Детектирование и борьба с кроссканальным мошенничеством
Информационная безопасность Информационная безопасность

Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения.

Главная>Информационная безопасность>Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз
Информационная безопасность Тема номера

Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

Дата публикации:
18.04.2016
Посетителей:
88
Просмотров:
75
Время просмотра:
2.3

Авторы

Автор
Алексей Сизов Руководитель департамента противодействия мошенничеству центра прикладных систем безопасности «Инфосистемы Джет»
Для начала определим, что такое кроссканальное мошенничество. Это ряд противоправных действий, локализованных в различных ИТ-системах и банковских процессах, цель которых – реализация хищения. В чем его отличие от, например, просто мошенничества в каком-либо канале? Здесь есть 2 основополагающих принципа: первый – реализация мошенничества происходит одновременно или последовательно в разных системах и процессах, при этом событие в рамках одного канала не имеет явных признаков мошенничества. Второй – сам риск и его реализация при кроссканальном мошенничестве проходят в разных каналах. При этом выявить реализацию риска сложнее, чем провести его детектирование. Например, в канале ДБО реализуется фишинг-атака для хищения данных банковской карты. Даже если она оперативно идентифицирована на стороне антифрода ДБО, расслабляться не стоит. Данные о риске нужно оперативно передавать в процессинг: именно там будет реализована атака с использованием похищенных реквизитов карты.

 

 

Усложнение атак на банковские ИТ-системы и клиентские счета является устойчивым трендом последних нескольких лет. Это обусловлено несколькими причинами. Так, финансовые организации стали внимательнее относиться к защите направлений, подвергающихся наиболее частым атакам мошенников, – к дистанционному банковскому обслуживанию юридических лиц и банковским картам. В первом случае банки значительно усилили технологии защиты и контроля ДБО для выявления неправомерных операций. Во втором была проведена массовая замена старых карт с магнитной полосой на чиповые карты. Конечно, остаются (и даже увеличиваются) риски в ДБО физлиц и CNP-операций (card not present), но очевидно, что общий куш злоумышленников сокращается, а их затраты на организацию атаки на конкретный банк растут.

В результате для 2016 года пока характерно уменьшение количества атак на конкретные банки с использованием уникальных уязвимостей в канальных процессах, но при этом увеличивается доля атак на «коробочные» системы (возможно, по итогам этого года сравнительно возрастет число атак и на общераспространенные уязвимости среди банков).

 

Типы кроссканального мошенничества

 

Можно выделить несколько целевых направлений кроссканального мошенничества в зависимости от способа реализации атаки. Первый тип – это хищения, связанные с неправомерными действиями сотрудников банков со счетами клиентов, в том числе с пластиковыми картами и ДБО. Например, сотрудник тем или иным способом получает/находит информацию о счете, на котором есть средства, но обращений к которому не проводилось более полугода. Средства можно снять в кассе либо сформировать дополнительный способ управления таким счетом (выпуск дополнительной карты, замена и использование реквизитов доступа к интернет-банку, присвоение перевыпущенной карты, если за таковой долго не приходит владелец счета).

При этом в большинстве банков системы контроля и мониторинга операций клиентов и сотрудников со счетами разрознены, не связаны друг с другом. Часть операций производится в автоматическом режиме, и данные не попадают в системы мониторинга (очень часто не регистрируются именно операции поиска «спящих» счетов, а ведь именно их совершают сотрудники для поиска счета жертвы). Отметим, что в ряде случаев именно установленные факты мошенничества служат отправной точкой для реализации системы контроля за действиями и операциями сотрудников в рамках ДБО и процессинговых центров.

 

Второй тип – это компрометация данных, когда информация похищается из источников, не ассоциированных с каналом, в котором будет совершено само мошенническое действие. Например, данные пластиковых карт могут быть похищены при использовании системы ДБО (интернет-банкинга, когда вредоностное ПО формирует дополнительное поле для верификации клиентов с просьбой указать номер карты и код CVC2/CVV2), платежных шлюзов в интернете или с помощью фишинговых сайтов. Информация о факте компрометации, если она вообще регистрируется (системы выявления фишинга сейчас только начинают активно внедряться), привязана к системе ДБО. Эти сведения нужны процессинговому центру, который может минимизировать риски мошенничества по CNP-транзакциям, обладая данными о вероятной компрометации. Но поскольку со стороны мошенников реакция на факт компрометации идет максимально быстро, данные о таком инциденте могут просто не успеть дойти до получателя вовремя.

