其他

保护您的Payoneer账户

在Payoneer,我们深知我们提供的是信托服务,并且这份信任的很大一部分在于您知道与我们合作时您的资金是安全的。

选择支付服务是一个至关重要的决定,虽然低廉的费率、灵活的支付方式和其他增值服务很棒,但这些解决方案还必须建立在坚如磐石的安全基础架构上。随着全球数以百万计的客户开始使用Payoneer管理跨境付款并帮助他们发展业务,确保您的账户安全成为了我们的首要任务。

Payoneer的技术、运营和经验是预防针对用户的各种网络攻击的无价之宝。这在我们减少账户接管(ATO)的多层措施中已得到明显体现,这也是我们网络安全战略的基石之一。

为了让您更好地理解为什么这么多用户信任Payoneer,我们将在这篇文章中介绍我们如何通过安全工具和风险管理功能的结合保护您免受账户接管的攻击。

首先,让我们回顾一下什么是ATO以及其潜在的后果。

什么是账户接管?

ATO指的是攻击者窃取用户的登录凭证以入侵他们的账户,从而窃取私人信息。几种常见的入侵账户的方式包括:

  • 凭证填充——凭证填充指的是攻击者使用在之前数据泄露中窃取的登录信息来访问账户。
  • 社交工程——社交工程指的是黑客冒充网站管理员或其他受信任的公众人物,说服用户向其提供登录信息。钓鱼邮件和短信是社交工程攻击最流行的两种方法。

钓鱼邮件示例。请注意网站链接的域名不是Payoneer的域名。

    • 暴力攻击——暴力攻击指的是攻击者使用机器人在平台中输入大量用户名/密码组合,直至成功入侵账户。

    对于用户而言,您可以采取一些简单的步骤来预防账户接管。对于新手,请在注册新的在线服务时确保使用独一无二的密码。这样做意味着即使您的一个账户被盗,攻击者也无法使用凭证填充入侵您的其他平台账户。此外,请务必留意可能属于社交工程攻击的电子邮件和信息,切勿将您的密码提供给任何人。请注意,Payoneer绝不会通过电子邮件、电话或聊天询问您的用户名或密码。

    以下是Payoneer为减少和检测ATO而采取的一些措施。

    Payoneer预防和检测ATO的多层措施

    为了预防账户接管,我们采取了许多主动措施防止机器人和黑客侵入用户账户,包括:

    • 两步验证——Payoneer使用两步验证来帮助确保恶意行为者无法侵入您的账户。在您进行某些账户相关的活动时,两步验证会向您的移动设备或打电话发送验证码,您需要先输入验证码,然后才能继续登入账户。*
    • CAPTCHA请求——我们在系统的多个位置(包括登录页面)使用CAPTCHA验证。这样可以防止机器人暴力入侵用户账户。

CAPTCHA请求示例。

    • Web应用防火墙(WAF——Payoneer使用基于云端的WAF和内部WAF来检测机器人并阻止它们进入我们的站点。
    • 机器人定位软件——Payoneer使用的软件会根据打字速度和鼠标移动等因素追踪网站上的机器人活动。此外,我们还可以在网络浏览器中混淆密码字段,以防止机器人记录用户密码。
    • 重复站点追踪——攻击者进行ATO的方法之一是在不同的域名上复制站点,然后使用社交工程攻击诱导用户访问欺诈站点并输入登录信息。我们使用的高级软件可以追踪重复的站点,并在确认它们是欺诈性站点后将其删除。
    • 主动的用户账户搜索——Payoneer使用多种网络智能服务来主动搜索明暗网络中是否有受侵的客户账户信息。一旦发现用户的登录信息,我们会立即通知他们更改密码。

    尽管上述步骤可以有效地阻止许多ATO尝试,但这并不总是足够的。黑客正在不断开发新的工具和方法来入侵用户账户,这意味着仅仅预防攻击是不够的。除了上文概述的预防系统,我们还使用了其他复杂的工具和功能来检测攻击:

    1. 把关者:RSA自适应认证

    RSA自适应认证是一种直观的用户验证系统,可通过评估风险因素(例如国家、IP地址和交易规模)标记任何账户异常。检测到可能的ATO活动后,系统会采取诸如安全问题的其他认证步骤,以确保账户安全。

    我们的威胁检测系统使用最新的统计机器学习技术,这使我们能够实时适应和记录新的威胁,并始终保持领先于黑客,确保为用户提供完善的数据保护。

    2.选择者:基于规则的监测

    我们基于规则的监测引擎是一种后端工具,它使用预定规则来识别用户账户中的可疑行为。规则一旦触发,我们的司法分析师会调查情况,确定该账户是否已被接管。

    例如,异常大额账户转账,尤其是向新的Payoneer账户的转账,很可能触发我们的规则引擎并导致调查。如果随后确定为ATO,我们将立即暂停该账户活动,并通知账户持有人。

    3.保护者:风险模型和行为分析

    我们使用复杂的风险模型和行为分析程序来分析可疑的用户交易。我们从这些分析中获得的信息将随后被用于预测未来可能导致账户接管的恶意行为。

    例如,我们的风险模型会参考与可疑行为相关的数据,例如向特定国家支付跨境付款的异常数量或新设备上的大量交易,并使用这些数据标记具有相同行为的账户。

    4.失效安全:客户反馈

    我们知道,无论我们使用的技术多么先进,人类的直觉仍是不可替代的。这就是为什么我们始终与用户保持持续开放的联系方式——这使我们能够快速检测可疑的账户活动,从而对其进行标记并应用上述步骤。

    ATO是一种固有的威胁,需要用户和服务商双方都采取主动和创新的缓解措施。虽然我们无法在此披露所有的安全措施,但可以说,我们的缓解措施能够主动阻止恶意行为和机器人访问敏感数据,并同时确保我们能够立即解决任何可疑活动,以保护您的账户安全。

    正是出于这个原因,亚马逊、AirbnbGoogle等世界领先的数字品牌,以及全球数以百万计的中小型企业都对Payoneer表示了信任,因为他们知道账户安全始终是我们的首要任务。如果您对账户安全还有其他疑问,请联系您的客户成功经理或我们的客户关怀团队,我们很乐意为您提供帮助。

    *目前,两步验证在欧洲和一些其他国家可以使用,并有望在未来几个月内全面推出。

Payoneer Community