Детектирование и борьба с кроссканальным мошенничеством
Информационная безопасность Информационная безопасность

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Главная>Информационная безопасность>Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз
Информационная безопасность Тема номера

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Дата публикации:
18.04.2016
Посетителей:
228
Просмотров:
189
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения. В чем его отличие от, например, просто мошенничества в каком-либо канале? Здесь есть 2 основополагающих принципа: первый – реализация мошенничества происходит одновременно или последовательно в разных системах и процессах, при этом событие в рамках одного канала не имеет явных признаков мошенничества. Второй – сам риск и его реализация при кроссканальном мошенничестве проходят в разных каналах. При этом выявить реализацию риска сложнее, чем провести его детектирование. Например, в канале ДБО реализуется фишинг-атака для хищения данных банковской карты. Даже если она оперативно идентифицирована на стороне антифрода ДБО, расслабляться не стоит. Данные о риске нужно оперативно передавать в процессинг: именно там будет реализована атака с использованием похищенных реквизитов карты.

 

 

Усложнение атак на банковские ИТ-системы и клиентские счета является устойчивым трендом последних нескольких лет. Это обусловлено несколькими причинами. Так, финансовые организации стали внимательнее относиться к защите направлений, подвергающихся наиболее частым атакам мошенников, – к дистанционному банковскому обслуживанию юридических лиц и банковским картам. В первом случае банки значительно усилили технологии защиты и контроля ДБО для выявления неправомерных операций. Во втором была проведена массовая замена старых карт с магнитной полосой на чиповые карты. Конечно, остаются (и даже увеличиваются) риски в ДБО физлиц и CNP-операций (card not present), но очевидно, что общий куш злоумышленников сокращается, а их затраты на организацию атаки на конкретный банк растут.

В результате для 2016 года пока характерно уменьшение количества атак на конкретные банки с использованием уникальных уязвимостей в канальных процессах, но при этом увеличивается доля атак на «коробочные» системы (возможно, по итогам этого года сравнительно возрастет число атак и на общераспространенные уязвимости среди банков).

 

Типы кроссканального мошенничества

 

Можно выделить несколько целевых направлений кроссканального мошенничества в зависимости от способа реализации атаки. Первый тип – это хищения, связанные с неправомерными действиями сотрудников банков со счетами клиентов, в том числе с пластиковыми картами и ДБО. Например, сотрудник тем или иным способом получает/находит информацию о счете, на котором есть средства, но обращений к которому не проводилось более полугода. Средства можно снять в кассе либо сформировать дополнительный способ управления таким счетом (выпуск дополнительной карты, замена и использование реквизитов доступа к интернет-банку, присвоение перевыпущенной карты, если за таковой долго не приходит владелец счета).

При этом в большинстве банков системы контроля и мониторинга операций клиентов и сотрудников со счетами разрознены, не связаны друг с другом. Часть операций производится в автоматическом режиме, и данные не попадают в системы мониторинга (очень часто не регистрируются именно операции поиска «спящих» счетов, а ведь именно их совершают сотрудники для поиска счета жертвы). Отметим, что в ряде случаев именно установленные факты мошенничества служат отправной точкой для реализации системы контроля за действиями и операциями сотрудников в рамках ДБО и процессинговых центров.

 

Второй тип – это компрометация данных, когда информация похищается из источников, не ассоциированных с каналом, в котором будет совершено само мошенническое действие. Например, данные пластиковых карт могут быть похищены при использовании системы ДБО (интернет-банкинга, когда вредоностное ПО формирует дополнительное поле для верификации клиентов с просьбой указать номер карты и код CVC2/CVV2), платежных шлюзов в интернете или с помощью фишинговых сайтов. Информация о факте компрометации, если она вообще регистрируется (системы выявления фишинга сейчас только начинают активно внедряться), привязана к системе ДБО. Эти сведения нужны процессинговому центру, который может минимизировать риски мошенничества по CNP-транзакциям, обладая данными о вероятной компрометации. Но поскольку со стороны мошенников реакция на факт компрометации идет максимально быстро, данные о таком инциденте могут просто не успеть дойти до получателя вовремя.

