Fraud detection, czyli szelest elektronicznych pieniędzy

Bankowość elektroniczna, zakupy online, kasyna i gry online - to miliony codziennych transakcji finansowych odbywających się w przestrzeni internetowej. Siedząc w domu, rzadko zastanawiamy się, w jaki sposób ta druga strona (bank czy sklep) dba o bezpieczeństwo naszych aktywów. Tradycyjne metody ochrony przestają wystarczać i coraz częściej pojawiają się rozwiązania, które analizują nasze poczynania np. podczas dokonywania przelewu. Ogólnie można je określić jako środki wykrywania i zapobiegania nadużyciom - fraud detection lub fraud prevention (w zależności od celu, który ma być osiągnięty).

Bankowość elektroniczna, zakupy online, kasyna i gry online - to miliony codziennych transakcji finansowych odbywających się w przestrzeni internetowej. Siedząc w domu, rzadko zastanawiamy się, w jaki sposób ta druga strona (bank czy sklep) dba o bezpieczeństwo naszych aktywów. Tradycyjne metody ochrony przestają wystarczać i coraz częściej pojawiają się rozwiązania, które analizują nasze poczynania np. podczas dokonywania przelewu. Ogólnie można je określić jako środki wykrywania i zapobiegania nadużyciom - fraud detection lub fraud prevention (w zależności od celu, który ma być osiągnięty).

Zastanówmy się, dlaczego technologie te rosną w siłę, jak funkcjonują i co mogą nam zaoferować. Przyjrzyjmy się również problemom, które wiążą się z ich stosowaniem.

W ostatnich kilkunastu miesiącach liczba nadużyć, zwłaszcza finansowych, zdecydowanie wzrosła w stosunku do tego, z czym mieliśmy do czynienia jeszcze przed rokiem 2006. Skąd ta data? Otóż w tym właśnie roku zyski z przestępczości internetowej przewyższyły te pochodzące z handlu narkotykami. Utrzymujący się trend wzrostowy spowodowany jest trwającą już od dłuższego czasu reorganizacją świata cyberprzestępców. Dokonujące się zmiany mają upodobnić podziemne szajki do korporacji działających na prawach "wolnego" rynku. Kod złośliwy pisany jest zgodnie ze standardowym cyklem deweloperskim: projekt, wersja RC, testy, pilot, produkcja. Jest także tworzony z myślą o konkretnym celu. Takie podejście sprawia, że problem elektronicznych wyłudzeń staje się problemem nie tylko dla nas - klientów.

Najbardziej narażone na ataki pozostają, cokolwiek by powiedzieć, banki. Tajemnicą poliszynela jest, że każdy z większych banków padł ich ofiarą. Gartner szacuje, że z powodu takich właśnie działań firmy straciły już prawie 2 miliardy USD. A to nie koniec. Spadający poziom zaufania do dokonywania transakcji online sprawia, że również liczba zniechęconych klientów, którzy z nich zrezygnowali, przekroczyła 30 milionów. Jak wynika z badań przeprowadzonych przez Gartnera, użytkownicy z jednej strony obawiają się zagrożeń, ale z drugiej wcale nie oczekują wprowadzania przez dostawców usług takich zmian, które wymagałyby dodatkowych czynności od klientów. W dalszym ciągu chcą logować się do serwisów, używając tylko nazwy użytkownika i hasła - nie chcą tokenów ani innych środków zabezpieczeń.

Cel - konto Jana Kowalskiego

Fraud detection, czyli szelest elektronicznych pieniędzy

Przepływ informacji w systemie Fraud Prevention

Ataki mogą pochodzić z wielu źródeł. Pierwszym, już tradycyjnym, są infekcje stacji roboczych poprzez różnego rodzaju złośliwe kody, ataki phishingowe czy Man In The Browser (MITB). Tutaj w ostatnim czasie triumfy święcił tandem Mebroot - Niklus. Ten pierwszy to niezwykle sprytny rootkit dla systemu Windows, który zagnieżdża się w sektorze startowym dysku (MBR - Master Boot Record), a w konsekwencji startuje, zanim zacznie działać jakiekolwiek oprogramowanie antywirusowe. Jego kod wstrzykiwany jest w wiele procesów w taki sposób, że późniejsze jego usunięcie staje się dosyć trudne. Tak naprawdę Mebroot sam z siebie nie wyrządza większych szkód. Służy jako środek transportowy dla innego robactwa - np. Niklusa. Ten duet sprawił, że niejeden z menedżerów CSO odpowiedzialny za bezpieczeństwo systemu (także w polskich bankach) miał zarwane noce.

Równie często jak stacje robocze atakowane są niedostatecznie zabezpieczone witryny webowe firm e-commerce czy banków. W tym przypadku kod złośliwy wstrzykiwany jest bezpośrednio do portalu, co pozwala np. na wykradnięcie numerów kart kredytowych, przechwycenie haseł itp. Kolejnym źródłem ataków są pracownicy, którzy działają w zmowie z osobami spoza firmy, np. wyprowadzając listy klientów wraz z ich danymi. Tak samo popularne są modyfikacje urządzeń, dzięki którym realizowane są elektroniczne transakcje, jak np. bankomaty czy automaty do tankowania. W internecie w ciągu kilkunastu minut można znaleźć dosyć szczegółową instrukcję tego, jak w szybki sposób "przerobić" bankomat tak, aby zbierał numery kart płatniczych wraz z numerami PIN.

