BIS Journal №1(4)/2012

22 ноября, 2011

Не нужно бояться «человека в браузере»

Сегодня одним из самых востребованных банковских сервисов является дистанционное банковское обслуживание (ДБО). Его распространенность, практически неограниченный доступ к сервису пользователей и связанные с этим проблемы по безопасности привели к серьезным инцидентам и потерям различного рода (репутационным, денежным и т.д.) в этой сфере за последние годы. Из всех преступлений в кредитно-финансовой сфере более половины приходится на мошенничество при ДБО. Поэтому защита этого сервиса является для кредитно-финансовых организаций наиболее актуальной задачей на настоящий момент. Как обеспечить ее наиболее эффективным способом?

ПРЕИМУЩЕСТВА НУЖДАЮТСЯ В ЗАЩИТЕ

Основным преимуществом, делающим дистанционное банковское обслуживание мобильным, гибким и интересным для клиентов, является возможность пользоваться банковскими сервисами из дома, с работы, просто с улицы. Но для кредитно-финансовой организации наличие точки обработки данных за пределами периметра банковской безопасности становится ужасной головной болью. В условиях пренебрежения со стороны клиента требованиями информационной безопасности, банк должен повышать устойчивость к мошенничеству на своей стороне.

Сегодня банки защищают ДБО традиционными методами и средствами, обеспечивая информационную безопасность на уровне систем, приложений, сетей и различных устройств. Благодаря применению средств строгой аутентификации, обеспечению защиты от НСД и мониторинга действий пользователей и т.п., в большинстве кредитно-финансовых организаций достигнут достаточно высокий уровень безопасности.

Однако защитить сервисы ДБО только с помощью традиционных подходов к обеспечению безопасности невозможно из-за проблем на стороне клиента. Как результат, несмотря на использование кредитно-финансовыми организациями всех вышеназванных методов и средств защиты, количество совершенных мошеннических действий и краж денежных средств со счетов не только не уменьшилось, но и увеличилось в несколько раз за последние годы.

Это происходит потому, что большинство мошеннических действий воспринимаются традиционными средствами защиты как «легитимные». Мошенники сегодня берут на вооружение средства, которые позволяют проводить банковские транзакции от имени легального клиента, используя украденные данные (с помощью троянов и через подложные сайты) или путем осуществления атак типа Man-in-the-Middle, Man-in-the-Browser.

Поэтому для выявления мошеннических действий необходима более глубокая и интеллектуальная оценка банковских транзакций, которая становится возможной, если осуществлять контроль поведения, а не отдельных действий пользователя. Например, мошенник для обналичивания денег со счета использует настоящие данные клиента. Для системы аутентификации вход мошенника будет «легальным». Но поведение мошенника уже будет отличаться от действий легального пользователя. Мошенник будет работать с другого оборудования, из другой страны и выводить, как правило, все деньги небольшими порциями (насколько это позволяет политика банка) через различные каналы (интернет-магазины, банкоматы и т.п.), что может рассматриваться как прямой признак мошенничества. Именно контроль поведения пользователя является главной задачей системы, которая должна обеспечить защиту от мошенничества в ДБО. В настоящее время на рынке появляются продукты, которые и обеспечивают решение этой задачи – так называемые Fraud Management Systems (FMS).

При этом традиционные средства и методы безопасности не только не сбрасываются со счетов, но и являются неотъемлемой частью многоуровневой системы защиты ДБО. В данном случае FMS-система выполняет свою задачу на новом уровне – бизнес-процессов. Более того, эти системы собирают события из различных источников, в том числе используют для анализа данные средств защиты информации (межсетевых экранов, антивирусных систем, DLP-систем, средств авторизации и аутентификации, криптографических средств, систем контроля вторжений и т.п.).

Основным преимуществом подобных систем является контроль нескольких каналов обслуживания (в том числе не относящихся к ДБО), поскольку в большинстве случаев мошенничество начинается в одном канале, а заканчивается в другом. Например, идентификационные данные клиента были украдены в системе интернет-банкинга, а  обналичивание или вывод средств со счетов этого клиента осуществляется из процессингового центра банка. 

 

Рассмотрим механизм работы системы. Любая транзакция первично проходит проверку на то, является ли она подлинной, инициирована ли она этим  клиентом. Основа такой проверки - выявление отклонений поведения клиента от ожидаемого. С этой целью для каждого клиента заранее составляется профиль (персональные данные, территориальный признак, используемое оборудование/устройство, категория клиента и так далее). Кроме того, клиента «связывают» в дальнейшем с другими субъектами и объектами (финансовые организации, с которыми он взаимодействует, получатели/отправители платежей, Интернет и сервис-провайдеры, с которыми он работает, другая необходимая для анализа информация). Если анализируемая транзакция не характерна для клиента, осуществляется количественная оценка вероятности (риска), что данная транзакция оценивается как мошенническая. Эта оценка осуществляется с помощью ключевых индикаторов, к которым могут относиться, например, дробление счета, всплеск активности по транзакциям (к примеру, в новый банк получателя), возобновление активности со «спящими» счетами и другие. Характерным примером также может быть перевод денег на счета в другие страны, если это не типично для данного клиента.

ПОСЧИТАЕМ?

Для каждой входящей транзакции в соответствии с установленными правилами производится вычисление параметра скоринга текущего действия пользователя и присваивается соответствующее скоринговое число (балл – показатель вероятности мошенничества). Для этой цели в системе реализован специальный алгоритм. Каждая транзакция получает свой балл, который затем суммируется (нормализуется) и передается в модуль анализа рисков для принятия решения.

Чем выше итоговый балл, тем выше вероятность (риск), что транзакция является мошеннической. В дальнейшем эти данные сохраняются в FMS-системе и могут быть учтены при подсчете скорингового значения в следующих транзакциях от данного клиента.

ЗАЩИТА ОТ АТАК

Использование системы позволяет выявлять мошеннические транзакции, которые осуществляются в результате атаки типа «Man-in-the-browser» (MITB) на клиентскую часть ДБО. Такие атаки практически невозможно выявить на стороне банка традиционными средствами. В ходе этой атаки программа-робот располагается между пользователем и банком, показывая клиенту то, что кажется стандартной банковской страницей, и одновременно с этим добавляет новых получателей средств и проводит оплату. Клиент не видит дополнительныхполучателей средств, а банк не знает, что пользователь не проводил таких платежей, потому что все происходит в течение одной и той же сессии с успешной аутентификацией и шифрованием.

Cхема атаки типа «Man-in-the-browser»

Для выявления атаки MITBFMS-система может принимать во внимание события, возникающие в ходе сессии. Такими событиями могут быть, например, изменение в ходе платежной сессии параметров платежа (появление нехарактерных для клиента получателей счета - страна, БИН банка, номер счета и т.п.), характеристик оборудования (другая ОС, версия браузера и т.п.) или использование формы создания платежа несколько раз в течение минуты. Такие события не остаются незамеченными системой, указывается на вероятность, что транзакция осуществляется не от лица реального клиента. Кроме того, явным признаком атаки MITB является массовый перевод денег на одни и те же счета из банка. Поскольку трояны пишутся под конкретный банк, то всплеск активности по счетам будет характерным признаком этой атаки и позволит ее выявить.

ЧТО ЖЕ ДЕЛАТЬ?

На основании данных, полученных при анализе транзакций и скоринговой величины, система автоматически принимает решение, пропускать ее или блокировать. Также системой может быть принято решение о задержке транзакции и передаче ее параметров для расследования офицером безопасности. Другим действием системы является внесение изменений в параметры обработки транзакций в прикладных банковских информационных системах (АБС, Интернет-банкинг, процессинговые системы и др.). Некоторые FMS-системы имеют в своем составе модули, которые позволяют осуществлять дополнительную аутентификацию клиентов по одноразовому паролю (OTP) с помощью, например, мобильных устройств.

И ЧТО В ИТОГЕ?

FMS-системы обеспечивают защиту сервисов ДБО на уровне бизнес-процессов. При этом роль традиционных подходов к безопасности не только не снижается, но и усиливается за счет использования FMS-системами данных из традиционных систем безопасности. При этом главной задачей и преимуществом систем борьбы с мошенничеством является применение методов анализа поведения клиента. Аномалии в поведении позволяют определить, выполняются ли транзакции от лица настоящего клиента или происходит захват счета мошенником.

Применение систем анализа банковских транзакций, осуществляемых в ДБО, значительно снижает риски проведения мошеннических операций при использовании клиентами сервисов дистанционного банковского обслуживания. По нашим данным, внедрение системы FMSпозволит блокировать до 99% мошеннических транзакций и сохранить доход кредитно-финансовой организации в среднем на 5-7 % от ежегодной выручки банка при использовании систем ДБО. А это существенная цифра, учитывая общие объемы этого бизнеса. Кроме того, внедрение FMS-системы  обеспечит выполнение требований российского законодательства (ФЗ от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем»).

В настоящее время борьба с мошенничеством находится в фокусе внимания специалистов ИБ и ИТ подразделений, и компании ищут способы минимизировать репутационные и финансовые риски. Наш опыт показал, что подходить к решению данной задачи нужно комплексно, реализуя системы, которые охватывают все каналы, связанные с осуществлением платежей. При этом объединяются усилия всех структурных подразделений компании, которые участвуют в банковском бизнес-процессе и его поддержке. Сложность реализации данных задач требует привлечения на такие проекты сторонних экспертов, которые обладают наработками в области борьбы с мошенничеством, знанием банковских процессов и систем, пониманием мошеннических схем и способностью разработать эффективные правила, позволяющие детектировать эти схемы.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных