新常态下如何打击机构支付欺诈：保护核心支付系统的三大支柱

　　Swift发布了《新常态下打击机构支付欺诈：基本辩护、反措施和最佳做法》。

　　报告阐述了金融机构在防范支付欺诈方面面临的挑战，Swift公司通过安全计划确定的攻击模式和行为特征，以及金融机构在变化或不确定时期应采用的保持安全的工具、做法和工作文化。

　　保护核心支付系统的三大支柱

　　一、继续在整个组织中建立网络意识文化

　　确保在整个组织内传播意识，向发现新威胁的员工发布具体和相关的信息。

　　麻省理工学院研究表明，在动乱或危机时期，传统的沟通方式和培训员工如何保持安全的方式已经赶不上恶意行为者的邪恶手段。

　　许多员工从安全的办公环境过渡到在家工作，没有任何警告或专业培训。在国内更容易受到网络犯罪分子的网络钓鱼企图，因为其个人生活和工作生活或多或少地融合在一起。

　　网络犯罪分子试图利用这一点，通过发送伪装成来自知名品牌的恶意电子邮件。他们可能会要求人们“升级”或“了解新的安全漏洞”，还制造假网站，让人们点击下载恶意软件。

　　二、根据不断演变的威胁审查流程：使用物理令牌进行多因素身份验证

　　物理令牌支持多因素身份验证过程的原理，其中用户必须输入多条信息才能访问其机构内的安全系统。

　　作为有效网络安全的基石，物理代币不能虚拟复制，必须在访问机构支付系统时使用。

　　只要它们留在机构指定员工手中，实物代币就消除了一个简单的密码泄露可能让欺诈者进入支付系统的可能性。

　　三、通过实施支付安全控制，自动识别和停止非正常支付

采用4eyes技术防范单点故障

　　在机构支付欺诈中发现的一种反复出现的模式是，网络犯罪分子从机构内部发送支付，就好像他们是机构自己的雇员一样。要么窃取个人的登录凭证，要么从机构自己的员工那里获得同谋支持。

　　至关重要的是，增加控制机制，确保关键行动不能由单一用户执行，消除任何个人成为其机构单一故障点的可能性。因为在全球危机之后，企业希望恢复到一种新的正常状态，在这种情况下，工作模式可能会中断，或者员工更替率高于正常水平。

　　除了分离用户职责的流程(用户只能访问机构已将其列入白名单的数据和功能)之外，机构还应在关键操作上采用“4eyes”控制，如审查阻止警报、激活新规则、更改警报设置和更改用户权限。这大大降低了通过一个人的登录详细信息进行欺诈的风险，因为至少有两个人必须批准更改。

　　报告总结

　　欺诈威胁不断演变。没有人知道网络犯罪分子会如何调整他们的策略，以利用不断变化的环境和行业运作的格局。

　　积极培养网络安全意识和最佳做法的文化，与更广泛的社区共享情报，并采用正确的工具和政策，这些都是应对不断演变的机构支付欺诈风险的关键措施，尤其是在业务连续性中断的时候。

　　文本由@云闲 原创发布于三个皮匠报告网站，未经授权禁止转载。

　　数据来源：《Swift：新常态下打击机构支付欺诈：基本辩护、反措施和最佳做法》。