© 1995-2021 Компания «Инфосистемы Джет»
Предотвращение угона данных, баллов и денег с личных кабинетов
Информационная безопасность

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники.

Информационная безопасность Тема номера

Личные кабинеты уже не личные? О предотвращении угона данных, баллов и денег

Автор
Василий Сергацков Aрхитектор FMRA-решений Центра информационной безопасности компании «Инфосистемы Джет»

15.04.2016

Посетителей: 76

Просмотров: 75

Время просмотра: 3.3 мин.

Личные кабинеты клиентов на сайтах компаний содержат множество персональных данных их владельцев. Вместе с информацией о тех же людях, представленной в интернете, они формируют пул сведений, которыми легко могут воспользоваться злоумышленники (см. рис. 1). Например, интерес представляют бонусные накопления клиентов – они фактически являются аналогом денежных средств при их умелой монетизации.

Не трать времени на раздумья о том, как вкусны сыр и вино,
потому что на самом деле они заурядны.
А вот икра и водка… вот что на самом деле чудесно.


к/ф «Загадочная история Бенджамина Баттона»

Рис. 1. Разнообразие данных о пользователях интернета
Разнообразие данных о пользователях интернета

Атаки мошенников и способы защиты от них

 

Допустим, клиенту на e-mail пришло письмо с сайта (lubimiysayt.sayt@lubimiysayt.sayt), где у него зарегистрирована учетная запись с личным кабинетом. В тексте сообщают: «Уважаемый Иван, Вам, начиная с текущей даты, предоставляется скидка в размере 30% от полной стоимости наших услуг, подробности по ссылке». Пользователь переходит по ссылке и оказывается на нужном сайте, где авторизуется под своей учетной записью для ознакомления с параметрами скидки. Он понимает, что пока ему это предложение не интересно, и закрывает страницу. А через 3 месяца узнает, что все его бонусные баллы были украдены. У клиента обычно возникают 2 варианта, как и по чьей вине это могло произойти: сайт продал данные о его e-mail/логине с паролем мошенникам или же просто использовал его баллы в своих интересах. Поэтому следствием подобного инцидента станут жалобы в службу поддержки, в регулирующие органы, в Роспотребнадзор и т.д.

 

Но дело в том, что злополучное письмо пришло не от сайта, а от lubimiysaiyt.sayt@lubimiysaiyt.sayt. В названии оригинального сайта отсутствует буква «i». То есть это ссылка на совершенно иной ресурс – фишинговый сайт, который является 100%-ным клоном.

 

Итак клиент на автомате вбивает логин и пароль… В это время на другом конце страны мошенник пополняет коллекцию связок email/login:password. Имея эти данные, он сможет не просто воспользоваться бонусными накоплениями, но и узнать информацию о пользователе (ФИО, номера телефонов, возможно, даже прописку и паспортные данные), побочно получить доступ к его социальным сетям, e-mail и другим сервисам и сайтам. Дело в том, что зачастую пользователи для авторизации используют один и тот же пароль, а в качестве логина – ник/e-mail/номер мобильного телефона.

 

Это лишь один из множества вариантов «выуживания» паролей у пользователей, другая угроза – это получение незащищенных данных с устройства жертвы или вообще удаленного управления этим устройством.

 

В отдельных случаях для доступа к учетным записям клиентов мошенники используют методы подбора логина и пароля: по словарям, подбирают комбинации букв, цифр, символов, обрывков слов (брутфорс, радужные таблицы). Подобную схему зачастую используют для получения доступа к конкретной учетной записи. Задачу облегчает тот факт, что около 5–10% пользователей при формировании пароля использует свою фамилию.

 

Либо злоумышленники инициируют авторизацию по миллионам известных e-mail (взятых из открытых источников, приобретенных или украденных) и наиболее вероятному списку популярных паролей. В последнем случае мошенники получат доступ к случайным учетным записям: если повезет, они будут иметь ценность для дальнейшего использования.

 

 

Необходимо контролировать весь жизненный цикл учетной записи программы лояльности – от момента регистрации и до ее удаления, а также весь цикл любых действий клиентов (авторизация, изменение учетных данных, переход на страницу оплаты и т.д.).

