者よりも数歩先を進んでいます。 F5 Distributed Cloud Bot Defenseを使用することで、300 万ドルを超える不正請求を阻止しました。 彼らが得たのは、将来の不正行為を解決し防止するための堅牢なサービスを迅速かつシームレスに展開する能力でした。 最も大きな成果の 1 つは、セキュリティ チームと消費者の夜間の保護と安心感が強化されたことです。

F5 分散クラウド プラットフォームは、単一のポータルで管理され、マルチクラウド、オンプレミス、エッジ環境全体にわたってボットや自動攻撃からapplicationsを保護します。 セキュリティ専門家は、ボリューム型攻撃に対する DDoS 緩和策を展開し、ボットをリアルタイムで緩和し、不正対策と認証インテリジェンスのための強力な AI を使用してアカウントを保護しながら、正当なリピーターのログインの煩わしさを解消できます。

学生ローンの借り手を保護するためのヒントを共有しましょう

学生と卒業生は、オンライン アカウントに対して強固なデジタル衛生を維持する必要があります。 攻撃者はクレデンシャル スタッフィングやブルートフォース攻撃を頻繁に利用するので、借り手や財政援助の受給者は、パスワード、多要素認証、連絡先情報を最新の状態に保つことに重点を置くことで、不正なアカウントアクセスの可能性を最小限に抑える対策を講じることができます。

  • フィッシングに抵抗する: ほとんどの攻撃は単純なフィッシング メールから始まります。 借り手に対して、ローン免除の申し出や、大学の関係者を装って FSA ID やパスワードなどの情報を求める人物に対して疑念を抱くように教育することが重要です。
  • パスワード: 今のところ、パスワードはなくなることはありません。 したがって、パスワードを使用する必要がある場合は、強力で一意のパスワードを使用し、定期的に変更し、パスワード マネージャーの使用を検討してください。 Security.orgによると、 mycollege1のような単純なパスワードをコンピュータ アルゴリズムで解読するには 1 日ほどかかります。しかし、 dwf19g-3Y&es-cBE@!sのようなランダムなパスワードの場合は、一生以上かかる可能性があります。 暗号化されたパスワード マネージャーを使用すると、長くてランダムなパスワードを覚えておく必要がなくなります。 Apple の iCloud Keychain1Passwordなどのパスワード マネージャーは、パスワードの提案や自動入力が可能で、みんなの生活を少し楽にしてくれます。 
  • 多要素認証 (MFA): パスワードが漏洩し、クレデンシャル スタッフィング攻撃中に使用された場合は、MFA が次の重要な防御手段になります。 MFA により、サインイン試行を完了するには、2 回目に生成された 1 回限りのコードが必要になります。 多要素認証アプリはいくつかあり、その中には Apple (iCloud キーチェーンを使用して macOS および iOS に組み込まれている)、 Microsoft (Microsoft Authenticator)、1Password などが提供するアプリが含まれます。
  • 連絡先: 生活が忙しくなると、古い住所、電話番号、電子メール アドレス、名前を誰が持っているかを忘れやすくなります。 連絡先情報を更新すると、通知が見逃されたり、悪意のある人物が古い情報を利用して不正にアカウントにアクセスするのを防ぐことができます。

犯罪者を更生させるよりも早く適応する

サービス提供者と借り手の間でサイバーセキュリティに対する共通の取り組みが必須です。 セキュリティは、信頼を構築し、将来の攻撃の可能性を最小限に抑えるための基礎となる要素でなければなりません。 積極的なセキュリティ実装により、お互いのデジタルライフを安全に保ちましょう。 融資業者やサービス業者にとって、F5 Distributed Cloud Bot Defense は、組織をボットの先導状態に保ちながら、犯罪者が防御を回避するためにツールを変更するのを阻止し、長期的な有効性と顧客との摩擦ゼロを実現します。 無料のボット ビジネス影響評価により、 F5 Distributed Cloud Bot Defense が不正なアカウント作成を 92% 削減し、クレデンシャル スタッフィング攻撃のコストを 96% 削減する方法をご確認ください。