ICFraud – анализатор клиентского окружения для антифрод-системы
Юрий Прокофьев
ведущий аналитик компании Фродекс
ведущий аналитик компании Фродекс
Сегодня, по различным оценкам, порядка 95% краж средств клиентов банка связано с мошенничеством в интернет- и мобильном банкинге. Природа мошенничества динамична, и каждый день появляются новые мошеннические схемы.
Современные системы дистанционного банковского обслуживания (ДБО) используют большое количество разнообразных антифрод-систем, основной задачей которых является предотвращение осуществления подозрительных платежных поручений клиента. Большинство таких систем учитывают различные параметры платежного поручения в совокупности с некоторыми данными, полученными от клиента. Подобный подход имеет недостаток – антифрод-система работает с теми данными, которые она получает со стороны клиента. Неизвестно, кто на самом деле формирует платежное поручение и что происходит на стороне клиента ДБО на момент отправления документа в банк. Подобные знания необходимы для составления полной картины происходящего и принятия более точного решения – является данный платеж мошенническим или нет. Как раз для решения этой проблемы компанией «Фродекс» была разработана система ICFraud.
Современные системы дистанционного банковского обслуживания (ДБО) используют большое количество разнообразных антифрод-систем, основной задачей которых является предотвращение осуществления подозрительных платежных поручений клиента. Большинство таких систем учитывают различные параметры платежного поручения в совокупности с некоторыми данными, полученными от клиента. Подобный подход имеет недостаток – антифрод-система работает с теми данными, которые она получает со стороны клиента. Неизвестно, кто на самом деле формирует платежное поручение и что происходит на стороне клиента ДБО на момент отправления документа в банк. Подобные знания необходимы для составления полной картины происходящего и принятия более точного решения – является данный платеж мошенническим или нет. Как раз для решения этой проблемы компанией «Фродекс» была разработана система ICFraud.
Что такое ICFraud и зачем он нужен?
Как мы знаем, эффективная система защиты состоит из нескольких уровней. Каждый дополнительный уровень усиливает систему в целом. Подобный подход позволяет каждому уровню фокусироваться на какой-либо конкретной задаче. Одним из таких уровней является система ICFraud.
ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для её работы информации с последующим анализом и выявлением нежелательной активности.
Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на странице пользователя, – все это является окружением пользователя.
Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.
Таким образом, система ICFraud решает сразу две основные задачи:
• выявляет мошенническую активность на ранней стадии;
• снижает количество ложных срабатываний основной антифрод-системы.
В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными проведенными исследованиями.
Испытания показали высокую эффективность обнаружения ряда популярных веб-атак, таких как session hijacking, xss и прочих.
Как мы знаем, эффективная система защиты состоит из нескольких уровней. Каждый дополнительный уровень усиливает систему в целом. Подобный подход позволяет каждому уровню фокусироваться на какой-либо конкретной задаче. Одним из таких уровней является система ICFraud.
ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для её работы информации с последующим анализом и выявлением нежелательной активности.
Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на странице пользователя, – все это является окружением пользователя.
Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.
Таким образом, система ICFraud решает сразу две основные задачи:
• выявляет мошенническую активность на ранней стадии;
• снижает количество ложных срабатываний основной антифрод-системы.
В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными проведенными исследованиями.
Испытания показали высокую эффективность обнаружения ряда популярных веб-атак, таких как session hijacking, xss и прочих.
Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого
Как работает ICFraud?
Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения.
Полученные данные частично обрабатываются скриптом и пересылаются на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API предоставляемое системой ICFraud, либо средствами PUSH-уведомлений.
Поэтапно это выглядит следующим образом:
1. Клиент начинает взаимодействовать с системой ДБО банка.
2. На страницу клиента подгружается js-скрипт системы ICFraud.
3. Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.
4. Сформированное платежное поручение обрабатывается антифрод-системой банка.
5. Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки PUSH-уведомлений.)
6. Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.
Сразу стоит заметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. К таким данным, например, относятся: список плагинов, информация о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.
Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения.
Полученные данные частично обрабатываются скриптом и пересылаются на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API предоставляемое системой ICFraud, либо средствами PUSH-уведомлений.
Поэтапно это выглядит следующим образом:
1. Клиент начинает взаимодействовать с системой ДБО банка.
2. На страницу клиента подгружается js-скрипт системы ICFraud.
3. Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.
4. Сформированное платежное поручение обрабатывается антифрод-системой банка.
5. Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки PUSH-уведомлений.)
6. Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.
Сразу стоит заметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. К таким данным, например, относятся: список плагинов, информация о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.