Так, чтобы предотвратить кражу бонусов, нужно установить факт взлома личного кабинета и пресечь дальнейший несанкционированный доступ со стороны мошенников. Мы рекомендуем анализировать сессионные данные (cookies, HTTP headers и т. п.) для определения типичности/нетипичности поведения клиента. Нетипичными могут быть как смена каких-либо учетных данных, так и определенные признаки в событиях по использованию бонусов. В случае установления мошеннических действий стоит заблокировать личный кабинет до момента прохождения аутентификации пользователя (возможно, даже в офисе компании по документам, удостоверяющим личность).

 

 

Обнаружить брутфорс-атаки можно путем анализа трафика личного кабинета (см. рис. 2), как правило, им свойственно большое количество ввода несуществующего логина или неверного пароля (увеличение в 5–10 раз по сравнению с легитимным входом). Но выявить, где ошибся сам клиент, а где мошенник не смог подобрать пароль, – задача нетривиальная, т.к. злоумышленники обычно используют массу IP-адресов, в том числе организуют атаки с зараженных ПК и мобильных устройств. Практика показывает, что в атаке среднего уровня может использоваться до 20 тыс. IP-адресов, ее скорость при этом – более 20 попыток в секунду. Сложность определения мошеннического профиля усложняется и тем, что после того как мошеннику удалось получить доступ к личному кабинету жертвы, он 1–2 раза в месяц повторяет вход для сбора актуальной информации о текущем счете. Для компании эти действия могут выглядеть как нормальная активность клиента.

 

Рис. 2. Брутфорс-атака
Брутфорс-атака

 

Рис. 3. Схема действий для предотвращения несанкционированного доступа к личному кабинету клиента
Основные способы получения несанкционированного доступа к личным кабинетам клиентов

 

Еще один вид мошенничества связан с так называемыми referrals – участниками программы лояльности, зарегистрированными по рекомендации существующего клиента. Рефералы вполне могут быть «фейковыми»: мошенники формируют подобные учетные записи. Сначала они автоматически регистрируют почтовые адреса со скоростью несколько десятков в секунду, а затем уже заводят личные кабинеты на них и указывают участников, по чьей рекомендации те были зарегистрированы. Сам «рекомендатель» получает с каждого реферала определенную сумму бонусов. К сожалению, довольно мало компаний отслеживают подобную активность.

 

Рис. 4. Основные способы получения несанкционированного доступа к личным кабинетам клиентов
Основные способы получения несанкционированного доступа к личным кабинетам клиентов

Рис. 5. Атака на клиента – внешнее проникновение
Атака на клиента – внешнее проникновение

Рис. 6. Атака на сайт/страницу личного кабинета компании – внешнее проникновение
Атака на сайт/страницу личного кабинета компании – внешнее проникновение

Рис. 7. Атака на информационные системы компании – внутреннее проникновение
Атака на информационные системы компании – внутреннее проникновение

Остановимся также на варианте, когда атаке подвергаются сами информационные системы компаний (рис. 7). К сожалению, среди сотрудников организации обязательно находятся те, кто считает смертным грехом не воспользоваться своим служебным положением и доступом к данным компании. Отсюда вытекают случаи внутреннего мошенничества. Например, у сотрудника есть доступ к CRM-системе или даже прямой доступ к базе данных с правами добавления, удаления и редактирования записей. В качестве записей могут выступать как клиентские данные, так и данные о приобретенных клиентами товарах и оказанных им услугах. По факту эти данные можно превратить в денежные знаки. Так, можно приобрести товар или оплатить услугу бонусами и в дальнейшем удалить запись об этом, т.е. стереть следы списания бонусов, чтобы они сохранились на балансе для последующего использования. Или можно взять все оплаты товаров или услуг клиентами, не участвующими в программе лояльности компании, зарегистрировать несколько десятков, сотен или даже тысяч поддельных учетных записей на их данные и приписать эти покупки к ним. В итоге совокупный бонусный баланс злоумышленника будет представлять собой число с 5–6 нулями.

 

Если внутренний мошенник является администратором системы или БД, установление факта его незаконных действий становится еще более сложной задачей. Администратор всегда может подчистить за собой следы, если безопасность запросит детальные данные из БД, он может предоставить их в том наборе, который сам посчитает нужным. Подлог фиктивных данных в этом случае способна выявить только независимое ИБ-решение.

