Аналитика и комментарии

07 мая 2018

Мониторинг пользовательского окружения клиента становится все актуальнее

Современные системы дистанционного банковского обслуживания (ДБО) используют большое количество разнообразных антифрод-систем, основными задачами которых являются предотвращение осуществления подозрительных платежных поручений клиента. Большинство таких систем учитывают различные параметры платежного поручения в совокупности с некоторыми данными, полученными от клиента. Подобный подход имеет недостаток – антифрод-система работает с той информацией, которую ей предоставляют. Неизвестно, кто на самом деле формирует платежное поручение и что происходит на стороне клиента ДБО на момент отправки документа в банк. Подобные знания необходимы для составления полной картины происходящего и более точного заключения о том, является ли данный платеж мошенническим или нет. Для решения этой проблемы компанией «Фродекс» была разработана система ICFraud.

Что такое ICFraud и зачем он нужен?

Как мы знаем, эффективная система защиты состоит из нескольких уровней. Каждый дополнительный усиливает систему в целом. Подобный подход позволяет фокусироваться на какой-либо конкретной задаче каждому уровню. Одним из них является система ICFraud.

ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для ее работы информации с последующим анализом и выявлением нежелательной активности.

Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на его странице, – это все является окружением пользователя.

Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.

Таким образом, система ICFraud решает сразу две основные задачи:

  •  выявляет мошенническую активность на ранней стадии;
  •  снижает количество ложных срабатываний основной антифрод-системы.

В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными разработками.
Испытания показали высокую эффективность обнаружения ряда популярных веб-атак, таких как session hijacking, xss и прочих.

Как работает ICFraud?

Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения. Полученная информация частично обрабатывается скриптом и пересылается на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API, предоставляемое системой ICFraud, либо средствами push-уведомлений. 

Поэтапно это выглядит следующим образом:

1. Клиент начинает взаимодействовать с системой ДБО банка.
2. На страницу пользователя подгружается js-скрипт системы ICFraud.
3. Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.
4. Сформированное платежное поручение обрабатывается антифрод-системой банка.
5. Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки push-уведомлений.)
6. Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.

Сразу стоит отметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. 

К ним, например, относится список плагинов, сведения о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.

Возможности системы ICFraud

1. Формирование уникального отпечатка пользователя.

Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и различать «хорошее» и «плохое» клиентское окружение.

 2. Выявление кражи cookie.

Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.

3. Выявление удаленного управления.

Согласно статистике, одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Оно может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.

4. Выявление использования анонимайзеров.

Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнейшего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.

5. Выявление ботов.

Как правило, ботов используют для автоматизации как поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима. 

6. Выявление внедрения постороннего кода в страницу клиента.

Внедрение постороннего кода в страницу может быть следствием как успешной XSS-атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов <script> или <iframe>, подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.

7. Выявление сторонних запросов со страницы пользователя.

Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательских данных или загрузки вредоносного кода.

8. Определение разного рода спуфинга.

Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.

Возможности ICFraud позволяют защищать как самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента, так и определять попытки атак на саму систему ДБО банка. 

Варианты использования системы

Имеются два варианта использования системы. В первом случае система разворачивается в рамках банковской инфраструктуры, во втором банк подключается к облаку ICFraud, которое осуществляет все необходимые расчеты. 

К достоинствам первого подхода можно отнести тот факт, что данные собираются и обрабатываются на стороне банка, и он имеет полный контроль над этими данными. Но имеются и недостатки. Так, например, банку необходимо выделить ресурсы для разворачивания системы и следить за ее состоянием. Второй способ лишен подобных недостатков и не требует от банка дополнительных ресурсов на содержание системы.

Во втором случае ввиду того, что данные собираются с огромного количества устройств, взаимодействующих с различными банками, имеется возможность построения более точных моделей для системы анализа, основанной на машинном обучении. Это позволяет быстрее определять мошенническую активность и выявлять новые мошеннические схемы. Более того, если некое пользовательское окружение было помечено системой как «плохое», то другие банки, с которыми оно начнет взаимодействовать, будут проинформированы о замеченной ранее подозрительной активности в этом окружении.

Достоинства системы ICFraud

Благодаря продуманной архитектуре система ICFraud способна быстро обрабатывать поступающую в нее информацию и оперативно информировать об обнаруженных подозрительных активностях и выявленных мошеннических действиях.

Что в итоге?

Ввиду постоянного роста числа пользователей систем ДБО, актуальность защиты как самих клиентов, так и систем ДБО растет. Таким образом, система мониторинга и контроля окружения пользователя ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках. 

Хотелось бы обратить внимание на еще один немаловажный факт. ЦБ РФ в своих рекомендациях по выполнению требований законодательства «О противодействии легализации (от­мыванию) доходов, полученных преступным путем, и финансированию терроризма» советует банкам осуществлять контроль идентификатора устройства, с которого осуществлен доступ клиента к системе ДБО. Цель здесь уже немного другая, это выявление совпадения с идентификаторами устройств других клиентов кредитной организации. Однако система ICFraud отлично справляется и с этой сопутствующей задачей, давая значительно большую точность, чем требуемые в документах связки IP- и МАС-адресов.

Таким образом, использование системы ICFraud в финансовой организации будет полезно как безопасникам, так и специалистам финансового контроля.

текст Юрий Прокофьев, ведущий аналитик компании «Фродекс»
Поделиться:
 

Возврат к списку