А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

19 октября, 2016«BIS Journal» № 3(22)/2016

Касимов Вячеслав

заместитель директора по безопасности (банк "ФК Открытие")


Антифрод. Второе дыхание

Подходы к внедрению кроссканального фрод-мониторинга

АБСОЛЮТНО БЕЗОПАСНЫХ ПЛАТЕЖЕЙ НЕ СУЩЕСТВУЕТ

Однажды мы с коллегами задумали смоделировать абсолютно безопасный платеж. Думали-думали, пробовали и так, и эдак, и в конце-концов пришли к выводу: абсолютно безопасного платежа быть не может. Давайте разберемся, почему.

ПОЧЕМУ ХИЩЕНИЯ ВОЗМОЖНЫ?

Хищения возможны потому, что люди имеют свойство ошибаться. Они ошибаются, когда разрабатывают операционные системы, прикладное программное обеспечение и инфраструктурные компоненты. Ошибаются, когда настраивают средства защиты информации и когда их конфигурируют. Ошибаются операционисты в банке, когда делают свою работу, и еще больше, когда доверяют клиентам, которые в свою очередь ошибаются по невнимательности или по причине своей низкой компьютерной грамотности. И службы ИБ тоже ошибаются, когда, например, некорректно выбирают средства для аутентификации, в которых разработчики оставили уязвимости.

На таком фоне мы имеем достаточно типовую схему, когда жертва посещает зараженный сайт или получает документ с вредоносом – в письме или принесенной флешке (благо, что теперь флешку можно принести валютному контролю прямо в допофис, он должен вставить ее в компьютер, записать информацию – и здравствуй, вирус!). Также вредонос легко запустить через технические уязвимости, если у организации есть какие-то опубликованные ресурсы.

Все это сегодня характерно как для самих банков, которые взламывают все активнее, так и для крупных клиентов. Более того, за крупными корпоративными клиентами в последнее время стали вести целенаправленную охоту. Соответственно, после проникновения вредоноса начинается либо удаленное управление, либо социальная инженерия, когда бухгалтера или операциониста в банке вынуждают сделать что-то нужное злоумышленникам. И еще один, пока еще редкий, но хорошо работающий, вариант – подмена реквизитов. В итоге – хищение средств со счета.
 
ВРАГ ХИТЕР И КОВАРЕН

С другой стороны, всегда нужно помнить, что мы имеем дело с хорошо подготовленным противником, который по сути является вполне оформленной, работоспособной организацией. В ней распределена ответственность, продуманы функции и роли, налажены процессы и, главное, есть крайне высокая мотивация – большие деньги.

Защищать клиента от такого противника трудно, потому что он всегда может придумать что-нибудь неожиданное. Даже если использовать самые продвинутые средства аутентификации out-of-band, криптокалькуляторы, EMV-CAP технологии – все, что угодно, он сможет обойти их, используя, например, социальную инженерию. Не суть важно, что он придумает, но он придумает! И мы всегда должны быть к этому готовы.  
 
МНОГООБРАЗИЕ УГРОЗ И УЯЗВИМОСТЕЙ

Есть у нас также еще один объективный фактор – многообразие угроз и уязвимостей само по себе. Например, EMV-CAP технологии прекрасно справляются со своей задачей, но ведь деньги можно украсть и по-другому. Прийти в банк и договориться с кем-то из персонала – почему нет? Или чем не замечательный бизнес-план – восемь лет поработать в банке на расчетах, а потом «шмальнуть» одну-две транзакции на пару миллиардов – и восемь лет окупились с лихвой! А еще случаются не совсем добропорядочные клиенты, которые пытаются «пощипать» банк… Это тоже угрозы и уязвимости, и их необходимо учитывать, т.к. они делают нашу пресловутую транзакцию менее защищенной.

Естественно, есть угрозы, направленные непосредственно на клиентов. Социальная инженерия, фишинг, удаленное управление… – все технологии в полный рост. И старые, как мир, и самые свежие, передовые. Технологии эти хорошо работают, программы, изготовленные злоумышленники, на поверку оказываются эффективнее, чем программы, используемые банком. Тут я имею в виду именно прикладные сервисы.

И конечно, нельзя забывать об уязвимостях, которые оборачиваются угрозой непосредственно банку. Например, строили-строили суперзащиту для клиентов, но в какой-то момент забыли проанализировать внешние сервисы или СДБО и получили эксплуатацию уязвимостей с дальнейшим взломом.
 
СПОСОБЫ ЗАЩИТЫ. АНТИФРОД

Способы защиты хорошо известны и прописаны (Рис.1.). Этакий стандартный санитарный набор. И вот в конце этого списка скромно фигурирует антифрод. Но это в списке, а в системе реальной безопасности он занимает далеко не последнее место. Например, мы проанализировали ситуацию в банке, и пришли к выводу, что по большому счету, если бы все клиенты были честные, можно просто выдать логины-пароли и запустить антифрод. Этого бы хватило. Понятно, что в реальной жизни все сложнее, Но в любом случае, при любом раскладе антифрод – очень эффективное средство (Рис. 2). Он действительно защищает клиентов.

К сожалению, есть и сложности. Во-первых, линейная зависимость числа операторов от количества транзакций. Во-вторых, отсутствие дополнительной информации о транзакциях и субъектах, которые их совершают. И вот эта двойная проблема неизбежно приводит к мысли, что нужно искать какие-то новые источники информации, реализовывать кросс-канальный антифрод. А для этого нужно профилировать клиентов. Причем, абсолютно всех, а не только тех, которые работают в какой-то конкретно взятой СДБО или обслуживаются с помощью процессинга.
 
  

Рис. 1. Способы защиты
 


Рис. 2. Антифрод
 
СУТЬ КРОСС-КАНАЛЬНОГО АНТИФРОДА

Если мы профилировали клиентов, то можем получать дополнительную информацию по получателям денежных средств на основе данных иных учетных систем. Это эффективно, когда злоумышленники используют, например, сценарий с переводом денег со счета на счет в самом банке, и дальше либо быстрый обнал, либо перевод на следующий счет. Тут нужен поведенческий анализ, а также анализ движения средств по реквизитам получателя.

Представим, что клиент стабильно из месяца в месяц получает по 14990 рублей, и вдруг к нему на счет поступает два миллиона. Высока вероятность того, что это – дроппер, и с ним нужно что-то делать. Либо есть информация по другим клиентам, что от них мелкие деньги потоком уходят в одну точку. Это тоже дополнительный фактор для идентификации фрода. Или противоположная ситуация, когда происходит что-то нехарактерное в процессинге, особенно когда Р2Р-переводы – совсем простая история с участием IP-шника, с которого уже заходил злоумышленник. Тут есть с чем работать.
 
Последний пункт, который необходим, – это возможность блокировки для всех каналов. Тут очень важно, чтобы службы действовали синхронно. Есть финмониторинг, который может не допустить, чтобы злоумышленник снял деньги вживую через кассиров или операционистов. Есть карточный антифрод – другая команда, которая умеет ставить ограничения на расходы, есть группа, которая может ставить ограничения в СДБО. При необходимости они должны работать по одной команде.
 
АРХИТЕКТУРА

В каждом отдельном банке кросс-канальный антифрод может отличаться от других. Мы создали свою архитектуру (Рис. 3). У нас есть системы, в которых реализованы платежные процессы – это одна группа, один квадратик снизу, к которому обязательно должен подключаться антифрод. И есть дополнительные системы, например, та же CRM, которая содержит полезную информацию о клиентах.

Дальше начинаются сложности. Мы работаем со сложными субъектами и объектами, у которых много признаков, и нужно по одному признаку искать информацию по всем возможным источникам. Например, где-то в примечаниях затерялся номер телефона, который указывает на связь клиента с дропом. И таких сложностей немало.  
 


Рис. 3. Архитектура антифрода
 
ИЗ ЧЕГО СДЕЛАТЬ КРОСС-КАНАЛЬНЫЙ АНТИФРОД

Из чего можно сделать кросс-канальный антифрод?

Во-первых, из действующего антифрода в СДБО или процессинге, если позволяет платформа. Возможно, платформа именно для этого и предназначена, просто используется ограниченно. То есть плюс тут в том, что этот антифрод уже работает для одного из каналов. Минус – возможные нетривиальные доработки с потенциальным изменением ядра решения. Подводные камни – ограничения архитектуры и производительности.

Во-вторых, из AML – Antimoneylaundring систем. Эти системы для того, по сути, и предназначены, в них выстроена правильная логика. Ведь дроппер – это тот же самый обнальщик, они делают одно и то же: превращают нечестным образом взятые виртуальные деньги в реальные. Единственное, у AML систем есть ограничение: как правило, они работают в офлайне и архитектурно закладываются на то, чтобы финмониторинг мог найти всю цепочку в отношении злоумышленника, а потом отрезать ее от банка.  

В-третьих, специализированные решения. Стоят они дорого, но хорошо работают.
 

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31