 

Третий тип – это методы социальной инженерии, когда клиент сам передает злоумышленникам данные, необходимые для проведения расходной операции по счету, или совершает такую операцию собственноручно, будучи введенным в заблуждение. Если социальная инженерия проводится с целью совершения уникальной операции, то это является мошенничеством, локализованным в одном канале – ДБО. Но если злоумышленники нацелены на перерегистрацию, например, реквизитов доступа в ДБО, то схема уже становится кроссканальной.

 

И четвертый тип – это использование уязвимостей в банковских процессах и технологиях. К такому типу рисков относятся изменения условий обслуживания, махинации в кредитных процедурах, манипуляции с операциями на валютном рынке и в трейдинговых системах. Этот тип в первую очередь является расширением мошенничества, реализуемого сотрудниками банка: они имеют представление о внутренних процессах и «прячут» противоправные действия за их особенностями.

 

Статистика последних двух лет указывает на то, что доля атак, классифицируемых именно как атаки на кроссплатформенную архитектуру и атаки, использующие гибридные схемы (через различные приложения), растет. При этом каждая атака такого типа при успешной реализации может привести к серьезному ущербу, если нацелена на VIP-клиента или на большую группу клиентов. В чем сложность детектирования таких схем? В том, что анализ этих атак функционально более сложен и требует кардинально больших усилий.

 

Больше, чем канальный антифрод

 

Построение эффективных систем противодействия различным типам кроссканального фрода связано с решением задач, не всегда традиционных для канальных антифрод-систем. Для создания единой модели анализа клиентских операций сквозь все каналы необходимо выстроить единую структуру из разнородных данных. Она должна быть достаточной для выявления мошенничества, одновременно ее требования должны быть выполнимы ИТ-системами, которые предоставляют данные. Но в ряде случаев модификация ИТ-систем невозможна, поэтому приходится прибегать к иным схемам получения сведений об активности в банковских приложениях (логирование, разбор трафика взаимодействия человека с системой или системы со своими компонентами).

 

В нашей практике были случаи, когда для осуществления необходимых функций контроля использовались системы SIEM, DAM, WAF. Они позволяли логировать действия без донастройки имеющихся источников данных или самостоятельно собирали информацию о действиях сотрудников.

 

Нельзя обойти вниманием и задачи по сбору и логированию нефинансовых операций, например, обращений к информационной системе для получения персональных и конфиденциальных данных. Проблема в том, что далеко не всегда такие операции добавляются в журнал аудита бизнес-приложений. Но анализ именно этой информации позволяет вычислить злоумышленника уже на этапе подготовки к списанию (поиск счета).

 

Нужно также учитывать проблему более высокого уровня: в силу рыночной ситуации, в условиях оптимизации штата сотрудник может обладать большим количеством прав и ролей в банковских системах. А когда многочисленные сотрудники работают в различных банковских приложениях, ассоциировать конкретного сотрудника с той или ирной учетной записью в системах не всегда возможно. К тому же сотрудники могут передавать друг другу пароли, ключи подтверждения операций. Это увеличивает риски реализации мошенничества и осложняет процессы контроля при таких инцидентах.

 

 

Зачастую отсутствие единых идентификаторов сотрудников «сквозь» все системы не позволяет выстраивать профилирование действий персонала, что также снижает эффективность контрольных функций.

 

 

Есть некоторые нюансы и в части методологии анализа операций, например, использование универсальных правил является оптимальным методом при детектировании известных или ранее зафиксированных рисков, но для выявления новой схемы мошенничества они не всегда результативны. С другой стороны, процессы в канале обслуживания клиентов, например ДБО, более стандартизированы и регламентированы, чем действия сотрудников. А значит, задача профилирования сотрудников (в отличие от клиентов) является более сложной и должна проводиться по более сложным метрикам и не только в привязке к уникальному идентификатору сотрудника, а по совокупности ID сотрудника, его роли в бизнес-процессе и роли в системе(-ах) . Поэтому возрастает потребность в актуализации моделей контроля процессов и поиска мошеннических/противоправных действий, основывающихся на анализе отклонения от набора стандартных ролей сотрудников.

 

 

Статистика 2014–2015 г.г. указывает, что доля атак, которые можно будет классифицировать именно как атаки на кроссплатформенную архитектуру и атаки гибридных схем, реализуемые через различные приложения, будет только расти. Также следует отметить, что каждая новая атака такого типа для банка во многих случаях (при успешной реализации) чревата весомым ущербом (нацелена либо на VIP-клиента, либо на большую группу клиентов).

 

Комплексный подход к обработке данных

 

Как показывает наша практика, создание единой кроссканальной системы требует усилий по построению аналитического ядра, доработке канальных систем защиты от мошенничества и внедрению/доработке решений DAM, WAF, SIEM и пр.

 

Ядро кроссканальной системы – аналитическое приложение, способное работать с Big Data и предоставляющее банковским аналитикам или сотрудникам службы ИБ гибкий инструмент моделирования и минимизации рисков. Причина наличия столь большого объема информации довольно очевидна: даже уникальная и «одинокая» операция в канале ДБО может иметь большое количество следов во внутренних банковских системах, и ее анализ лишь в редких случаях (без большой истории по клиенту) является простым вычислением. Понятно, что ассоциация этой операции с действиями пользователей является более сложной задачей, намного более ресурсоемкой с точки зрения как ЕTL-процессов, так и методик оценки такой операции (не говоря уже о нагрузке на ИТ-оборудование).

 

С точки зрения архитектуры кроссканальная система – это система агрегации и обработки данных, обеспечивающая их анализ, причем их объем многократно превышает объем информации из отдельно взятого канала. При совершенно разных механизмах передачи и форматах данных система приводит их к единому виду. Она также обеспечивает взаимосвязь канальных систем, их обогащение общими данными или результатами расследования инцидентов.

 

Кроссканальные системы имеют более сложную структуру в части иерархии обработки данных и их анализа. Причина в том, что отдельные массивы информации для создания полной картины, например, за определенный период времени, поступают по различным протоколам взаимодействия, с различной периодичностью, полнотой и целостностью данных. Это подразумевает высокие требования к системе с точки зрения управления потоками данных, точек анализа и т.д.

 

И наконец, кроссканальная система обеспечивает взаимодействие между различными подразделениями безопасности компании, чья совместная работа гарантирует создание единой базы знаний, высокий уровень защищенности и лояльность клиентов.

Уведомления об обновлении тем – в вашей почте

О каналах скрытых, потайных, побочных и не только

Пик исследований в области скрытых каналов приходится на середину 1980-х годов, когда была опубликована "Оранжевая книга" Министерства обороны США, в которой, начиная с класса безопасности B2, было введено требование анализа скрытых каналов.

Вы говорите «Информационная безопасность…»

Большинство существующих мер позволяют обеспечить должный уровень защиты в 90, 95, а иногда даже в 99% случаев наступления риска.

Одинаково разное мошенничество

Мошенничество многолико – оно принимает различные формы в зависимости от компании, в которой имеет место

CyberCrimeCon 2017. Угрозы формата hi-tech

В октябре компания Group-IB провела ежегодную конференцию CyberCrimeCon 2017, посвященную тенденциям развития киберпреступлений и технологиям проактивной защиты. На конференции были представлены результаты отчета Hi-Tech Crime Trends 2017

«Наши технологии становятся интересны Европе»

Мы спросили у гендиректора НСПК Владимира Комлева, какие у компании планы на будущее и за счет чего она планирует конкурировать с международными платежными системами.

Применение технологии "клиент-сервер" в банке АКБ "РПБ"

Стремление отечественных банков к быстрому и постоянному росту вызывает у работников управлений автоматизации банков перманентный стресс. Противоречивый и быстро меняющийся пакет инструкций Центрального банка вносит свой вклад в сложность задачи ...

«Новые сервисы мы внедряем только в контейнерах»: как устроена ИТ-инфраструктура «Сбербанка» в Казахстане

Почему «Сбербанк» в Казахстане не боится землетрясений? Зачем разворачивать ML-модели в контейнерах в частном облаке? Как банк справляется с кадровым голодом?

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Воровство SIM-карт ради мошенничества?

Не так давно эксперты стали отмечать участившиеся случаи мошенничества, основанного на замене злоумышленниками sim-карт реальных абонентов по поддельным документам для получения доступа к интернет-банкингу.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня