재정 지원 사이버 범죄로부터 보호하여 고객 신뢰 구축

학자금 대출 서비스 제공자는 일반적으로 학자금 대출 및 재정 지원 사기와 관련된 4가지 유형의 위험을 확인합니다.

• 신규 계좌 개설 사기
• 계정 인수
• 신원 도용
• 사기 청구

네 가지 위험은 모두 여러 가지 공통적인 결과를 초래합니다. 그러나 비즈니스에 가장 큰 영향을 미치는 두 가지 결과는 고객 신뢰와 공격 관련 비용입니다. 대출인이 브랜드와 관련된 무단 계좌 행위, 사기 또는 신원 도용 등의 피해를 입는 경우 대출인과 대출인 간의 신뢰가 손상됩니다. 사건 발생 후에 신뢰를 회복하는 것은 매우 어렵고 시간이 많이 걸립니다. 마찬가지로, 공격이 성공하면 해당 조직은 복구 작업에 엄청난 비용을 지출하게 됩니다. 이는 종종 악몽 같은 상황입니다.

범죄자들은 학자금 대출, 대출 통합, 부채 면제 등을 사기로 삼아 대출자들을 주요 타깃으로 삼습니다. 사이버 범죄자들은 제 아내가 받은 피싱 시도처럼 학생들을 노리고, 공식 서비스로 착각하여 계정 접근을 승인하거나 PII를 제공할 것이라고 예측합니다. FBI가 2022년 10월에 발행한 통지문 에서, 이 기관은 사이버 범죄자들이 사기성 미국 학자금 대출 부채 구제 계획 신청 지원을 제공하는 졸업생을 노리고 있다고 대출자들에게 경고했습니다.

2022년에 캐나다 정부 기관은 학자금 지원과 코로나19 팬데믹 구호를 위해 분산 서비스 거부(DDoS), 봇 공격, 사기 등의 우려스러운 문제에 직면했습니다. 이 조직이 이러한 공격 완화에 대한 지원을 요청하기 위해 F5에 연락했을 때, 우리는 F5 분산 클라우드 서비스에 대한 광범위한 개념 증명을 시작했습니다. 개념 증명을 통해 애플리케이션 전반에서 완벽한 보안 가시성이 중요하다는 사실을 확인하고 사기성 애플리케이션 트래픽을 밝혀내기 위한 고급 신호를 선보였습니다.

개념 증명 과정에서 우리는 상당한 사기성 청구 및 계정 동작을 시사하는 데이터 불규칙성을 발견했습니다. 놀라운 결과를 발견하자마자, 우리는 즉시 해당 사이버범죄 대응팀에 경고하여 보안 기관의 CISO 및 다른 주요 리더들에게 결과를 보고하도록 했습니다. 이 브리핑 이후, CISO는 F5에 이메일을 보내 연구 결과를 칭찬하며 다음과 같이 말했습니다.

"당신이 제시하는 방식은 제가 33년 동안의 경력에서 본 것 중 가장 명확하고 선명한 유형의 데이터를 제시하는 방식입니다."

오늘날 이 정부 기관은 보호를 받고 있으며 항상 공격자보다 몇 발 앞서 있습니다. F5 Distributed Cloud Bot Defense를 사용하여 300만 달러 이상의 사기 청구를 차단했습니다. 그들이 얻은 교훈은 향후 사기를 해결하고 예방하기 위해 견고한 서비스를 빠르고 원활하게 구축할 수 있는 능력이었습니다. 가장 좋은 결과 중 하나는 보안팀과 소비자 모두에게 밤에 보안이 강화되고 마음의 평화가 찾아왔다는 것입니다.

F5 분산 클라우드 플랫폼은 단일 포털에서 관리되는 멀티 클라우드, 온프레미스, 엣지 환경에서 봇 및 자동화된 공격으로부터 애플리케이션을 보호합니다. 보안 전문가는 볼륨형 공격에 대비해 DDoS 완화 시스템을 구축하고, 실시간으로 봇을 완화하고, 강력한 AI를 사용하여 사기 방지 및 인증 인텔리전스를 제공하는 동시에 합법적으로 다시 방문한 고객의 로그인 마찰을 제거하여 계정을 보호할 수 있습니다.

학생과 졸업생은 온라인 계정에서 강력한 디지털 위생 관리를 유지해야 합니다. 공격자는 일반적으로 신임장 정보 입력 및 무차별 대입 공격을 활용하므로, 대출인과 재정 지원 수혜자는 비밀번호, 다중 인증 및 연락처 정보 최신 상태에 집중하여 계정 무단 접근 가능성을 최소화하기 위한 조치를 취할 수 있습니다.

• 피싱에 저항하세요: 대부분의 공격은 간단한 피싱 이메일로 시작됩니다. 대출 면제 제안이나 대학 출신이라고 가장하여 FSA ID와 비밀번호와 같은 정보를 요구하는 사람을 대출인에게 의심하도록 교육하는 것이 중요합니다.
• 비밀번호: 지금으로선 비밀번호가 사라지지 않을 겁니다. 따라서 꼭 사용해야 한다면 강력하고 고유한 비밀번호를 사용하고, 정기적으로 비밀번호를 변경하고, 비밀번호 관리자를 사용하는 것을 고려하세요. Security.org 에 따르면, mycollege1 과 같은 간단한 비밀번호를 컴퓨터 알고리즘으로 해독하려면 약 하루가 걸립니다. 그러나 dwf19g-3Y&es-cBE@!s 와 같은 무작위 비밀번호는 평생보다 더 오래 걸릴 수 있습니다. 암호화된 비밀번호 관리자를 사용하면 길고 무작위로 구성된 비밀번호를 기억할 필요가 없습니다. Apple의 iCloud Keychain 과 1Password 와 같은 비밀번호 관리자는 비밀번호를 제안하고 자동 완성해 모든 사람의 삶을 조금 더 편리하게 만들어줍니다. 
• 다중 인증 요소(MFA): 자격 증명 채우기 공격 중에 비밀번호가 유출되어 사용되면 MFA가 필수적인 차기 방어수단이 됩니다. MFA는 로그인 시도를 완료하기 위해 두 번째, 일회용 코드가 필요하도록 보장합니다. Apple(iCloud Keychain이 포함된 macOS 및 iOS에 내장됨), Microsoft (Microsoft Authenticator), 1Password 등 여러 가지 다중 요소 인증 앱을 사용할 수 있습니다.
• 연락처 정보: 삶이 바빠지면 누가 오래된 우편 주소, 전화번호, 이메일 주소, 이름을 가지고 있는지 잊기 쉽습니다. 연락처 정보를 업데이트하면 알림이 누락되는 것을 방지하고 악의적인 행위자가 오래된 정보를 이용해 계정에 무단으로 접근하는 것을 방지하는 데 도움이 됩니다.