 

Третий тип – это методы социальной инженерии, когда клиент сам передает злоумышленникам данные, необходимые для проведения расходной операции по счету, или совершает такую операцию собственноручно, будучи введенным в заблуждение. Если социальная инженерия проводится с целью совершения уникальной операции, то это является мошенничеством, локализованным в одном канале – ДБО. Но если злоумышленники нацелены на перерегистрацию, например, реквизитов доступа в ДБО, то схема уже становится кроссканальной.

 

И четвертый тип – это использование уязвимостей в банковских процессах и технологиях. К такому типу рисков относятся изменения условий обслуживания, махинации в кредитных процедурах, манипуляции с операциями на валютном рынке и в трейдинговых системах. Этот тип в первую очередь является расширением мошенничества, реализуемого сотрудниками банка: они имеют представление о внутренних процессах и «прячут» противоправные действия за их особенностями.

 

Статистика последних двух лет указывает на то, что доля атак, классифицируемых именно как атаки на кроссплатформенную архитектуру и атаки, использующие гибридные схемы (через различные приложения), растет. При этом каждая атака такого типа при успешной реализации может привести к серьезному ущербу, если нацелена на VIP-клиента или на большую группу клиентов. В чем сложность детектирования таких схем? В том, что анализ этих атак функционально более сложен и требует кардинально больших усилий.

 

Больше, чем канальный антифрод

 

Построение эффективных систем противодействия различным типам кроссканального фрода связано с решением задач, не всегда традиционных для канальных антифрод-систем. Для создания единой модели анализа клиентских операций сквозь все каналы необходимо выстроить единую структуру из разнородных данных. Она должна быть достаточной для выявления мошенничества, одновременно ее требования должны быть выполнимы ИТ-системами, которые предоставляют данные. Но в ряде случаев модификация ИТ-систем невозможна, поэтому приходится прибегать к иным схемам получения сведений об активности в банковских приложениях (логирование, разбор трафика взаимодействия человека с системой или системы со своими компонентами).

 

В нашей практике были случаи, когда для осуществления необходимых функций контроля использовались системы SIEM, DAM, WAF. Они позволяли логировать действия без донастройки имеющихся источников данных или самостоятельно собирали информацию о действиях сотрудников.

 

Нельзя обойти вниманием и задачи по сбору и логированию нефинансовых операций, например, обращений к информационной системе для получения персональных и конфиденциальных данных. Проблема в том, что далеко не всегда такие операции добавляются в журнал аудита бизнес-приложений. Но анализ именно этой информации позволяет вычислить злоумышленника уже на этапе подготовки к списанию (поиск счета).

 

Нужно также учитывать проблему более высокого уровня: в силу рыночной ситуации, в условиях оптимизации штата сотрудник может обладать большим количеством прав и ролей в банковских системах. А когда многочисленные сотрудники работают в различных банковских приложениях, ассоциировать конкретного сотрудника с той или ирной учетной записью в системах не всегда возможно. К тому же сотрудники могут передавать друг другу пароли, ключи подтверждения операций. Это увеличивает риски реализации мошенничества и осложняет процессы контроля при таких инцидентах.

 

 

Зачастую отсутствие единых идентификаторов сотрудников «сквозь» все системы не позволяет выстраивать профилирование действий персонала, что также снижает эффективность контрольных функций.

 

 

Есть некоторые нюансы и в части методологии анализа операций, например, использование универсальных правил является оптимальным методом при детектировании известных или ранее зафиксированных рисков, но для выявления новой схемы мошенничества они не всегда результативны. С другой стороны, процессы в канале обслуживания клиентов, например ДБО, более стандартизированы и регламентированы, чем действия сотрудников. А значит, задача профилирования сотрудников (в отличие от клиентов) является более сложной и должна проводиться по более сложным метрикам и не только в привязке к уникальному идентификатору сотрудника, а по совокупности ID сотрудника, его роли в бизнес-процессе и роли в системе(-ах) . Поэтому возрастает потребность в актуализации моделей контроля процессов и поиска мошеннических/противоправных действий, основывающихся на анализе отклонения от набора стандартных ролей сотрудников.

 

 

Статистика 2014–2015 г.г. указывает, что доля атак, которые можно будет классифицировать именно как атаки на кроссплатформенную архитектуру и атаки гибридных схем, реализуемые через различные приложения, будет только расти. Также следует отметить, что каждая новая атака такого типа для банка во многих случаях (при успешной реализации) чревата весомым ущербом (нацелена либо на VIP-клиента, либо на большую группу клиентов).

 

Комплексный подход к обработке данных

 

Как показывает наша практика, создание единой кроссканальной системы требует усилий по построению аналитического ядра, доработке канальных систем защиты от мошенничества и внедрению/доработке решений DAM, WAF, SIEM и пр.

 

Ядро кроссканальной системы – аналитическое приложение, способное работать с Big Data и предоставляющее банковским аналитикам или сотрудникам службы ИБ гибкий инструмент моделирования и минимизации рисков. Причина наличия столь большого объема информации довольно очевидна: даже уникальная и «одинокая» операция в канале ДБО может иметь большое количество следов во внутренних банковских системах, и ее анализ лишь в редких случаях (без большой истории по клиенту) является простым вычислением. Понятно, что ассоциация этой операции с действиями пользователей является более сложной задачей, намного более ресурсоемкой с точки зрения как ЕTL-процессов, так и методик оценки такой операции (не говоря уже о нагрузке на ИТ-оборудование).

 

С точки зрения архитектуры кроссканальная система – это система агрегации и обработки данных, обеспечивающая их анализ, причем их объем многократно превышает объем информации из отдельно взятого канала. При совершенно разных механизмах передачи и форматах данных система приводит их к единому виду. Она также обеспечивает взаимосвязь канальных систем, их обогащение общими данными или результатами расследования инцидентов.

 

Кроссканальные системы имеют более сложную структуру в части иерархии обработки данных и их анализа. Причина в том, что отдельные массивы информации для создания полной картины, например, за определенный период времени, поступают по различным протоколам взаимодействия, с различной периодичностью, полнотой и целостностью данных. Это подразумевает высокие требования к системе с точки зрения управления потоками данных, точек анализа и т.д.

 

И наконец, кроссканальная система обеспечивает взаимодействие между различными подразделениями безопасности компании, чья совместная работа гарантирует создание единой базы знаний, высокий уровень защищенности и лояльность клиентов.

Уведомления об обновлении тем – в вашей почте

Непрерывность бизнеса. Подходы к использованию нового Указания ЦБ РФ 21946У: поиск «золотой середины»

Выход нового указания послужил причиной появления множества вопросов относительно необходимости и глубины внесения изменений в уже имеющуюся документацию в части внутреннего контроля и управления непрерывностью бизнеса (НБ) кредитных организаций, которая требовались ранее в Положении 242-П

Внедрение антифрод-решения – взгляд менеджера проекта

Любой проект сопряжен с рисками, с этим вряд ли кто-то поспорит. И так же мало разногласий возникнет относительно того, что с рисками надо работать для минимизации их влияния на ход и результат проекта.

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

«Дата-сайентистов, у которых есть доступ к озеру, мы знаем в лицо»

В какой момент «Россельхозбанк» задумался об озере данных? Как убедить службу ИБ, что озеро — это безопасно? Где найти дата-инженеров за разумные деньги?

Защита систем дистанционного банковского обслуживания на базе решения Oracle Adaptive Access Manager

Информатизация практически всех банковских услуг и консолидация управления счетами в одном бизнес-приложении, доступ к которому осуществляется через интернет, определили рост объемов операций, совершаемых через сервисы удаленного обслуживания. При этом критичным фактором защищенности операций ДБО стал показатель безопасности среды выполнения платежных транзакций.

Практические способы противодействия внутренним угрозам в банковском секторе

С самого момента зарождения решений для защиты от утечек данных (DLP) развитие рыночных требований к продукту пошло у нас и на Западе в двух разных направлениях

Валюта цифровой эпохи

Криптовалюты вышли не из секретных лабораторий спецслужб и не из головы одного анонимного гения. Криптовалюты — это один из цветков дерева, корни которого уходят в стремление построить мир с равными возможностями для каждого.

Аудит функции Fraud Management & Revenue Assurance

На современном этапе развития телекоммуникационных операторов уже не подвергается сомнению тезис о необходимости особого контроля собираемой ими выручки. Функция контроля выручки у операторов связи реализуется в виде Fraud Management & Revenue Assurance (далее, FM&RA).

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня