Финансовая сфера

Банковское обозрение


  • Девайс с репутацией
23.11.2018 Аналитика

Девайс с репутацией

Репутация устройств как источник данных для фрод-мониторинга


Реализация рисков кибермошенничества негативно влияет не только на клиентов банков, но и на общий социально-экономический климат в стране. С увеличением мошенничества падает уровень доверия граждан к банковской сфере, ухудшается клиентский опыт, растет доля наличного оборота денежных средств. Как следствие увеличиваются накладные расходы банковских организаций на проведение операций, снижается уровень контроля регулирующих органов над финансовыми потоками.

Одним из наиболее эффективных инструментов противодействия кибермошенничеству в удаленных каналах обслуживания современного банка выступает система фрод-мониторинга, основанная на технологиях оценки рисков банковских операций. Это обязательная составляющая превентивных мер по борьбе с мошенничеством, причем как при внешних атаках, так и при борьбе с внутренними злоумышленниками. Простой пример — услуги интернет-банкинга. Здесь эффективная система фрод-мониторинга контролирует все этапы сеанса работы клиента — от ввода логина и пароля от личного кабинета до изменения настроек клиентского профиля.

Современные технологии оценки риска банковских операций основаны в том числе на данных о трансакционной репутации клиентов банков. Под этим термином мы понимаем отсутствие подозрительных трансакций в истории обращений клиента в банк. В оценке риска операции участвуют данные об устройствах, которыми пользуются клиенты. В системах интернет- и мобильного банкинга это, как правило, домашние и рабочие компьютеры, планшеты, смартфоны, киоски, установленные в отделениях банка. По оценке Сбербанка, в каналах интернет-банкинга около трети мошенников применяют методы социальной инженерии в схемах мошенничества с кражей «личности» — identity theft. Мошенники получают различными способами информацию для того, чтобы от имени клиента войти в его личный кабинет и совершить несанкционированную операцию, причем эти действия они совершают со своих устройств. Поэтому данные о параметрах устройства клиента и формирование профиля его устройств — это неотъемлемая часть информации, которая обеспечивает эффективное противодействие киберфроду с кражей «личности».

Использование информации об устройствах

Профиль клиента складывается из двух частей. Трансакционный профиль — это особенности финансового поведения клиента. Он включает в себя множество метрик, например характерные для клиента типы операций, их периодичность, каналы обслуживания, суммы и получателей платежей.

Аппаратный профиль устройств клиента формируется на основе так называемого отпечатка устройства — device fingerprint, то есть набора технических характеристик устройств или приложений. Отслеживание истории использования того или иного устройства на основе данных о его отпечатке формирует так называемую репутацию устройств — device reputation. При этом могут использоваться, например, такие характеристики, как версия браузера, языковые параметры операционной системы, IP-адрес клиента, параметры экрана — разрешение, глубина цвета, версия платформы, название устройства.

На фоне нетипичного аппаратного профиля трансакционный профиль клиента вызовет подозрения

Как было сказано ранее, отслеживание репутации устройства наиболее эффективно для выявления киберфрода с использованием кражи «личности». Проиллюстрируем это на нескольких кейсах кибермошенничества.

На одном из сервисов объявлений клиент разместил предложение о продаже шубы супруги. В ответ под видом покупателя с ним связался мошенник. Злоумышленник, войдя в доверие, сообщил жертве о невозможности получения товара в ближайшее время по причине его отсутствия в городе и пообещал прислать аванс в подтверждение своих намерений о покупке. В ходе разговора, пользуясь финансовой неграмотностью жертвы, мошенник получил необходимую информацию для проведения удаленной регистрации в банковской системе и впоследствии получил доступ к личному кабинету, совершив попытку хищения на сумму около 100 тыс. рублей.

Другой случай: под видом сотрудника управы одного из районов Москвы с клиентом-пенсионером связался мошенник с предложением компенсации затрат на покупку путевки в санаторий. Так же, как и в предыдущем примере, кибермошенник получил все необходимые данные для удаленной регистрации в банковской системе и совершил попытку хищения на сумму около 40 тыс. рублей.

Перечисленные кейсы успешно были отклонены системой фрод-мониторинга по признакам хищения с кражей «личности» на основе данных о репутации устройств кибермошенников.

Подобных схем с кражей «личности» довольно много, но суть их одна: при помощи методов социальной инженерии мошенник вынуждает клиента предоставить все необходимые данные для доступа к личному кабинету удаленного банкинга от своего имени. Несмотря на то что мошенник украл у жертвы «личность», доступа к устройству клиента у него по-прежнему нет, то есть воспроизвести на своей стороне аппаратные параметры платформы легитимного клиента он не может. Поэтому на фоне нетипичного аппаратного профиля трансакционный профиль клиента также вызовет подозрения. Добавив к этому переводы нетипичных сумм нетипичным для этого клиента лицам, получим одну из классических схем кибермошенничества с кражей «личности», с точки зрения банковской организации. Система фрод-мониторинга регистрирует такие отклонения в аппаратном и трансакционном профилях клиента и блокирует операции.

Репутация устройства и фрод-мониторинг

До момента внедрения средств противодействия мошенничеству киберпреступники совершали хищения с использованием одних и тех же устройств. В нашей практике были случаи, когда мошенники использовали одни и те же устройства по нескольку сотен раз. Однако постоянный мониторинг аномальных активностей и последующих блокировок заставил их постоянно обновлять свой парк оборудования и пользоваться инструментарием виртуальных машин. Кибермошенники пытаются находить способы сделать свои устройства незаметными на общем фоне легитимных устройств, модифицировать их технические параметры, что, кстати, тоже является аномальным поведением и отражается на репутации устройств.

При проведении фрод-мониторинга важно не только регистрировать аномальные «всплески» в аппаратных характеристиках устройств, но и формировать и отслеживать базы данных о репутации абсолютно всех устройств клиентов — как легитимных, так и мошеннических.

Следует отметить, что не всегда использование подозрительного профиля устройства указывает на мошеннические действия. Не все платформы позволяют однозначно идентифицировать устройство клиента по набору его технических параметров. Чаще всего это связано с особенностями или ограничениями в программном обеспечении. Например, киберпреступники при совершении мошенничества через веб-канал используют типовой браузер на типовой программной платформе. Таким же браузером могут пользоваться рядовые легитимные клиенты в работе c веб-банкингом. Все это затрудняет выделение фродового паттерна устройства из общего потока клиентских трансакций.

Чтобы эффективно решить эту проблему, к отслеживанию репутации устройств добавляется мониторинг трансакционных профилей клиентов.

Опыт Сбербанка в отслеживании репутации устройств клиентов

Методы кибермошенников направлены на постоянный поиск новых схем обхода систем защиты банка.

Machine Learning и Big Data, используемые во фрод-мониторинге, дают возможность определять и анализировать в устройствах и трансакционных профилях клиентов одновременно сотни характеристик

Небольшие и средние финансовые организации обычно адаптируются к трансформирующимся схемам мошенничества с помощью организационных мер. Они постоянно отслеживают тренды фрода, изменяют статические правила фрод-мониторинга и черных списков устройств в ручном режиме.

Система фрод-мониторинга Сбербанка ежедневно обрабатывает более 100 млн трансакций на фоне повышенной активности мошенников. В условиях такой нагрузки ручной менеджмент политик фрод-мониторинга малоэффективен, поэтому мы используем динамическую адаптацию политик фрод-мониторинга к постоянно изменяющимся угрозам кибермошенничества. Она включает в себя автоматизацию отслеживания репутации устройств и последующее соотнесение этих данных с трансакционными профилями клиентов. Для этого при анализе поведения клиентов в удаленных каналах обслуживания мы применяем методы машинного обучения — Machine Learning, а также технологии больших данных — Big Data. Математический аппарат системы фрод-мониторинга в постоянном режиме отслеживает аппаратные характеристики устройств и соотносит эту информацию с текущими трансакционными профилями клиентов. Такой подход позволяет без привлечения сотрудников автоматически корректировать параметры работы фрод-мониторинга, адаптируя его к вновь возникающим схемам мошенничества, и уменьшать долю ложных срабатываний при снижении актуальности того или иного вида кибермошенничества.

Помимо этого инструментарий Machine Learning и Big Data, используемый во фрод-мониторинге, дает возможность определять и анализировать в устройствах и трансакционных профилях клиентов одновременно сотни характеристик, позволяя более точно выделять из общего потока трансакций мошеннические кейсы. В систему фрод-мониторинга Сбербанка заложен обширный объем метрик клиентского профиля. Она способна оперативно и точно выявлять мошеннические кейсы в большом потоке операций даже на фоне попыток маскировки кибермошенников в общей массе легитимных клиентов.

Отслеживание репутации устройств имеет огромное значение для решения задач по борьбе с кибермошенничеством. Наш опыт показывает, что эффективность выявления киберфрода значительно увеличивается при анализе корреляции трансакционного и аппаратного профилей клиента.

Эффективный фрод-мониторинг большого потока трансакций возможен только при автоматизации адаптации политик к изменяющимся угрозам кибермошенничества. Мы решаем эту задачу, используя современные технологии машинного обучения и больших данных.

Дальнейшее развитие использования параметров репутации устройств как одного из основных источников данных для фрод-мониторинга мы видим в подборе, получении и обогащении отпечатка устройства таким набором параметров, которые с учетом особенностей алгоритмов Machine Learning и Big Data позволят повысить эффективность выявления киберфрода.






Новости Новости Релизы