学資援助サイバー犯罪から保護し、顧客との信頼関係を築く
昨年、私の妻が博士課程に通い始めたとき、一連の学資援助フィッシング メールを受信するようになりました。このようなメールは広範囲をターゲットにしながらも、同等のブランディング、同様のドメイン名、行動喚起を用いて専門的に見せかけようとしていましたが、頼んだものでない上に、緊急性を持たせる行動喚起でした。よく確認してみると、そのメールはフィッシングだったのです。妻はすぐにMicrosoft Outlookで[フィッシングとして報告]を押してメールを削除しましたが、この件で私は学資援助詐欺の影響について考えさせられました。
米国では、約4,300万人が中央値で約37,000ドルの学生ローン残高を抱えています。National Center for Education Statisticsによると、学生のほぼ80%が学資援助を受けています。学生ローンを抱える人口や、学資援助を受けている人口がかなりの数に達していることから、攻撃者はこの巨大な市場を主要なターゲットとみなしています。Forbesは、2022年の学生ローン詐欺被害額が50億ドルを超えたと報告しています。詐欺に関する指標は、単なる憂鬱な統計ではありません。実際に被害に遭った人々に影響を与えます。新卒者は、就職する際の初期のキャリア基盤が崩れるのを目の当たりにしています。
債権回収会社と借り手のリスク
学生ローンの債権回収会社は一般的に、学生ローンや学資援助詐欺に関連する4種類のリスクを抱えています。
- 新規口座開設詐欺
- アカウント乗っ取り
- 個人情報の窃取
- 不正請求
4つのリスクはすべて、数多くの共通する結果をもたらします。ただし、ビジネスに最も重大な影響を与える2つの結果は、顧客との信頼関係と攻撃に伴うコストです。借り手がブランドに関連した不正なアカウント行動、詐欺、または個人情報の窃取の被害に遭った場合、借り手と貸し手の間の信頼関係は損なわれます。インシデント後、信頼関係を再構築するのは非常に難しく、時間がかかります。同様に、攻撃が成功した場合、組織にとって復旧作業には莫大な費用がかかります。この場合、悪夢のようなシナリオとなることがほとんどです。
借り手は、学生ローン、ローン統合、債務救済に関する詐欺で犯罪者の大きなターゲットとなっています。私の妻が受けたフィッシング攻撃のように、サイバー犯罪者は学生の弱点を突き、学生が公式のサービスと間違えてアカウントへのアクセスを許可したり、PIIを提供したりすると予測しています。FBIが2022年10月に発行した通知の中で、FBIは、サイバー犯罪者が卒業生をターゲットに、詐欺的なUnited States Student Loan Debt Relief Planの申請支援を申し出ていると借り手に警告しました。
困難な作業を驚くほど簡単に行う
2022年、カナダの政府機関は、学生の学資援助とCOVID-19のパンデミック救済に関する分散型サービス拒否(DDoS)、ボット、詐欺といった憂慮すべき一連の問題に直面しました。同機関がこれらの攻撃の軽減支援を求めるためにF5に連絡した際、当社はF5 Distributed Cloud Servicesの広範な概念実証を開始しました。この概念実証により、不正なアプリケーション トラフィックを発見する高度なシグナルを示し、アプリケーション全体にわたる完全なセキュリティの可視化の重要性を理解することができました。
概念実証中に、重大な不正請求とアカウント行動を示すデータの不規則性を発見しました。憂慮すべき結果を発見した後、当社は直ちに同組織のサイバー犯罪対策チームに、その結果をCISOおよびセキュリティ組織内の他の主要リーダーに報告するよう警告しました。このブリーフィングの後、CISOは調査を称賛する次のようなメールをF5に送りました。
「貴社が提示している内容は、私が33年のキャリアで見てきた中で、この種のデータを最も明確で鮮明に提示してくれています。」
現在、この政府組織は保護されており、常に攻撃者の先手を打って対処できています。F5 Distributed Cloud Bot Defenseを使用することで、同組織は300万ドルを超える不正請求を阻止できました。その成果として、将来の不正行為を解決し防止するための堅牢なサービスを迅速かつシームレスに導入できました。セキュリティ チームと消費者にとっての最良の成果の1つは、夜間の保護と安心感が向上したことです。
F5 Distributed Cloud Platformは、マルチクラウド、オンプレミス、エッジ環境全体でボットや自動攻撃からアプリケーションを保護し、単一のポータルで管理します。セキュリティ専門家は、ボリューム型攻撃に対してDDoS攻撃の緩和を導入し、ボットをリアルタイムで軽減して、不正対策と認証インテリジェンスのための強力なAIを使用してアカウントを保護すると同時に、正当なリピート顧客のログインの煩雑さを解消できます。
学生ローンの借り手を守るために共有しておくべきヒント
学生や卒業生は、オンライン アカウントに対して堅牢なデジタル ハイジーンを維持する必要があります。攻撃者は、一般的にクレデンシャル スタッフィングやブルート フォース攻撃を使用するため、借り手や学資援助の受取人は、パスワード、多要素認証、連絡先情報の更新などを中心に検討することで、アカウントに不正アクセスされる可能性を最小限に抑える措置を講じることができます。
- フィッシングに抵抗:ほとんどの攻撃は、単純なフィッシング メールから始まります。ローン免除の申し出や、大学関係者を装った人物からFSA IDやパスワードなどの情報を要求された場合は不審に思うように借り手を教育することが重要です。
- パスワード:今のところ、パスワードが廃止されることはありません。したがって、パスワードを使用する必要がある場合は、強力で一意のパスワードを使用し、定期的に変更して、パスワード マネージャーの使用を検討してください。Security.orgによると、mycollege1のような単純なパスワードは、コンピュータ アルゴリズムによって約1日ほどで解読される可能性がありますが、dwf19g-3Y&es-cBE@!sなどのランダム化されたパスワードは、一生かけても解読されることはないでしょう。暗号化されたパスワード マネージャーを使用すれば、ランダム化された長いパスワードを覚えておく必要がなくなります。AppleのiCloudキーチェーンや1Passwordなどのパスワード マネージャーは、提案と自動入力を行うことができるため、煩雑さが軽減されます。
- 多要素認証(MFA):パスワードが漏洩し、クレデンシャル スタッフィング攻撃で使用された場合、MFAが次の防御として重要になります。MFAを利用すると、サインイン試行を完了するには2つ目のワンタイム生成コードが必要になります。Apple(iCloudキーチェーンを使用してmacOSおよびiOSに組み込まれている)、Microsoft(Microsoft Authenticator)、1Passwordで提供される多要素認証など、いくつかの多要素認証アプリが利用可能です。
- 連絡先情報:毎日を慌ただしく過ごしていると、古い住所、電話番号、メール アドレス、氏名の登録場所を忘れやすくなります。連絡先情報を更新すると、通知が見られるのを防いだり、攻撃者が古い情報を利用してアカウントに不正アクセスすることを防ぐことができます。
犯罪者が手口を変えるよりも早く適応
債権回収会社と借り手がサイバーセキュリティに対して共通の取り組みを行うことは不可欠です。セキュリティは、信頼関係を築き、将来の攻撃の可能性を最小限に抑えるための土台とならなければなりません。プロアクティブなセキュリティの実装で、お互いのデジタル生活を安全に保ちましょう。貸し手や債権回収会社は、F5 Distributed Cloud Bot Defenseを利用すれば、防御対策を回避するための犯罪者の巧妙化を阻止すると同時に、組織がボットよりも先手を打って対処し、長期的な有効性を実現して顧客の不満を解消できます。ボットがビジネスに与える影響の無料評価を通じて、F5 Distributed Cloud Bot Defenseによってどのように不正なアカウントの作成を92%削減し、クレデンシャル スタッフィング攻撃のコストを96%削減できるかをご覧ください。