Construa a confiança do cliente protegendo-se contra crimes cibernéticos de assistência financeira

Os prestadores de serviços de empréstimos estudantis geralmente veem quatro tipos de riscos associados a fraudes em empréstimos estudantis e auxílio financeiro:

• Fraude de abertura de nova conta
• Account takeover
• Roubo de identidade
• Reclamações Fraudulentas

Todos os quatro riscos resultam em inúmeras consequências compartilhadas; no entanto, as duas consequências com os impactos comerciais mais significativos são a confiança do cliente e os custos relacionados a ataques. A confiança entre tomadores e credores é prejudicada quando os tomadores sofrem com comportamento de conta não autorizado, fraude ou roubo de identidade associado a uma marca. Após o incidente, a confiança é extremamente difícil e demorada de reconstruir. Da mesma forma, se os ataques forem bem-sucedidos, os esforços de recuperação serão extremamente caros para a organização. Esses geralmente são cenários de pesadelo.

Os tomadores de empréstimos são alvos frequentes de criminosos que aplicam golpes em empréstimos estudantis, consolidação de empréstimos e alívio de dívidas. Os cibercriminosos atacam os estudantes, como as tentativas de phishing que minha esposa recebeu, prevendo que eles os confundirão com serviços oficiais e autorizarão o acesso à conta ou fornecerão PII. Em um aviso emitido pelo FBI em outubro de 2022, o Bureau alertou os mutuários de que os cibercriminosos estão mirando em graduados que oferecem assistência fraudulenta para a inscrição no United States Student Loan Debt Relief Plan.

Em 2022, uma entidade governamental canadense enfrentou um conjunto alarmante de problemas de negação de serviço distribuída (DDoS), bots e fraudes para auxílio financeiro estudantil e alívio da pandemia de COVID-19. Quando esta organização contatou a F5 para ajudar a mitigar esses ataques, iniciamos uma extensa prova de conceito para os Serviços de Nuvem Distribuída da F5. A prova de conceito permitiu que eles vissem a importância da visibilidade completa da segurança em seus aplicativos, exibindo sinais avançados para descobrir tráfego fraudulento de aplicativos.

Durante a prova de conceito, encontramos irregularidades nos dados que apontavam para declarações fraudulentas substanciais e comportamento de conta. Ao descobrir resultados alarmantes, alertamos imediatamente a equipe de operações de crimes cibernéticos para apresentar as descobertas ao CISO e a outros líderes importantes da organização de segurança. Após esse briefing, o CISO enviou um e-mail à F5 aplaudindo a pesquisa, dizendo o seguinte:

"A maneira como você apresenta é a mais clara e precisa que já vi em meus 33 anos de carreira."

Hoje, essa organização governamental está protegida e sempre vários passos à frente dos invasores. Usando o F5 Distributed Cloud Bot Defense , eles bloquearam mais de US$ 3 milhões em reivindicações fraudulentas. O que eles aprenderam foi uma capacidade rápida e contínua de implantar um serviço robusto para solucionar e prevenir fraudes futuras. Um dos melhores resultados foi o aumento da proteção e da tranquilidade à noite para a equipe de segurança e os consumidores.

A F5 Distributed Cloud Platform protege aplicativos contra ataques de bots e automatizados em ambientes de várias nuvens, locais e de ponta, gerenciados por um único portal. Profissionais de segurança podem implementar mitigação de DDoS contra ataques volumétricos, mitigar bots em tempo real e proteger contas usando IA poderosa para proteção contra fraudes e inteligência de autenticação, ao mesmo tempo em que eliminam o atrito de login para clientes legítimos que retornam.

Estudantes e graduados devem manter uma higiene digital robusta para contas online. Como os invasores geralmente utilizam ataques de preenchimento de credenciais e força bruta, os tomadores de empréstimos e beneficiários de auxílio financeiro podem tomar medidas para minimizar a probabilidade de acesso não autorizado à conta, concentrando-se em senhas, autenticação multifator e mantendo as informações de contato atualizadas.

• Resista ao Phish: A maioria dos ataques começa com um simples e-mail de phishing. É essencial educar seus tomadores de empréstimo para que desconfiem de ofertas de perdão de empréstimo ou de alguém que finge ser da universidade deles pedindo informações como seu ID FSA e senha.
• Senhas: Por enquanto, as senhas não vão desaparecer. Então, se você tiver que usá-las, use senhas fortes e exclusivas, troque-as regularmente e considere usar um gerenciador de senhas. De acordo com o Security.org , uma senha simples como mycollege1 pode levar cerca de um dia para ser descoberta por um algoritmo de computador; no entanto, uma senha aleatória como dwf19g-3Y&es-cBE@!s pode levar mais de uma vida inteira. Gerenciadores de senhas criptografadas garantem que não seja necessário lembrar de senhas longas e aleatórias. Gerenciadores de senhas como o iCloud Keychain da Apple e o 1Password podem sugerir e preencher automaticamente, tornando a vida de todos um pouco mais fácil. 
• Autenticação multifator (MFA): Se uma senha for vazada e usada durante um ataque de preenchimento de credenciais, o MFA se torna uma defesa vital. O MFA garante que um segundo código gerado uma única vez seja necessário para concluir uma tentativa de login. Vários aplicativos de autenticação multifator estão disponíveis, incluindo aqueles oferecidos pela Apple (integrados ao macOS e iOS com o iCloud Keychain), Microsoft (Microsoft Authenticator) e 1Password.
• Informações de contato: À medida que a vida fica agitada, pode ser fácil esquecer quem tem um endereço postal, número de telefone, endereço de e-mail e nome antigos. Atualizar as informações de contato pode ajudar a evitar que avisos passem despercebidos e que pessoas mal-intencionadas utilizem informações desatualizadas para obter acesso não autorizado à conta.