美国学生贷款市场频现诈骗风险

关键要点

最近几周，美国学生贷款市场的动态引起了广泛讨论，不仅因为拜登政府推出的针对贷款减免的计划备受关注，也因为这一领域成为了金融诈骗的热门目标。

确实，仅在两周前，就有报道称，超过250万名学生贷款借款人在一起大规模数据泄露事件中受到影响，该事件波及了EdFinancial和俄克拉荷马学生贷款管理局的账户。据悉，此次攻击源自Nelnet Servicing，这是一家大型学生贷款技术服务提供商。恶意行为者可能在今年6月和7月间获取了多名账户持有人的个人信息，包括姓名、住址、电子邮件、电话号码及社会安全号码等。虽然Nelnet坚持表示此次攻击未涉及金融账户信息的泄露。

与近期的KeyBank抵押贷款账户泄露事件类似，该次学生贷款账户数据泄露很快便引发了法律行动。上周三，一份指控“违约”的集体诉讼在内布拉斯加州地方法院提起，被告正是位于该州的Nelnet Servicing，该诉讼的原告为受该事件影响的学生贷款借款人。类似KeyBank的事件，该诉状还关注了第三方服务提供商在此为Nelnet Servicing发现未授权访问与通知学生贷款人之间，超过一个月的延迟。

“当一个组织发现某些账户或数据的脆弱性时，通常与基础架构或系统配置不当或未完全修补有关，” KnowBe4 的网络安全意识倡导者詹姆斯麦奎根James McQuiggan表示，“网络犯罪分子会寻找这些弱点，并迅速攻击系统以获取访问权限。当关键系统有可用的补丁和更新时，组织必须迅速修复风险或修补系统。”

事件促生机会型诈骗

不过，影响风险减少和补丁流程的因素有很多，其中之一便是反应监管或市场需求的压力。而这正是学生贷款行业及其第三方供应商可能面临新挑战的地方。

有关新推出的有些人认为是有争议的学生贷款减免计划，令美国金融服务市场的这一细分领域进入公众视野，给一些借款人带来了困惑，同时也给贷方带来了压力，为狡猾的网络犯罪分子创造了新的机会，他们意识到这可能是一个近乎完美的环境，能够潜入系统并从借款人、贷方、政府及其他相关方之间流动的资金中获利。

根据DomainTools的网络安全倡导者蒂姆赫尔明Tim Helming表示：“当发生重大、引人注目的事件时，例如此次学生贷款减免，某些类型的机会主义者几乎总是会出现，利用这一关注制造骗局。”

赫尔明补充道：“这些骗局中的许多将涉及钓鱼攻击，而避免被钓鱼攻击捕获的关键方法之一是要意识到类似域名与网站的存在。”网络犯罪分子擅长创建与合法域名相似的域名，能够轻易迷惑许多用户。

9月14日，教育部宣布，最多有900万名学生贷款借款人在疫情期间2020年4月至今年3月至少进行了一个债务还款，符合退款资格。尽管这对学生借款人而言带来了经济利益，但这一点也可能为狡猾的网络犯罪分子提供了一个良好的机会，让他们更容易通过相关的钓鱼邮件和社会工程诈骗，或暗中的勒索软件和其他类型的恶意软件攻击进行牟利，利用学生贷款市场上的这些巨大资金流动。

赫