© 1995-2021 Компания «Инфосистемы Джет»
Детектирование и борьба с кроссканальным мошенничеством
Информационная безопасность

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Информационная безопасность Тема номера

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

18.04.2016

Посетителей: 80

Просмотров: 81

Время просмотра: 0.5 мин.

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения. В чем его отличие от, например, просто мошенничества в каком-либо канале? Здесь есть 2 основополагающих принципа: первый – реализация мошенничества происходит одновременно или последовательно в разных системах и процессах, при этом событие в рамках одного канала не имеет явных признаков мошенничества. Второй – сам риск и его реализация при кроссканальном мошенничестве проходят в разных каналах. При этом выявить реализацию риска сложнее, чем провести его детектирование. Например, в канале ДБО реализуется фишинг-атака для хищения данных банковской карты. Даже если она оперативно идентифицирована на стороне антифрода ДБО, расслабляться не стоит. Данные о риске нужно оперативно передавать в процессинг: именно там будет реализована атака с использованием похищенных реквизитов карты.

 

 

Усложнение атак на банковские ИТ-системы и клиентские счета является устойчивым трендом последних нескольких лет. Это обусловлено несколькими причинами. Так, финансовые организации стали внимательнее относиться к защите направлений, подвергающихся наиболее частым атакам мошенников, – к дистанционному банковскому обслуживанию юридических лиц и банковским картам. В первом случае банки значительно усилили технологии защиты и контроля ДБО для выявления неправомерных операций. Во втором была проведена массовая замена старых карт с магнитной полосой на чиповые карты. Конечно, остаются (и даже увеличиваются) риски в ДБО физлиц и CNP-операций (card not present), но очевидно, что общий куш злоумышленников сокращается, а их затраты на организацию атаки на конкретный банк растут.

В результате для 2016 года пока характерно уменьшение количества атак на конкретные банки с использованием уникальных уязвимостей в канальных процессах, но при этом увеличивается доля атак на «коробочные» системы (возможно, по итогам этого года сравнительно возрастет число атак и на общераспространенные уязвимости среди банков).

 

Типы кроссканального мошенничества

 

Можно выделить несколько целевых направлений кроссканального мошенничества в зависимости от способа реализации атаки. Первый тип – это хищения, связанные с неправомерными действиями сотрудников банков со счетами клиентов, в том числе с пластиковыми картами и ДБО. Например, сотрудник тем или иным способом получает/находит информацию о счете, на котором есть средства, но обращений к которому не проводилось более полугода. Средства можно снять в кассе либо сформировать дополнительный способ управления таким счетом (выпуск дополнительной карты, замена и использование реквизитов доступа к интернет-банку, присвоение перевыпущенной карты, если за таковой долго не приходит владелец счета).

При этом в большинстве банков системы контроля и мониторинга операций клиентов и сотрудников со счетами разрознены, не связаны друг с другом. Часть операций производится в автоматическом режиме, и данные не попадают в системы мониторинга (очень часто не регистрируются именно операции поиска «спящих» счетов, а ведь именно их совершают сотрудники для поиска счета жертвы). Отметим, что в ряде случаев именно установленные факты мошенничества служат отправной точкой для реализации системы контроля за действиями и операциями сотрудников в рамках ДБО и процессинговых центров.

 

Второй тип – это компрометация данных, когда информация похищается из источников, не ассоциированных с каналом, в котором будет совершено само мошенническое действие. Например, данные пластиковых карт могут быть похищены при использовании системы ДБО (интернет-банкинга, когда вредоностное ПО формирует дополнительное поле для верификации клиентов с просьбой указать номер карты и код CVC2/CVV2), платежных шлюзов в интернете или с помощью фишинговых сайтов. Информация о факте компрометации, если она вообще регистрируется (системы выявления фишинга сейчас только начинают активно внедряться), привязана к системе ДБО. Эти сведения нужны процессинговому центру, который может минимизировать риски мошенничества по CNP-транзакциям, обладая данными о вероятной компрометации. Но поскольку со стороны мошенников реакция на факт компрометации идет максимально быстро, данные о таком инциденте могут просто не успеть дойти до получателя вовремя.

