Мошенники не пройдут, или Выявление мошенничества с помощью RSA Transaction Monitoring

За кулисами: мониторинг, обнаружение, противодействие

Ядром RSA Transaction Moni- toring является самообучающаяся система Risk Engine, которая постоянно контролирует различные действия пользователей и обнаруживает попытки мошенничества. Она в режиме реального времени оценивает любую online-активность пользователей, отслеживая свыше ста индикаторов для надежного обнаружения мошенничества.

Каждому действию присваивается уникальный балл риска в диапазоне от 0 до 1000 на основании байесовой модели

Байесовая модель – это вероятностная модель, представляющая собой множество переменных и их вероятностных зависимостей. Она может быть использована для того, чтобы давать ответы на вероятностные вопросы. Например, с помощью модели можно получить новое знание о состоянии подмножества переменных, наблюдая за другими переменными.

которая применяется для автоматической оценки вероятности риска по каждому индикатору. Окончательный балл состоит из следующей суммы: балла, зависящего от недавнего поведения, балла, связанного с данными, накопленными за большой период времени, а также балла риска, назначаемого вручную и используемого для борьбы с вновь возникающими угрозами.

RSA Transaction Monitoring проверяет как заранее заданные, так и зависящие от профиля пользователя индикаторы риска. Они используются для уведомления Risk Engine о специфичных для конкретного действия параметрах, несущих информацию о степени риска. Список предопределенных индикаторов регулярно обновляется с учетом громадного объема информации, полученной системой Risk Engine, и результатов изучения схемы мошенничества.

Некоторые предопределенные индикаторы

eFraudNetwork помогает сопоставить IP-адреса и конкретные устройства (пользовательские компьютеры), которые ранее были помечены как очень рискованные

• Модель поведения пользователя
• Сумма транзакции
• IP-адреса и их география, ранее отмеченные как высокорискованные
• Недавние изменения профиля
• Физическая скорость перемещения терминала пользователя
• Получатели незаконных платежей
• Недавнее открытие счета

Индикаторы, зависящие от конкретного профиля, используются для выявления аномалий, относящихся именно к нему. Среди них:

• идентификационный номер устройства (device ID) и особенности его работы;
• поставщик услуг в интернете, страна и тип соединения;
• аномально высокие скорости перемещения терминала пользователя;
• отклонения от обычного временного режима работы пользователя;
• тип канала;
• сумма транзакции;
• среднее/общее количество операций;
• предыдущие алгоритмы поведенческих действий.

Risk Engine не ограничивается только профилированием пользователей, система анализирует и другие параметры:

• ресурсы, участвующие в транзакции, например, прокси-серверы, другие устройства;
• комбинацию учетной записи пользователя и используемого им ресурса, например, браузера;
• группы учетных записей пользователя (например, все учетные записи, которым соответствуют одинаковые атрибуты профиля). Их использование – один из многих путей, позволяющих системе Risk Engine определять риск даже в тех случаях, когда по отдельному пользователю собрано мало информации.

Алгоритм автоматического распознавания профиля атак способен консолидировать различные параметры и рассчитывать балл риска, используя принцип байесовской сети. Для оценки риска используется статистическая модель, позволяющая учесть все признаки и вычислить вероятность того, что рассматриваемое действие является мошенническим или отличается высокой степенью риска. Параметры байесовской сети ежедневно пересчитываются, что позволяет поддерживать модель в актуальном состоянии.

Модель самообучения

Технологии, используемые преступными сообществами для online-мошенничеств, характеризуются высоким уровнем адаптации. Мошенники обладают почти неограниченной мобильностью и потенциально способны в любой момент атаковать любой интернет-портал, используя прокси-сервер для скрытия своих IP-адресов. Принимая во внимание скорость, с которой мошенники изменяют способы своей деятельности, внедрение системы управления рисками, обладающей возможностями самообучения в реальном времени, становится очень важным фактором.

Как уже было сказано, RSA Transaction Monitoring выявляет факты потенциального мошенничества и присваивает подозрительным действиям высокие баллы риска. Операции с максимальным баллом регистрируются в системе Case Management, работающей в режиме реального времени. Благодаря этому финансовое учреждение имеет возможность контролировать потенциально опасные операции. Результаты исследования немедленно возвращаются в систему Risk Engine, и модель рисков обновляется.

Борьба с возникающими угрозами

Атаки типа «человек посередине» и трояны «человек в браузере» представляют собой относительно новые методы, которые используются мошенниками для доступа к информационным системам финансовых учреждений. RSA Transaction Monitoring подготовлена к борьбе как с указанными, так и с потенциальными угрозами. Используя разные способы и компоненты решения (предопределенные и связанные с профилем пользователя индикаторы риска, методики анализа с распознаванием профиля атак, кластеризация и «раскраска», самообучающаяся система Case Management, база данных RSA eFraudNetwork, «учетные записи-ловушки»), Risk Engine обеспечивает защиту финансовых учреждений и их клиентов от постоянно возникающих угроз на длительное время.

