2. ЧТО ТАКОЕ ФРОД?
Фрод как в широком смысле наиболее адекватно переводят на русский
язык, - это мошенничество, т.е. действия связанные с хищением
чужого имущества (актива) или приобретение права на чужое имущество
(актива) путём обмана или злоупотребления доверием. При этом
под обманом понимается как сознательное искажение истины (активный
обман), так и умолчание об истине (пассивный обман).
ст.159 УК РФ, определяет мошенничество как «совершенные с
корыстной целью путём обмана или злоупотребления доверием
противоправные безвозмездное изъятие и (или) обращение чужого
имущества в пользу виновного или других лиц, причинившее ущерб
собственнику или иному владельцу этого имущества, либо совершенные
теми же способами противоправное и безвозмездное приобретение права на
чужое имущество».
3. ФРОД ДЛЯ БАНКОВ И ПЛАТЕЖНЫХ СИСТЕМ
В контексте финансовых реорганизаций фрод сводится к более узкому
трактованию термина:
Фрод (англ. fraud) - умышленные действия или бездействие физических и/или
юридических лиц с целью получить выгоду за счет компании и/или причинить ей
материальный и/или нематериальный ущерб
Анти-фрод системы (Fraud Detection System) - специализированные
программные или программно-аппаратные комплексы, обеспечивающий
мониторинг, обнаружение и управление уровнем фрода. Данные системы
ориентированы прежде всего на целевые сектора, такие как банки, телеком-
операторы, платежные системы.
4. Законодательство РФ
В соответствии со ст.9 ФЗ-161 “О национальной платежной
системе” оператор обязан возместить клиенту «сумму операции, совершенной
без согласия клиента», т.е. мошенническую операцию. Да, отделы безопасности
банков плотно сотрудничают с различными государственными органами.
В документе Банка России №552-П “О требованиях к защите
информации в платежной системе Банка России” устанавливается,
что все банки должны будут сообщать о несанкционированных переводах денежных
средств через платежную систему (т.е. о фрод-операциях), подозрениях о
возникновении или о возможности возникновения инцидентов в сегментах сети, где
расположено рабочее место доступа к платежной системе в ведомственный
FinCERT.
Сейчас на доработке находится законопроект, усиливающий уголовную
ответственность за киберпреступления. В частности, он вводит в статью 158
УК пункт о краже с банковского счета и электронных денежных средств, а в
статью 183 УК - пункт о незаконном сборе информации путем злоупотребления
доверием
5. Типовые сценарии ФРОДА
Старая школа
• Кардинг – подделка банковских карт, эмуляция
• Скимминг – копирование данных с карты с помощью
технического устройства
#Update
• Фишинг и социальная инженерия – фейковые web-страницы и
«лотереи»
• Card not present transaction - мошенничество при оплате при физическом
отсутствии карты
6. Типовые сценарии ФРОДА
Новая школа
• Атака «Человек посередине» - атака производится на каналы ДБО с
целью подменить (модифицировать) легитимный трафик между
конечными узлами. При этом клиент видит мошенника как сервер, а
сервер видит мошенника как клиента. Клиент совершает платеж, и его
средства утекают на мнимый сервер – к злоумышленнику.
• Атака «Человек в браузере – атака, в ходе котрой, мошенник путем
введения вредоносного ПО (malware) в браузер получает возможность
менять параметры транзакции в режиме реального времени.
• Фейковые базовые станции мобильной связи – связана с
перехватом и подменой SMS-сообщений содержащих параметры входа
(одноразовые пароли, коды подтверждений, информирование об
операциях)
15. Принципы работы Анти-Фрод систем
Типовые метрики:
• одна карта – много IP, и обратный случай: один IP – много
карт;
• одна карта – много покупок/неудачных попыток;
• один клиент – много карт (особенно эмитированных
различными банками);
• один клиент – много индексов, email'ов;
• имя клиента не совпадает с именем владельца аккаунта на
сайте мерчанта (если есть);
• страна клиента не совпадает со страной владельца эккаунта
на сайте мерчанта (если есть);
• оплата происходит ночь (по локальному времени клиента).
16. Принципы работы Анти-Фрод систем
Типовые проблемы:
• клиент находится за границей
• клиент делегировал свой карту члену семьи
Традиционные методы подтверждения транзакций:
• СМС-сообщение
• Звонок в банк
• Запрос контрольной информации
17. Перспективные технологии Анти-Фрод систем
Машинное обучение (Machine Learning)
Выявление различного рода мошенничеств (фрода) в
банковских и платежных системах является типичным
кейсом для задач обучения с учителем (supervised
learning), поэтому аналитическая часть перспективного
антифрод-сервиса будет построена с использованием
алгоритмов машинного обучения.
При отработке статических правил алгоритм антифрода отправляет запрос с
определенными атрибутами транзакции модулю машинного обучения для
парсинга. После модель машинного обучения анализирует их и выдает
вердикт с вероятностью того, что операцию проводит мошенник или
легетимный пользователь.
20. BigData в машинном обучении
В целом анализируемые данные собираются из множества финансово-
значимых систем, к примеру, АБС для банка, базы данных по транзакциям
для платежных систем и т.д. Так же будут варьироваться и критерии отбора,
так для для SAP систем будут значимы операции и действия отображаемые в
главной книге, для операторов связи это трафик и действия ведущие к
изменению баланса счетауслуг клиента и т.д.
22. Перспективные технологии Анти-Фрод систем
Опыт Яндекс.Денег в ходе подготовки и обучения моделей
В процессе обучения применяются следующие методы:
• вероятностные – построение всяческих распределений для объектов класса;
• метрические – вычисление расстояний между объектами;
• корреляционные – определение количественных взаимосвязей между
несколькими параметрами исследуемой системы.
Алгоритм выявления аномальных значений атрибутов:
1. экстраполяция значений временного ряда по каждому из признаков;
2. вычисление разницы между фактическим значением признака и
спрогнозированным машиной;
3. если разница слишком велика и такие аномальные события объединяет нечто
общее (IP, BIN карты, браузер) – скорее всего, с конкретной транзакцией дело нечисто.
23. Перспективные технологии Анти-Фрод систем
Модель Яндекс.Денег
На графике видна зависимость аномальности события от линейной комбинации
признаков. Аномальность определяется расстоянием между событиями.
27. ЧТО меняет появление Анти-Фрод систем
#1 ИТ-ландшафт (в части КСЗИ)
Традиционный набор КСЗИ:
• AV
• Firewall
• IDSIPS
• VPN
Новый набор средств и систем КСЗИ:
• SIEM (SoC)
• WAF
• Pentest (OWASP и др.)
• Анти-Фрод
29. Кейсы #1
Атака на SWIFT. Хищение $81 млн из банка
Бангладеш. Февраль 2016
Основные причины:
• Сосредоточение на физический безопасности в ущерб ИТ
• Отсутствие разделенных сегментов сети и систем IDSIPS
• Отсутствие плана реагирования на форс-мажор
• Беспечность персонала (праздники?) или СГОВОР?
30. Кейсы #2
Атака на фондовые биржы
Московская Биржа (MOEX) и Троян Corkow вызвавший скачок
курса рубля и 244 млн убытка в итоге. Февраль 2016
Взлом Dow Jones и завладение инсайдерской информацией. 2015
год
Хакеры крадут чувствительную информацию и продают ее трейдерам. По данным
годового отчета Dow Jones, один из платных сервисов компании под названием Factiva
предоставляет бизнес информацию более чем 1,1 млн активных пользователям.
Соответственно, получение доступа к данным, которые еще не опубликованы, но явно
повлияют на расстановку сил на рынке, например, объявления о слияниях и
поглощениях.
31. Кейсы #3
Билеты за полцены и убытки туроператора
• покупатели авиабилетов за полцены успешно их
использовали;
• мошенники получили часть денег по
скомпрометированным краденным картам;
• Настоящие владельцы скомпрометированных карт
вернули все списанные средства;
• трэвел агентство понесло репутационные и
финансовые издержки
32. Юридические сложности
Защита клиентских и платежных данных
• PCI DSS, основной международный стандарт
• ФЗ №152 «О персональных данных»
• ФЗ 242 «О хранении ПДн за рубежом»
Мини итоги:
• не хранить данные PAN и CVV карт клиента в любом виде;
• иные платежные данные хранить только в защищенном формате;
• передать информацию между мерчантом и антифрод-системой только по
защищенным каналам связи;
• Обрабатывать только деперсонифицированные данные (ПДн).
33. Технические сложности
• Ложные срабатывания
• Задержка обработки транзакций
• Обеспечение отказоустойчивости (business –critical
IT-system)
• Адаптация (новые виды мошенничества)
34. Заключение
• Новые виды мошенничества и рост угроз ИБ
• Анти-Фрод системы как часть КСЗИ
• Формализация кибер-преступлений в
отечественной законодательной базе
• Машинное обучение и BigData как
перспективные технологии Анти-Фрода
• Анти-Фрод аналитик как новый класс
специалистов ИБ
35. Контакты
Иван Пискунов | Ivan Piskunov
E-mail: g14vano@gmail.com
Web: www.ipiskunov.blogspot.com