Возможности ICFraud позволяют защищать самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента
Возможности системы ICFraud
Формирование уникального отпечатка пользователя Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и «узнавать» «хорошее» и «плохое» клиентское окружение.
Выявление кражи cookie
Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.
Выявление удаленного управления
Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Подобное подключение может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений, и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.
Выявление использования анонимайзеров
Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.
Формирование уникального отпечатка пользователя Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и «узнавать» «хорошее» и «плохое» клиентское окружение.
Выявление кражи cookie
Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.
Выявление удаленного управления
Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Подобное подключение может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений, и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.
Выявление использования анонимайзеров
Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.
Система ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках
Выявление ботов
Как правило, боты используют как для автоматизации поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима.
Выявление внедрения постороннего кода в страницу клиента
Внедрение постороннего кода в страницу может быть как следствием успешной XSS атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов <script> или <iframe>, подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.
Выявление сторонних запросов со страницы пользователя
Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательские данных или загрузки вредоносного кода.
Определение разного рода спуфинга
Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.
Возможности ICFraud позволяют защищать самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента, а также определять попытки атак на саму систему ДБО банка.
Как правило, боты используют как для автоматизации поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима.
Выявление внедрения постороннего кода в страницу клиента
Внедрение постороннего кода в страницу может быть как следствием успешной XSS атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов <script> или <iframe>, подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.
Выявление сторонних запросов со страницы пользователя
Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательские данных или загрузки вредоносного кода.
Определение разного рода спуфинга
Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.
Возможности ICFraud позволяют защищать самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента, а также определять попытки атак на саму систему ДБО банка.
Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение
Варианты использования системы
Имеется два варианта использования системы. В первом случае система разворачивается в рамках банковской инфраструктуры, во втором – банк подключается к облаку ICFraud, которое осуществляет все необходимые расчеты.
К достоинствам первого подхода можно отнести тот факт, что данные собираются и обрабатываются на стороне банка, и банк имеет полный контроль над обрабатываемыми данными. Но имеются и недостатки. Так, например, банку необходимо выделить ресурсы для разворачивания системы и следить за его состоянием. Второй способ лишен подобных недостатков и не требует от банка дополнительных ресурсов на содержание системы.
Во втором случае, ввиду того что данные собираются с огромного количества
устройств, взаимодействующих с раз личными банками, имеется возможность построения более точных моделей для системы анализа основанной на машинном обучении. Это позволяет быстрее определять мошенническую активность и выявлять новые мошеннические схемы. Более того, если некоторое пользовательское окружение было помечено системой как «плохое», то другие банки, с которыми оно начнет взаимодействовать, будут проинформированы о замеченной ранее подозрительной активности в этом окружении.
Достоинства системы ICFraud
Благодаря продуманной архитектуре система ICFraud способна быстро обрабатывать поступающую в нее информацию и оперативно информировать об обнаруженных подозрительных активностях и выявленных мошеннических действиях.
Вместо заключения
Ввиду постоянного роста числа пользователей систем ДБО актуальность защиты как самих пользователей, так и систем ДБО растет. Таким образом, система мониторинга и контроля окружения пользователя ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.
Имеется два варианта использования системы. В первом случае система разворачивается в рамках банковской инфраструктуры, во втором – банк подключается к облаку ICFraud, которое осуществляет все необходимые расчеты.
К достоинствам первого подхода можно отнести тот факт, что данные собираются и обрабатываются на стороне банка, и банк имеет полный контроль над обрабатываемыми данными. Но имеются и недостатки. Так, например, банку необходимо выделить ресурсы для разворачивания системы и следить за его состоянием. Второй способ лишен подобных недостатков и не требует от банка дополнительных ресурсов на содержание системы.
Во втором случае, ввиду того что данные собираются с огромного количества
устройств, взаимодействующих с раз личными банками, имеется возможность построения более точных моделей для системы анализа основанной на машинном обучении. Это позволяет быстрее определять мошенническую активность и выявлять новые мошеннические схемы. Более того, если некоторое пользовательское окружение было помечено системой как «плохое», то другие банки, с которыми оно начнет взаимодействовать, будут проинформированы о замеченной ранее подозрительной активности в этом окружении.
Достоинства системы ICFraud
Благодаря продуманной архитектуре система ICFraud способна быстро обрабатывать поступающую в нее информацию и оперативно информировать об обнаруженных подозрительных активностях и выявленных мошеннических действиях.
Вместо заключения
Ввиду постоянного роста числа пользователей систем ДБО актуальность защиты как самих пользователей, так и систем ДБО растет. Таким образом, система мониторинга и контроля окружения пользователя ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.
 |