 

Третий тип – это методы социальной инженерии, когда клиент сам передает злоумышленникам данные, необходимые для проведения расходной операции по счету, или совершает такую операцию собственноручно, будучи введенным в заблуждение. Если социальная инженерия проводится с целью совершения уникальной операции, то это является мошенничеством, локализованным в одном канале – ДБО. Но если злоумышленники нацелены на перерегистрацию, например, реквизитов доступа в ДБО, то схема уже становится кроссканальной.

 

И четвертый тип – это использование уязвимостей в банковских процессах и технологиях. К такому типу рисков относятся изменения условий обслуживания, махинации в кредитных процедурах, манипуляции с операциями на валютном рынке и в трейдинговых системах. Этот тип в первую очередь является расширением мошенничества, реализуемого сотрудниками банка: они имеют представление о внутренних процессах и «прячут» противоправные действия за их особенностями.

 

Статистика последних двух лет указывает на то, что доля атак, классифицируемых именно как атаки на кроссплатформенную архитектуру и атаки, использующие гибридные схемы (через различные приложения), растет. При этом каждая атака такого типа при успешной реализации может привести к серьезному ущербу, если нацелена на VIP-клиента или на большую группу клиентов. В чем сложность детектирования таких схем? В том, что анализ этих атак функционально более сложен и требует кардинально больших усилий.

 

Больше, чем канальный антифрод

 

Построение эффективных систем противодействия различным типам кроссканального фрода связано с решением задач, не всегда традиционных для канальных антифрод-систем. Для создания единой модели анализа клиентских операций сквозь все каналы необходимо выстроить единую структуру из разнородных данных. Она должна быть достаточной для выявления мошенничества, одновременно ее требования должны быть выполнимы ИТ-системами, которые предоставляют данные. Но в ряде случаев модификация ИТ-систем невозможна, поэтому приходится прибегать к иным схемам получения сведений об активности в банковских приложениях (логирование, разбор трафика взаимодействия человека с системой или системы со своими компонентами).

 

В нашей практике были случаи, когда для осуществления необходимых функций контроля использовались системы SIEM, DAM, WAF. Они позволяли логировать действия без донастройки имеющихся источников данных или самостоятельно собирали информацию о действиях сотрудников.

 

Нельзя обойти вниманием и задачи по сбору и логированию нефинансовых операций, например, обращений к информационной системе для получения персональных и конфиденциальных данных. Проблема в том, что далеко не всегда такие операции добавляются в журнал аудита бизнес-приложений. Но анализ именно этой информации позволяет вычислить злоумышленника уже на этапе подготовки к списанию (поиск счета).

 

Нужно также учитывать проблему более высокого уровня: в силу рыночной ситуации, в условиях оптимизации штата сотрудник может обладать большим количеством прав и ролей в банковских системах. А когда многочисленные сотрудники работают в различных банковских приложениях, ассоциировать конкретного сотрудника с той или ирной учетной записью в системах не всегда возможно. К тому же сотрудники могут передавать друг другу пароли, ключи подтверждения операций. Это увеличивает риски реализации мошенничества и осложняет процессы контроля при таких инцидентах.

 

 

Зачастую отсутствие единых идентификаторов сотрудников «сквозь» все системы не позволяет выстраивать профилирование действий персонала, что также снижает эффективность контрольных функций.

 

 

Есть некоторые нюансы и в части методологии анализа операций, например, использование универсальных правил является оптимальным методом при детектировании известных или ранее зафиксированных рисков, но для выявления новой схемы мошенничества они не всегда результативны. С другой стороны, процессы в канале обслуживания клиентов, например ДБО, более стандартизированы и регламентированы, чем действия сотрудников. А значит, задача профилирования сотрудников (в отличие от клиентов) является более сложной и должна проводиться по более сложным метрикам и не только в привязке к уникальному идентификатору сотрудника, а по совокупности ID сотрудника, его роли в бизнес-процессе и роли в системе(-ах) . Поэтому возрастает потребность в актуализации моделей контроля процессов и поиска мошеннических/противоправных действий, основывающихся на анализе отклонения от набора стандартных ролей сотрудников.

 

 

Статистика 2014–2015 г.г. указывает, что доля атак, которые можно будет классифицировать именно как атаки на кроссплатформенную архитектуру и атаки гибридных схем, реализуемые через различные приложения, будет только расти. Также следует отметить, что каждая новая атака такого типа для банка во многих случаях (при успешной реализации) чревата весомым ущербом (нацелена либо на VIP-клиента, либо на большую группу клиентов).

 

Комплексный подход к обработке данных

 

Как показывает наша практика, создание единой кроссканальной системы требует усилий по построению аналитического ядра, доработке канальных систем защиты от мошенничества и внедрению/доработке решений DAM, WAF, SIEM и пр.

 

Ядро кроссканальной системы – аналитическое приложение, способное работать с Big Data и предоставляющее банковским аналитикам или сотрудникам службы ИБ гибкий инструмент моделирования и минимизации рисков. Причина наличия столь большого объема информации довольно очевидна: даже уникальная и «одинокая» операция в канале ДБО может иметь большое количество следов во внутренних банковских системах, и ее анализ лишь в редких случаях (без большой истории по клиенту) является простым вычислением. Понятно, что ассоциация этой операции с действиями пользователей является более сложной задачей, намного более ресурсоемкой с точки зрения как ЕTL-процессов, так и методик оценки такой операции (не говоря уже о нагрузке на ИТ-оборудование).

 

С точки зрения архитектуры кроссканальная система – это система агрегации и обработки данных, обеспечивающая их анализ, причем их объем многократно превышает объем информации из отдельно взятого канала. При совершенно разных механизмах передачи и форматах данных система приводит их к единому виду. Она также обеспечивает взаимосвязь канальных систем, их обогащение общими данными или результатами расследования инцидентов.

 

Кроссканальные системы имеют более сложную структуру в части иерархии обработки данных и их анализа. Причина в том, что отдельные массивы информации для создания полной картины, например, за определенный период времени, поступают по различным протоколам взаимодействия, с различной периодичностью, полнотой и целостностью данных. Это подразумевает высокие требования к системе с точки зрения управления потоками данных, точек анализа и т.д.

 

И наконец, кроссканальная система обеспечивает взаимодействие между различными подразделениями безопасности компании, чья совместная работа гарантирует создание единой базы знаний, высокий уровень защищенности и лояльность клиентов.

Уведомления об обновлении тем – в вашей почте

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Информационная безопасность 2021 глазами участников Positive Hack Days

Какие отрасли бизнеса сегодня подвергаются атакам чаще всего? Почему злоумышленники предпочитают шантаж, а не классические киберограбления? Чем фреймворк «Аэропорт» эффективнее традиционного подхода к ИБ? Что ждет сферу ИБ в ближайшие годы?

Флеш-технологии на службе бизнеса

За многолетнюю историю своего развития информационные технологии, повинуясь закону Мура, практически во всех сегментах проделали колоссальный путь

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

Борьба за доходы при реализации нефтепродуктов

Современный бизнес-процесс реализации нефтепродуктов ("Downstream") является сложным с точки зрения управления и контроля. Логистическая цепочка данного процесса состоит из множества различных объектов (НПЗ, нефтебаз, АЗК), удаленных друг от друга, и штаб-квартиры компании с большим количеством разнообразных ИТ-систем. Поэтому становится возможной потеря доходов на любом участке этой цепочки.

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Antifraud Russia 2016: новые угрозы, новая защита

Специалисты по информационной безопасности поделились опытом противодействия фроду в рамках Antifraud Russia 2016

Во главе угла – защита ДБО от мошенничества

Оборона всегда являлась следствием нападения и ответом на него. И ровно поэтому, говоря о средствах защиты от хакеров, нужно начинать именно со способов их атак и мотивации. Уже никто, к счастью, не вспоминает романтичных хакеров начала девяностых, которые писали вирусы из "любви к искусству" и пытались доказать, что они тоже что-то могут и что-то значат.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня