跳至主要内容

保護您的服務免受詐騙

當您設計和管理您的數位服務時,您必須:

  • 考慮您的服務如何成為詐騙份子的目標(從 Alpha 階段開始),以及這可能會造成的影響
  • 盡量保護您的使用者和您的服務免於詐騙的侵害

本指南涵蓋詐騙的基本知識。如果您需要更多資訊,請與以下人員聯繫:

  • 如果您的組織中有反詐騙專家,請與他們聯絡
  • 如果您的組織中沒有專家,請聯繫內閣辦公室的反詐騙專職部門

詐騙類型

以線上服務為目標的詐騙份子通常會嘗試:

  • 從服務中獲取金錢
  • 假裝他們有資格使用服務
  • 獲取資訊再針對其他服務
  • 利用服務進行洗錢

一些詐騙類型比其他類型更嚴重。例如,高階詐騙是有組織的犯罪份子以多種服務為目標來騙取金錢。低階詐騙可能是您的一名員工利用系統中的漏洞來獲利。

一些小規模詐騙可能會在您的服務或組織之外導致更嚴重後果。例如,如果有人偽造某個服務,他們可能會利用這個假資格來詐騙另一個服務。

注意到線上服務的弱點

如果您將離線服務轉移到線上,您應該注意在此過程中可能 的新弱點。

線上服務更容易受到詐騙的攻擊,詐騙份子可以在短時間內多次嘗試。

當服務轉移到線上時,不要假設您在離線情況下遵循的任何安全流程可以完全保護您的服務免受詐騙的威脅。

考慮非金融詐騙

即使您的服務不向使用者支付費用,詐騙份子仍可能試圖攻擊該服務以獲得資訊,然後使用這些資訊進行詐騙。

例如,他們可能利用使用者的個人資訊以便從其他政府服務、民營部門或個人中獲取金錢或其他好處。

保護您的服務免受詐騙

依照以下步驟來保護您的服務免受詐騙。

  1. 分析風險。
  2. 降低風險。
  3. 應對不斷變化的威脅。
  4. 將資訊與獨立來源進行核對。
  5. 讓您的團隊認知詐騙風險。

評估風險

您必須在您的服務 Alpha 階段開始考慮詐騙風險。

檢查是否已完成初始詐騙影響評估(Initial Fraud Impact Assessment, IFIA)或完整詐騙風險評估(Full Fraud Risk Assessment, FRA)。

IFIA 概述詐騙可能影響政策、專案或計劃的主要方式。

完整的 FRA 是針對特定流程和計畫的深入風險評估。它解釋了現有控制措施如何降低風險以及剩餘的弱點為何。

如果您沒有 IFIA 或完整的 FRA,請聯繫反詐騙專家。

當您建立第一個原型時,您應該檢查服務的潛在風險區域,這些區域可能會讓詐騙份子有機可乘。

例如,著重於關注那些需要使用者分享個人資訊的部分。小工具 (Widgets) 或表單可能會要求使用者提供詐騙份子感興趣的資訊,尤其是使用者被提示要更改地址或銀行資訊。

一旦您了解了您的服務如何收集敏感資訊,請檢查個人或系統如何儲存、傳輸或存取這些資料。

降低風險

您必須試圖降低您已識別的詐騙風險。使用您的 IFIA 或完整的 FRA 來支援您降低風險的方法。

降低這些風險的方式取決於您的服務以及可能受到影響的詐騙類型。

例如,如果您的服務只向英國使用者開放,您可以建立一個系統來檢查任何非英國的請求並詳細審查這些請求。

如果您知道某些支付機制具有更高的詐騙率,您可能得將它們視為較高風險。

您還可以檢查使用者的瀏覽器和IP地址是否與其常用的瀏覽器和 IP 地址匹配。突然的變化可能是詐騙活動的跡象,您可能希望將它們視為較高風險。

您無需因瀏覽器或 IP 地址的更改而自動阻止資料交換。根據您的服務及其功能,您可以延遲或記錄它們,或要求其他形式的驗證來處理請求。

預防身份詐騙

由於詐騙份子在網路上分享被盜的個人資料,導致身份盜竊和詐騙問題日益嚴重。為了保護您的使用者,請遵循有關如何證明和驗證某人身份的指南。這些指南說明了如何檢查客戶、員工或企業代表的身份。

應對不斷變化的威脅

詐騙份子經常改變其詐騙企圖的性質和頻率,因此請確保您的服務足夠靈活,能夠應對不斷變化的威脅。

例如,如果您設定限制詐騙活動的規則,請確保您可以容易更改這些規則,而且它們沒有寫死 (hard-baked) 在系統中。

您的組織可能會使用安全分類來標記安全風險。如果將這些分類應用於詐騙企圖 (fraud attempt),請確保可以根據新出現的威脅嚴重性來更改它們。

核查使用者資訊是否與獨立資料來源相符

您應該將使用者提供的資訊與權威清單進行核對。例如,您可以參考授權銀行的帳戶、地址和其他個人資料的清單,以識別任何虛假資訊。

請注意,並非每個不正確的輸入都代表詐騙活動。當您與可靠和獨立的來源進行核對時,您應該考慮使用者可能會真的犯錯。

讓團隊認知詐騙風險

您必須確保團隊中的每位成員都了解詐騙對服務所構成的風險,以免因錯誤而產生弱點。

在設計和維護您的服務時,定期與反詐騙專家進行對談,以幫助降低詐騙的風險和影響。

監控您的服務以防詐騙

監控您的服務是否有可疑行為,幫助您識別詐騙活動。

您可以使用「資料交換 (transaction) 監控系統」來追蹤使用者行為並發現可疑活動。

利用您找到的資訊來:

  • 檢測詐騙,阻止詐騙份子存取您的服務
  • 在詐騙活動完成後識別詐騙活動
  • 追蹤詐騙份子,並採取適當的行動,如追回被詐騙索取的款項或法律訴訟。

保留詐騙活動記錄

在您的安全和風險紀錄中記錄所有的詐騙嘗試。記錄試圖詐騙的時間、日期和試圖的類型,以及是否成功。

詐騙份子通常會嘗試詐騙,改變策略,然後再次嘗試。在可能的情況下,您應該與其他政府機構和部門分享有關詐騙企圖的資訊,以提高警覺。

網路安全資訊共享合作夥伴關係 (Cyber-security Information Sharing Partnership) 可以幫助您與其他人交換此資訊。如果您不確定分享關於詐騙企圖的資訊是否安全,請諮詢您的反詐騙專家。

進一步閱讀

您可能會發現以下指南有所幫助:

相關指引

您可能會發現以下指南有所幫助:

原始文章連結