Zabezpieczenia przed takimi atakami nie są możliwe do odparcia za pomocą wyłącznie jednej, superskutecznej technologii. Ochrona musi przebiegać na wielu poziomach. Począwszy od stacji użytkownika, a skończywszy na systemach drugiej strony transakcji. Patrząc z perspektywy dostawcy usługi, bardzo często nie ma on wpływu na to, co dzieje się na stacji użytkownika. Na szczęście może badać pewne atrybuty z nią związane (o tym za chwilę). W jaki sposób usługodawcy mogą chronić swój online'owy biznes? Po pierwsze, poprzez właściwe przygotowanie, a potem częste audyty pod kątem bezpieczeństwa mechanizmów dostępowych (portal WWW, centrum obsługi telefonicznej, IVR itp.) - i to dzieje się u większości. Po drugie, silne uwierzytelnianie - to raczej już także jest standardem. Po trzecie wreszcie, systemy monitoringu i weryfikacji transakcji. Nas tutaj najbardziej interesują te ostatnie.

Na ratunek - Fraud Detection

Niezależnie od sposobu, w jaki nastąpi wyłudzenie informacji, potrzebny jest system, który będzie potrafił rozpoznać, czy dokonywana właśnie transakcja jest legalna, czy też istnieje prawdopodobieństwo, że to działanie oszusta. Tutaj pole do popisu mają systemy określane wspólną nazwą Fraud Detection/Prevention Systems (FDS). Na rynku tych rozwiązań zaczyna się prawdziwy tłok. W Polsce jeszcze tego nie widać, ale to kwestia kilku, może kilkunastu miesięcy. Wietrząc zysk, o palmę pierwszeństwa walczą tacy giganci, jak Entrust, Oracle, RSA Security czy Verisign. Firmy te dokonały też kilku przejęć, aby przyspieszyć ekspansję (Oracle kupił firmę Bharosa, RSA firmy PassMark czy Cyota, a Verisign firmę Snapcentric). Pojawia się także sporo mniej znanych marek, np. CyberSource, Norkom czy Actimize. A jest o co walczyć. W maju tego roku Gartner zbadał 50 największych banków w Stanach Zjednoczonych. Ponad połowa z nich zadeklarowała, że w 2009 r. będzie inwestować w systemy FD/FP. Banki te uznały również, że rozwój systemów FDS znajduje się na drugim miejscu listy rzeczy do zrobienia, zaraz po pilnowaniu zgodności z regulacjami.

Zacznijmy od wyodrębnienia systemów detection i prevention. Większość systemów antyfraudowych potrafi pracować zarówno w jednym, jak i w drugim trybie. Podjęcie decyzji, który z nich wdrożyć, należy do odbiorcy systemu, który musi być świadom tego, co wiąże się z każdą ścieżką. Podpięcie systemu wykrywania jest praktycznie nieinwazyjne. System pracuje trochę offline'owo i nie ingeruje w transakcje. Wymaga jedynie dostarczenia źródła informacji - baz danych, czy systemów transakcyjnych, na podstawie których nastąpi rozpoznanie nadużycia. Takie podejście nie wymusza dodatkowych kosztów, ale też należy do grupy rozwiązań typu "musztarda po obiedzie". Fałszywa transakcja zostanie wychwycona, ale pieniądze, dane osobowe czy projektowe już wyciekły. Dlatego też duże instytucje finansowe decydują się na wdrożenie prawdziwych systemów zapobiegania. A to nie jest już operacja banalna. Musi być lepiej przemyślana, ponieważ mogą - w zależności od systemu - wiązać się z nią niemałe zmiany. Zapobieganie oznacza, że rozwiązanie będzie ingerowało w system transakcyjny, który musi zostać przeprojektowany tak, aby właściwie wpisać się w nową koncepcję. Mogą to być systemy działające przed właściwym systemem transakcyjnym - wymagają mniejszych zmian. Ale są też takie, które wymagają zmian w portalu. Oprócz integratora niezbędny będzie aktywny udział własnych programistów. W zależności też od sposobu weryfikacji transakcji może zaistnieć potrzeba włączenia dodatkowych grup, np. administratorów systemu IVR (Interactive Voice Response).

Bez względu na sposób wdrożenia, system FDS powinien być w stanie objąć monitoringiem wszelkie aktywności podejmowane przez użytkownika za pomocą dowolnego kanału, który może posłużyć do zrealizowania transakcji. W grę mogą więc wchodzić bankomaty, aplikacje dla telefonów komórkowych, dostęp webowy czy nawet operacje dokonywane w okienku bankowym albo przez telefon. Obecnie większość instytucji finansowych inwestuje w ochronę kanału webowego, który jest wykorzystywany najczęściej. Niektórzy jednak już teraz obejmują ochroną także bankomaty, czy usługi świadczone przez call center.

Przykładowe atrybuty weryfikacji przy geolokacji

  • Kontynent
  • Kraj
  • Region
  • Miasto
  • Kod pocztowy
  • Numer telefonu
  • Strefa czasowa
  • Długość i szerokość geograficzna
  • Numer systemu autonomicznego
  • Domena
  • Rodzaj routingu
  • Rodzaj połączenia
  • Prędkość połączenia
  • Obecność anonimizatora
  • Obecność proxy
  • Rodzaj proxy
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200