Кроссканальное мошенничество: преломление принципов борьбы относительно новых угроз

В результате для 2016 года пока характерно уменьшение количества атак на конкретные банки с использованием уникальных уязвимостей в канальных процессах, но при этом увеличивается доля атак на «коробочные» системы (возможно, по итогам этого года сравнительно возрастет число атак и на общераспространенные уязвимости среди банков).

Типы кроссканального мошенничества

Можно выделить несколько целевых направлений кроссканального мошенничества в зависимости от способа реализации атаки. Первый тип – это хищения, связанные с неправомерными действиями сотрудников банков со счетами клиентов, в том числе с пластиковыми картами и ДБО. Например, сотрудник тем или иным способом получает/находит информацию о счете, на котором есть средства, но обращений к которому не проводилось более полугода. Средства можно снять в кассе либо сформировать дополнительный способ управления таким счетом (выпуск дополнительной карты, замена и использование реквизитов доступа к интернет-банку, присвоение перевыпущенной карты, если за таковой долго не приходит владелец счета).

При этом в большинстве банков системы контроля и мониторинга операций клиентов и сотрудников со счетами разрознены, не связаны друг с другом. Часть операций производится в автоматическом режиме, и данные не попадают в системы мониторинга (очень часто не регистрируются именно операции поиска «спящих» счетов, а ведь именно их совершают сотрудники для поиска счета жертвы). Отметим, что в ряде случаев именно установленные факты мошенничества служат отправной точкой для реализации системы контроля за действиями и операциями сотрудников в рамках ДБО и процессинговых центров.

Второй тип – это компрометация данных, когда информация похищается из источников, не ассоциированных с каналом, в котором будет совершено само мошенническое действие. Например, данные пластиковых карт могут быть похищены при использовании системы ДБО (интернет-банкинга, когда вредоностное ПО формирует дополнительное поле для верификации клиентов с просьбой указать номер карты и код CVC2/CVV2), платежных шлюзов в интернете или с помощью фишинговых сайтов. Информация о факте компрометации, если она вообще регистрируется (системы выявления фишинга сейчас только начинают активно внедряться), привязана к системе ДБО. Эти сведения нужны процессинговому центру, который может минимизировать риски мошенничества по CNP-транзакциям, обладая данными о вероятной компрометации. Но поскольку со стороны мошенников реакция на факт компрометации идет максимально быстро, данные о таком инциденте могут просто не успеть дойти до получателя вовремя.

Третий тип – это методы социальной инженерии, когда клиент сам передает злоумышленникам данные, необходимые для проведения расходной операции по счету, или совершает такую операцию собственноручно, будучи введенным в заблуждение. Если социальная инженерия проводится с целью совершения уникальной операции, то это является мошенничеством, локализованным в одном канале – ДБО. Но если злоумышленники нацелены на перерегистрацию, например, реквизитов доступа в ДБО, то схема уже становится кроссканальной.

И четвертый тип – это использование уязвимостей в банковских процессах и технологиях. К такому типу рисков относятся изменения условий обслуживания, махинации в кредитных процедурах, манипуляции с операциями на валютном рынке и в трейдинговых системах. Этот тип в первую очередь является расширением мошенничества, реализуемого сотрудниками банка: они имеют представление о внутренних процессах и «прячут» противоправные действия за их особенностями.

Статистика последних двух лет указывает на то, что доля атак, классифицируемых именно как атаки на кроссплатформенную архитектуру и атаки, использующие гибридные схемы (через различные приложения), растет. При этом каждая атака такого типа при успешной реализации может привести к серьезному ущербу, если нацелена на VIP-клиента или на большую группу клиентов. В чем сложность детектирования таких схем? В том, что анализ этих атак функционально более сложен и требует кардинально больших усилий.

Больше, чем канальный антифрод

Построение эффективных систем противодействия различным типам кроссканального фрода связано с решением задач, не всегда традиционных для канальных антифрод-систем. Для создания единой модели анализа клиентских операций сквозь все каналы необходимо выстроить единую структуру из разнородных данных. Она должна быть достаточной для выявления мошенничества, одновременно ее требования должны быть выполнимы ИТ-системами, которые предоставляют данные. Но в ряде случаев модификация ИТ-систем невозможна, поэтому приходится прибегать к иным схемам получения сведений об активности в банковских приложениях (логирование, разбор трафика взаимодействия человека с системой или системы со своими компонентами).

В нашей практике были случаи, когда для осуществления необходимых функций контроля использовались системы SIEM, DAM, WAF. Они позволяли логировать действия без донастройки имеющихся источников данных или самостоятельно собирали информацию о действиях сотрудников.

Нельзя обойти вниманием и задачи по сбору и логированию нефинансовых операций, например, обращений к информационной системе для получения персональных и конфиденциальных данных. Проблема в том, что далеко не всегда такие операции добавляются в журнал аудита бизнес-приложений. Но анализ именно этой информации позволяет вычислить злоумышленника уже на этапе подготовки к списанию (поиск счета).

Нужно также учитывать проблему более высокого уровня: в силу рыночной ситуации, в условиях оптимизации штата сотрудник может обладать большим количеством прав и ролей в банковских системах. А когда многочисленные сотрудники работают в различных банковских приложениях, ассоциировать конкретного сотрудника с той или ирной учетной записью в системах не всегда возможно. К тому же сотрудники могут передавать друг другу пароли, ключи подтверждения операций. Это увеличивает риски реализации мошенничества и осложняет процессы контроля при таких инцидентах.

Зачастую отсутствие единых идентификаторов сотрудников «сквозь» все системы не позволяет выстраивать профилирование действий персонала, что также снижает эффективность контрольных функций.

Есть некоторые нюансы и в части методологии анализа операций, например, использование универсальных правил является оптимальным методом при детектировании известных или ранее зафиксированных рисков, но для выявления новой схемы мошенничества они не всегда результативны. С другой стороны, процессы в канале обслуживания клиентов, например ДБО, более стандартизированы и регламентированы, чем действия сотрудников. А значит, задача профилирования сотрудников (в отличие от клиентов) является более сложной и должна проводиться по более сложным метрикам и не только в привязке к уникальному идентификатору сотрудника, а по совокупности ID сотрудника, его роли в бизнес-процессе и роли в системе(-ах) . Поэтому возрастает потребность в актуализации моделей контроля процессов и поиска мошеннических/противоправных действий, основывающихся на анализе отклонения от набора стандартных ролей сотрудников.

Статистика 2014–2015 г.г. указывает, что доля атак, которые можно будет классифицировать именно как атаки на кроссплатформенную архитектуру и атаки гибридных схем, реализуемые через различные приложения, будет только расти. Также следует отметить, что каждая новая атака такого типа для банка во многих случаях (при успешной реализации) чревата весомым ущербом (нацелена либо на VIP-клиента, либо на большую группу клиентов).

Комплексный подход к обработке данных

Как показывает наша практика, создание единой кроссканальной системы требует усилий по построению аналитического ядра, доработке канальных систем защиты от мошенничества и внедрению/доработке решений DAM, WAF, SIEM и пр.

Ядро кроссканальной системы – аналитическое приложение, способное работать с Big Data и предоставляющее банковским аналитикам или сотрудникам службы ИБ гибкий инструмент моделирования и минимизации рисков. Причина наличия столь большого объема информации довольно очевидна: даже уникальная и «одинокая» операция в канале ДБО может иметь большое количество следов во внутренних банковских системах, и ее анализ лишь в редких случаях (без большой истории по клиенту) является простым вычислением. Понятно, что ассоциация этой операции с действиями пользователей является более сложной задачей, намного более ресурсоемкой с точки зрения как ЕTL-процессов, так и методик оценки такой операции (не говоря уже о нагрузке на ИТ-оборудование).

С точки зрения архитектуры кроссканальная система – это система агрегации и обработки данных, обеспечивающая их анализ, причем их объем многократно превышает объем информации из отдельно взятого канала. При совершенно разных механизмах передачи и форматах данных система приводит их к единому виду. Она также обеспечивает взаимосвязь канальных систем, их обогащение общими данными или результатами расследования инцидентов.

Кроссканальные системы имеют более сложную структуру в части иерархии обработки данных и их анализа. Причина в том, что отдельные массивы информации для создания полной картины, например, за определенный период времени, поступают по различным протоколам взаимодействия, с различной периодичностью, полнотой и целостностью данных. Это подразумевает высокие требования к системе с точки зрения управления потоками данных, точек анализа и т.д.

И наконец, кроссканальная система обеспечивает взаимодействие между различными подразделениями безопасности компании, чья совместная работа гарантирует создание единой базы знаний, высокий уровень защищенности и лояльность клиентов.