【海外风向标】用户过滤,企业应停止为骗子“买单”

标签:CIO信息安全企业战略海外风向标

访客:40349  发表于:2015-12-25 13:34:50

【海外风向标】用户过滤,企业应停止为骗子“买单”

E行前言:虚假用户冒名盗窃企业或个人的机密信息与银行帐号的现象,在当今的社会屡见不鲜。他们为何屡屡得逞?又是如何获取我们的银行、购物、社交和个人隐私信息的呢?企业为何让他们如此恣意而为呢?

 如今,虚假的用户冒名使用帐号来进行消费,是一种十分常见而且昂贵的网络犯罪。这些假用户常常向真正的用户发送垃圾邮件或者短信,以一些欺骗性的语言来引起人们的兴趣,这些邮件和短信往往包含一个欺骗网站的链接,受害者轻信了这些信息并按提示输入他们想要的信息,随后他们就能随心所欲的使用帐户消费。例如,他们提示你的卡号已经过期,要你立即网上更换;或是散播虚假的中奖信息,骗用户登录领取。

 而这些造假者的成本是企业、用户和......他们的钱。

 在世界中,虚假用户无处不在

 近期,美国专门从事移动身份认证的解决方案企业TeleSign,和从事信息加密安全研究的波耐蒙研究所,联合做了一份名为“欺诈报告:虚假用户如何影响企业”的研究报告。根据他们调查研究得出的结论,全球82%的公司都在经受着虚假用户的威胁。

 他们调查了584名在注册、使用或管理用户账户的美国人和414名英国人,这些用户的账户平均数值是:1.17亿美元。而这些人也成为了黑客们攻击的大目标。

 TeleSign的副总裁迪斯雷利说:“你可以很快的发现层出不穷的诈骗手段,几乎每次都出现在这些用户使用网页或手机应用程序的时候。不管用户在什么地方登录了自己的帐号,虚假用户诈骗的问题就会随之而来。”

 诈骗者几乎遍布了每一个领域。而且做的很细致全面。根据这份研究,30%的虚假用户都在研究如何通过垃圾邮件诈骗真实用户,27%的人想窃取企业和个人机密信息,14%的人盯着社会工程,10%的人采用钓鱼信息,6%想要接管银行账户,4%想要创建混乱和中断的局面,从而进行信用卡欺骗,最后还有3%的人想要创建虚假评论。

 企业系统管理解决方案的提供商——Bomgar公司的高管乔.肖尔说:“一旦虚假们盯上了你,就很难被摆脱,他们会四处游走,去发现那些可能令你感兴趣或是觉得酷的东西,并继而向你伸出魔爪。只要他们贴上了你,他们就会迅速的得到任何他们想要的东西。”

 企业“买单”的原因和后果

 尽管无数的企业都在面临着虚假用户的巨大威胁,但是他们并没有为自己的真实客户构建信息保护的壁垒。根据这份研究报告,43%的公司表示他们允许任何人进入他们的企业网站,并进行注册,如此则能避免用户注册时的不和谐因素。这种观点出现的理由也是十分的多:58%的企业用户以方便性作为理由;52%的人提到成本效益;42%的人提到使用心情;而提到一个公司的认证策略和安全性的用户数量仅仅排在第四,占21%。

 通常,上述情况的发生是因为企业发展时,优先考虑的事情顺序为用户群基数—市场营销的要求—整体安全。从这个发展思路上看,用户是真实还是虚假就变得不那么重要了。

 “企业们总是希望夯实自己的基础,并召集一大批企业用户,”迪斯雷利说,“所以他们允许任何人都参与进来,来为自己的经济产生影响。”而无数企业为了扩大用户规模,而无节制的吸纳新用户,反而是为诈骗者提供了施展空间。一些企业的所谓防护行为,也只是表面现象,而这一切最终的结果是什么呢?

 答案是失去信任。研究人员发现,这些回答了调查问卷的公司们,他们应对来自虚假用户的垃圾邮件和欺诈行为的平均花费是400万美元。但同时,他们也失去了4%的合作伙伴,和9%的老客户。

 美国Groupon(团购)公司的一名被骗客户说道:“我已经把自己所有的在团购网站上的信用卡信息注销掉了,因为我觉得太不安全了,我也不打算在上面买东西了。”

 CIO的任务:保持用户群的“干净”

 Bomgar的肖尔表示防止虚假用户进入企业系统并不是那么的困难,这只是公司如何选择优先发展方向的问题。“黑客们可不是好人,”肖尔说到,他们首先跨过最低的障碍(不设防的公司),然后一步步的把自己的帐号推广向更多的公司,尤其是并不热衷于在用户注册时设置阻碍的企业。

 “骗子们很少硬闯,一遇到阻碍通常会选择迂回,”肖尔说,“但他们也很少退缩,会一直在周围尝试,总能够找到办法,譬如借助某个东西、某人或是在某个地方一举进入企业网站。而这些往往是公司防护薄弱的地方,或者他们会通过已经存在于企业空间的第三方,尤其是那些不太重视其信息保护的第三方。所以企业要扎紧自己和所有用户的篱笆,这是至关重要的。

 迪斯雷利强调,一旦企业的市场营销部门为了吸纳客户,而要求降低企业客户注册的认证级别时,CIO必须勇敢的站出来进行斗争。他说:“这份研究报告就是为了帮助CIO和决策者们,须知一个干净的用户群才是对企业最有价值的。

 E行观点

 相信很多人都和编者一样,曾经无数次接到用10086、95555(招行客服)号码发来的诈骗信息,或是以腾讯网站名义发来的更改QQ密码邮件。这些黑客们为什么能如此,而这些企业却只是一再的提醒我们,不要接受所谓的虚假信息,自己却很少去清查过滤掉这些欺骗者。为了扩大用户基数而失去真实用户的信任,一些企业这样的作为只是在成全虚假用户而已。

 近期,移动等运营商全面开启实名制,QQ等社交工具也增加了多重认证手段。许多企业逐渐意识到,自己必须站在信息安全防护的第一线,保持用户群的“干净”,才能停止为诈骗者的“买单”。

编译:e行网 赵新竹

更多精彩,欢迎进入 http://www.cio.com.cn/group/home/51

本文为e行网(www.cio.com.cn)原创内容,版权归属网站所有,转载请注明出处和原文链接,未经授权请勿用于商业用途,违者必究

【海外风向标】用户过滤,企业应停止为骗子“买单”

评论(1)

您可以在评论框内@您的好友一起参与讨论!

    1. 高勇 为啥,因为清理的代价比不清理大。就这么简单。

      回复[1] 2015/12/25 14:15

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");