Risk Engine работает в обоих направлениях для снижения коэффициента ложных срабатываний до минимума. Аналогично тому, как на учет ставятся операции, связанные с подтверждёнными мошенническими действиями, регулируется и порядок работы с подозрительными схемами, которым присвоен высокий балл риска и которые в то же время возникли в результате законного поведения пользователя.

Предупрежден – значит вооружен

Возможности Risk Engine расширяются за счет получения данных из международной межкорпоративной базы данных схем и профилей мошенничества RSA eFraudNetwork. Это межкорпоративная сеть, предназначенная для распространения и совместного использования информации о деятельности мошенников. Среди ее членов – десятки международных финансовых организаций, а также некоторые из ведущих мировых поставщиков услуг в интернете. Сообщество eFraudNetwork распространяет сведения о мошенничествах среди многочисленных организаций в режиме реального времени: если атакам мошенников подвергся один из членов сообщества, все остальные немедленно получают об этом уведомления и защищаются от таких атак.

Эта сеть доступна во всех возможных вариантах развертывания RSA Transaction Monitoring. При внедрении системы в Центре обработки данных финансового учреждения локальная копия базы данных eFraudNetwork обновляется каждые несколько минут, обеспечивая заказчиков актуальными сведениями.

RSA Transaction Monitoring помогает работающим в сети RSA транснациональным компаниям – поставщикам финансовых услуг выявлять профили и схемы атак, отслеживать поведение мошенников более чем в 65 странах. Различные системы RSA в настоящий момент применяют свыше 50 крупных мировых банков, организаций-эмитентов кредитных и дебетовых карт, брокерских фирм и тысячи более мелких финансовых учреждений.

Политический момент

Несмотря на то что инструменты присвоения баллов риска рассчитаны на обеспечение оптимальной точности (максимальные баллы присваиваются только самым рискованным операциям), компания RSA учитывает, что каждый банк имеет собственную специализированную базу знаний и политик управления рисками.

В систему входит приложение Policy Manager, позволяющее организациям формировать собственную модель управления рисками, которая может быть настроена в режиме реального времени. До ввода в действие каждое правило может быть протестировано с помощью средств моделирования на исторических данных и отрегулировано до получения оптимального результата. Кроме того, после ввода в действие каждое правило может быть настроено на обработку ограниченного объёма транзакций. Применяя это приложение, финансовые учреждения полностью контролируют свою политику управления рисками.

Помимо прочего, система RSA Transaction Monitoring содержит современные средства управления и дополнительные утилиты, среди которых проблемно-ориентированное приложение Case Management для изучения подозрительных транзакций. Полученное подтверждение о том, что данная транзакция является попыткой мошенничества или, напротив, идентифицирована как легитимная, автоматически учитывается Risk Engine. Это обеспечивает точную подстройку системы и улучшает характеристики ее работы в будущем.

Варианты реагирования на факты мошенничества

При внедрении системы существуют два режима работы: просмотра и принятия решений в реальном времени. В режиме просмотра система обрабатывает каждое действие в реальном времени и передает сведения о подозрительных действиях в приложение Case Management. После этого отдел финансового учреждения, занимающийся борьбой с мошенничеством, обращается к клиентам с просьбой подтвердить законность подозрительных операций. Этот режим является типовым для первого этапа внедрения, однако может быть и штатным в ситуациях, когда финансовые средства не передаются в реальном времени.

Результаты, полученные при online-мониторинге банковских операций в одном из ведущих европейских финансовых учреждений:

• снижение числа мошенничеств на 96%;
• процент выявленных подозрительных транзакций по отношению к числу всех операций – 0,2–0,4%;
• коэффициент ложных срабатываний – 1:880;
• значительное сокращение убытков от мошенничеств и последующих попыток нарушения защиты.

В режиме принятия решений в реальном времени, помимо отметки транзакций для просмотра, система генерирует балл риска и рекомендованные меры. После этого финансовое учреждение может использовать результаты работы системы для принятия решения. Стандартными решениями, принимаемыми в реальном времени, являются:

• выполнение транзакции, но присвоение ей отметки для изучения в приложении Case Management;
• задержка транзакции на заданный период времени для изучения с разрешением на выполнение, если изучение не будет завершено вовремя;
• задержка транзакции на заданный период времени для изучения с запретом на выполнение, если изучение не будет завершено вовремя;
• запрет выполнения операции, которая либо инициирована ресурсом, о котором известно, что им пользуются мошенники, либо связана с аналогичным счетом получателя.

Этот режим работы обычно используется в ситуациях, когда перевод денежных средств выполняется в режиме реального времени и не обратим. Для его применения от программного обеспечения системы ДБО или АБС требуется поддержка режима синхронной работы, например, Web Services (SOAP) API.

За последние несколько лет ряд крупных российских банков вслед за мировыми лидерами рынка оценили возможности RSA Transaction Monitoring. Наш опыт работы с решением показывает, что уровень мошенничества при его использовании действительно снижается.