 

Итак, мы плавно подошли к тому, что наиболее эффективный и экономически выгодный способ противодействия мошенничеству заключается в повышении защищенности информационных систем от атак как извне, так и внутри компании. Нужен автоматизированный механизм «who is who», распознающий в режиме реального времени, действительно ли клиент зашел в личный кабинет, сам ли он зашел, сам ли он выполняет действия, какова вероятность того, что устройство, IP-адрес, номер мобильного телефона (в случае смены при аутентификации), с которых он зашел, являются типичными для него, что клиент видит и заполняет данные на странице сайта самостоятельно, без помощи вируса. Можно анализировать даже скорость перемещения курсора (свойственна ли она именно этому клиенту) и вбивания в соответствующие строки логина с паролем (насколько типична для клиента такая скорость, говорит ли она об обычной или, скорее, о стрессовой ситуации и т.д.). Обязательная процедура – это проверка с помощью автоматизированного механизма начисления и использования бонусных баллов, вероятности того, что все действия производит сам клиент, а не мошенник или сотрудник компании (или злоумышленник просто создал фейковую учетную запись на клиента и орудует в ней).

 

Бриллиантом комплексной технологии защиты выступает, конечно же, антифрод-система, работающая по принципу ГЭС: она позволяет обрабатывать колоссальный объем информации из различных источников (их можно сравнить с реками, впадающими в основное водохранилище) и выдавать «электроэнергию» –обработанную информацию. На основе анализа и в зависимости от типа поступающих событий (регистрация, неуспешная авторизация, успешная авторизация, внесение изменений в учетные данные, выполнение действий по начислению или списанию бонусов/денежных средств) антифрод-система дает заключение по отдельным видам событий о легитимности действий. Как следствие, действия мошенника блокируются или операция временно приостанавливается до момента ее рассмотрения специалистом службы безопасности.

 

Рис. 8. Концепция защиты личного кабинета в случае использования антифрод-системы
Концепция защиты личного кабинета в случае использования антифрод-системы

Использование антифрод-комплекса по защите личного кабинета позволит снизить потери компании и клиентов от реализации мошеннических схем, уровень уязвимостей в программе лояльности, повысит уровень защищенности web-приложений от проникновения и возможных web-угроз. В конечном счете, это увеличит экономическую эффективность компании за счет повышения лояльности клиентов и ее репутации в целом.

Уведомления об обновлении тем – в вашей почте

«Мы первыми приняли удар локдауна»

Почему ресторанный бизнес не замораживает ИТ-проекты? Как пандемия изменила сознание топ-менеджеров? Почему удаленные кухни все еще мало востребованы?

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

«Все случилось резко, будто сорвали пластырь»

Почему инноваторам важно уметь «переобуваться на лету»? Как в «Магните» научились быстро договариваться с партнерами и стартапами? Зачем компания занимается деперсонализацией больших данных?

Взгляд со стороны

О том, какова сегодня ситуация на рынке фрода, чего стоит опасаться больше всего и могут ли предпринимаемые государством действия исправить ситуацию, мы побеседовали с Павлом Крыловым, product-менеджером одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничества Group-IB.

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Математика на службе у антифрода

Определить вероятность и момент реализации хищения невозможно без наличия у антифрод-системы методологической основы

Jet Detective: скорость, точность, интеллект

Компания «Инфосистемы Джет» создала собственное антифрод-решение Jet Detective с использованием технологий машинного обучения

Куда движется российский ритейл

В начале июня прошла Неделя Российского Ритейла. Для нас она стала хорошим поводом сверить свое видение развития этого рынка с мнением коллег и заказчиков. Решая огромный объем операционных задач, ритейлеры одновременно пристально следят за инновациями – именно они первыми внедряют технологические новинки.

Пилотирование FMS-системы ДБО – факты и цифры

Наиболее объективную оценку работы системы противодействия мошенничеству, конечно, за исключением этапа ее промышленной эксплуатации, может дать только пилотный проект, во время которого потенциальное решение предварительно настраивается и апробируется на реальных операциях сервиса ДБО.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня