Bauen Sie Kundenvertrauen auf, indem Sie sich vor Cyberkriminalität im Zusammenhang mit Finanzhilfen schützen

Anbieter von Studienkrediten sehen im Allgemeinen vier Arten von Risiken im Zusammenhang mit Studienkredit- und Finanzhilfebetrug:

• Betrug bei der Eröffnung neuer Konten
• Kontoübernahme
• Identitätsdiebstahl
• Betrügerische Ansprüche

Alle vier Risiken haben zahlreiche gemeinsame Konsequenzen. Die beiden Konsequenzen mit den größten Auswirkungen auf das Geschäft sind jedoch das Vertrauen der Kunden und die mit den Angriffen verbundenen Kosten. Das Vertrauen zwischen Kreditnehmern und Kreditgebern wird beschädigt, wenn Kreditnehmer unter nicht autorisiertem Kontoverhalten, Betrug oder Identitätsdiebstahl im Zusammenhang mit einer Marke leiden. Nach einem Vorfall ist der Wiederaufbau des Vertrauens äußerst schwierig und zeitaufwändig. Ebenso sind im Falle erfolgreicher Angriffe die Wiederherstellungsbemühungen für das Unternehmen enorm kostspielig. Dies sind oft Albtraumszenarien.

Kreditnehmer sind häufig das Ziel von Betrügereien im Zusammenhang mit Studienkrediten, Kreditkonsolidierung und Schuldenerlass. Cyberkriminelle machen Jagd auf Studenten, wie bei den Phishing-Versuchen, die meine Frau erlebte. Sie gehen davon aus, dass sie sie mit offiziellen Diensten verwechseln und entweder den Kontozugriff autorisieren oder personenbezogene Daten bereitstellen. In einer Mitteilung des FBI vom Oktober 2022 warnte das Amt Kreditnehmer, dass Cyberkriminelle es auf Absolventen abgesehen haben und betrügerische Unterstützung bei der Beantragung des US-amerikanischen Studentendarlehens- Application anbieten.

Im Jahr 2022 war eine kanadische Regierungsbehörde im Zusammenhang mit der finanziellen Unterstützung von Studenten und der COVID-19-Pandemiehilfe mit einer Reihe alarmierender Probleme mit Distributed-Denial-of-Service-Angriffen (DDoS), Bot- und Betrugsangriffen konfrontiert. Als diese Organisation F5 mit der Bitte um Unterstützung bei der Eindämmung dieser Angriffe kontaktierte, begannen wir mit einem umfassenden Proof of Concept für F5 Distributed Cloud Services. Durch den Proof of Concept wurde ihnen die Bedeutung einer vollständigen Sicherheitstransparenz für alle ihre Applications vor Augen geführt und es wurden erweiterte Signale zur Aufdeckung betrügerischen Application präsentiert.

Während des Proof of Concept stellten wir Datenunregelmäßigkeiten fest, die auf erhebliches betrügerisches Verhalten bei Ansprüchen und Konten hinwiesen. Als wir alarmierende Ergebnisse entdeckten, alarmierten wir umgehend das Cybercrime-Einsatzteam, damit es die Erkenntnisse dem CISO und anderen wichtigen Führungskräften innerhalb der Sicherheitsorganisation vorlegte. Nach dieser Besprechung lobte der CISO die Forschungsergebnisse per E-Mail und schrieb:

„Die Art und Weise, wie Sie präsentieren, ist die klarste und prägnanteste Art und Weise, diese Art von Daten zu präsentieren, die ich in meiner 33-jährigen Karriere je gesehen habe.“

Heute ist diese Regierungsorganisation geschützt und Angreifern immer mehrere Schritte voraus. Mithilfe von F5 Distributed Cloud Bot Defense konnten sie betrügerische Forderungen im Wert von über 3 Millionen US-Dollar verhindern. Ihr Fazit war die Möglichkeit, schnell und reibungslos einen robusten Dienst bereitzustellen, um künftigen Betrug aufzudecken und zu verhindern. Zu den besten Ergebnissen gehörte ein verbesserter Schutz und eine ruhigere Nachtruhe für das Sicherheitsteam und die Verbraucher.

Die F5 Distributed Cloud Platform schützt Applications vor Bot- und automatisierten Angriffen in Multi-Cloud-, On-Premises- und Edge-Umgebungen – verwaltet über ein einziges Portal. Sicherheitsexperten können DDoS-Abwehr gegen volumetrische Angriffe einsetzen, Bots in Echtzeit abwehren und Konten mithilfe leistungsstarker KI zum Betrugsschutz und zur Authentifizierung schützen und gleichzeitig den Login-Prozess für legitime Stammkunden eliminieren.

Studierende und Absolventen sollten bei ihren Online-Konten eine strenge digitale Hygiene einhalten. Da Angreifer häufig Credential Stuffing und Brute-Force-Angriffe einsetzen, können Kreditnehmer und Empfänger finanzieller Unterstützungsleistungen Maßnahmen ergreifen, um die Wahrscheinlichkeit eines unbefugten Kontozugriffs zu minimieren, indem sie auf Passwörter und Multi-Faktor-Authentifizierung achten und ihre Kontaktinformationen immer auf dem neuesten Stand halten.

• Widerstehen Sie dem Phishing: Die meisten Angriffe beginnen mit einer einfachen Phishing-E-Mail. Es ist unbedingt erforderlich, Ihre Kreditnehmer darauf hinzuweisen, dass sie bei Angeboten zur Schuldenerlassung oder bei der Vorstellung, von ihrer Universität zu sein, misstrauisch sein sollten, wenn jemand nach Informationen wie ihrer FSA-ID und ihrem Passwort fragt.
• Passwörter: Passwörter werden vorerst nicht verschwinden. Wenn Sie sie also verwenden müssen, verwenden Sie sichere, eindeutige Passwörter, ändern Sie sie regelmäßig und ziehen Sie die Verwendung eines Passwort-Managers in Betracht. Laut Security.org könnte ein Computeralgorithmus etwa einen Tag brauchen, um ein einfaches Kennwort wie mycollege1 zu knacken; ein zufällig generiertes Kennwort wie dwf19g-3Y&es-cBE@!s könnte jedoch mehr als eine Ewigkeit dauern. Verschlüsselte Passwortmanager sorgen dafür, dass man sich keine langen, zufälligen Passwörter merken muss. Passwortmanager wie iCloud Keychain von Apple und 1Password können Vorschläge machen und automatisch ausfüllen, was das Leben aller ein wenig einfacher macht. 
• Multi-Faktor-Authentifizierung (MFA): Wenn ein Passwort durchsickert und während eines Credential Stuffing -Angriffs verwendet wird, wird MFA zur wichtigen nächsten Verteidigungsmaßnahme. MFA stellt sicher, dass zum Abschließen eines Anmeldeversuchs ein zweiter, einmalig generierter Code erforderlich ist. Es stehen mehrere Apps zur Multi-Faktor-Authentifizierung zur Verfügung, unter anderem von Apple (in macOS und iOS mit iCloud Keychain integriert), Microsoft (Microsoft Authenticator) und 1Password.
• Kontaktinformationen: Im hektischen Alltag kann man leicht vergessen, wer noch eine alte Postanschrift, Telefonnummer, E-Mail-Adresse und einen alten Namen hat. Durch die Aktualisierung der Kontaktinformationen können Sie verhindern, dass Mitteilungen übersehen werden und böswillige Akteure veraltete Informationen verwenden, um sich unbefugten Zugriff auf das Konto zu verschaffen.