面对严峻的数据泄露形势,企业如何开展安全合规工作?为守好用户的“钱袋子”,金融行业又该如何筑牢安全防线?
8月31日,360数科在北京举办“从再造到赋能——2022年技术开放日”活动,分享在金融科技业务运营、精准风控、智能客服和安全等方面的经验做法。
活动现场。图据主办方。
360数科信息安全专家吴业超表示,用户数据是金融企业的命脉,如果企业内部员工不慎操作敏感数据,外部受到黑客挖掘漏洞攻击,且自身缺乏风险识别防控系统,将让用户遭受诈骗风险。
当前电信诈骗话术层出不穷,诈骗手段更是变化多端,金融行业如何反诈?吴业超用了一个“淘沙”的比喻形容对抗诈骗的思路。“在我们的定义里,水相当于企业,沙相对于诈骗分子。水流而沙起——只要公司在运营,就有可能被诈骗分子盯上,而我们要想办法静下来,水静而沙沉。”
吴业超表示,这个过程中需要进行一系列对抗。他盘点了这些年针对金融行业的诈骗方式。最早期诈骗分子依靠打电话、发短信,编造“贷款利率低”“用户还款异常”“卷入违法活动”等话术骗取钱财。
后来,诈骗分子开始依靠知名社交平台发布假消息、利用仿冒的web页面及管理后台进行诈骗。作为防守的一方,金融平台的应对策略也从人工手动投诉,转变为自动识别诈骗网站,实施封禁等。
为逃避打击,诈骗分子更新了诈骗手段,转而推出仿冒App。这些App足以以假乱真,用户熟知的品牌都在其中。据吴业超介绍,后台监测发现了各种各样的仿冒App,可以说诈骗分子今天想骗哪家用户就上线哪家App。为提醒用户注意防范风险,平台上线了仿冒App扫描和风险预警API,并联合警方打击诈骗。
南都记者注意到,近期全国多地疫情进入紧张状态,最新的诈骗手段可能打着“疫情”的幌子。9月2日,凉山州反电信网络诈骗中心发布高危涉疫诈骗预警,解析多种诈骗手段。其诈骗话术包括以疫情排查、流调异常、虚假“密接信息”、核酸结果查询、领取居家隔离补贴等,而共同点都是通过电话、钓鱼链接等方式,要求受害者按提示输入身份证、银行卡、密码等信息,从而盗取银行卡内的资金。
警方提醒,疫情排查工作组不会收集市民的银行卡、网银账号密码等敏感信息。公安机关也不会线上办案,不会与涉案人员有金钱往来。遇到此类情况,一定要注意甄别,谨防诈骗。
作为信息安全从业者,吴业超表示,“诈骗手段不断翻新,我们也在寻找新的对抗方法,深入实战对抗,降低用户的损失。”
数据显示,去年360数科监测发现的诈骗电话数日均在600左右,通过识别、拦截、告知提醒用户、打击犯罪等多种手段,去年帮助用户止损2.6亿元。
据360数科介绍,公司自建的山海安全态势感知系统,追踪电信诈骗全流程环节,有效实现风险筛查、预警、识别、分析、决策、处置,持续为公安、政府和合作伙伴赋能。
值得关注的是,9月2日,反电信网络诈骗法已获十三届全国人大常委会第三十六次会议表决通过,将于2022年12月1日起施行。这为反电信网络诈骗工作提供有力法律支撑。