ГОДОВОЙ ОТЧЕТ ДЕПАРТАМЕНТА ПО БОРЬБЕ С МОШЕННИЧЕСТВОМ, КОРРУПЦИЕЙ И КОРПОРАТИВНЫМИ НАРУШЕНИЯМИ
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в...
Transcript of А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в...
АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,ООО ФРОДЕКС
эффективные технологии противодействия
мошенничеству
Сервис FraudTrack: современный подход в борьбе с мошенничеством
#FORUMBS
эффективные технологии противодействия
мошенничеству
#FORUMBS
Кратко о нас
специалисты компании имеют многолетний опыт по разработке и эксплуатации системы обнаружения мошеннических платежей
консультирование, помощь в расследовании и анализе инцидентов
работы анализу защищенности систем (pentest)
Наши партнеры
эффективные технологии противодействия
мошенничеству
#FORUMBS
Разработанные нашими специалистами решения позволили предотвратить в банках свыше 700 мошеннических
платежей со счетов юридических лиц, сформированных злоумышленниками в системах ДБО
Наши клиенты
эффективные технологии противодействия
мошенничеству
Факторы успеха в борьбе с мошенничеством:
постоянная модернизация логики обнаружения
учет трендов по изменению активности наблюдаемых преступных группировок
оперативное получение данные о клиентах с повышенным риском мошенничества (наличие клиентских данных в ботсетях, факты заражения устройств клиентов специализированными троянами)
#FORUMBS
эффективные технологии противодействия
мошенничеству
Сервис FraudTrack
реализует
#FORUMBS
эффективные технологии противодействия
мошенничеству
эффективные технологии противодействия
мошенничеству
#FORUMBS
эффективные технологии противодействия
мошенничеству
#FORUMBS
эффективные технологии противодействия
мошенничеству
#FORUMBS
Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?
Статистика покомпьютеру клиента:
ОТКУДА?
Статистика пополучателю:
КОМУ?
Статистикапо плательщику
ОТ КОГО?
эффективные технологии противодействия
мошенничеству
#FORUMBS
Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?
Статистика покомпьютеру клиента:
ОТКУДА?
Статистика пополучателю:
КОМУ?
Статистикапо плательщику
ОТ КОГО?
• Какие пункты меню открывались?
• Какие особенности интернет - трафика?
• Есть ли подозрительные события в сессии?
эффективные технологии противодействия
мошенничеству
#FORUMBS
Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?
Статистика покомпьютеру клиента:
ОТКУДА?
Статистика пополучателю:
КОМУ?
Статистикапо плательщику
ОТ КОГО?
• С этого компьютера были хорошие платежи?
• Используется уникальная технология формирования меток компьютера на основе Cookie
• Универсальность и поддержка мобильных клиентов
эффективные технологии противодействия
мошенничеству
#FORUMBS
Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?
Статистика покомпьютеру клиента:
ОТКУДА?
Статистика пополучателю:
КОМУ?
Статистикапо плательщику
ОТ КОГО?
• Автоматическое распознавание реального получателя из
реквизитов платежа
• Автоматическое распознавание типа получателя (физ.лицо, юр.лицо, платежный шлюз)
эффективные технологии противодействия
мошенничеству
#FORUMBS
Поведение клиентав сессии ДБО:ЧТО ДЕЛАЛ?
Статистика покомпьютеру клиента:
ОТКУДА?
Статистика пополучателю:
КОМУ?
Статистикапо плательщику
ОТ КОГО?
• Основана на автоматическом формировании «белых» списков по каждому клиенту
• Самообучение по существующей истории платежей в ДБО
эффективные технологии противодействия
мошенничеству
#FORUMBS
Клиент такую платежку делал
раньше
Мошенническая платежка с тем
же р/с и БИК получателя
эффективные технологии противодействия
мошенничеству
#FORUMBS
Получатель – юридическое лицо:
обычное юр.лицо
индивидуальный предприниматель
платежный шлюз (сотовый оператор, Яндекс.Деньги и т.д.)
Статистика по ИНН получателя либо БИК+р/с получателя
Отдельный диапазон сумм пороговых значений для проверки
Диапазон пороговых значений сумм – как для физического лица (как правило, существенно меньше, чем аналогичный для юр.лица)
Статистика по ИНН получателя либо БИК+р/с получателя
Автоматическое определение
Отдельный диапазон сумм пороговых значений Экспериментальное построение статистики по
получателю
эффективные технологии противодействия
мошенничеству
Загрузка происходит совместно с web-страницей системы ДБО без участия клиента и совершенно незаметно.
В результате выполнения происходит сбор данных со страниц системы ДБО, идентификационные данные клиентского устройства и различные признаки работы как банковских троянов, так и удаленного управления устройством клиента.
#FORUMBS
эффективные технологии противодействия
мошенничеству
Сервис Bot-Trek Intelligent Bank, компания Group-IB;
Сервисы IBM Security Trusteer Pinpoint Malware Detection и IBM Security Trusteer Pinpoint Criminal Detection, компания IBM.
#FORUMBS
эффективные технологии противодействия
мошенничеству
#FORUMBS
эффективные технологии противодействия
мошенничеству
Trusteer Pinpoint:
- Bank Of America- Citibank- ColambiaBank- SVB (Silicon Valley Bank)
RSA FraudAction:
- RBS (Royal Bank of Scotland)- Barclays- MBNA- Сбербанк
ThreatMetrix:
- e-Bay- Zionsbank- VectraBank
#FORUMBS
эффективные технологии противодействия
мошенничеству
1. Профилирование устройств (Отпечаток Устройства)
2. Технологии выявления MIM, MIB и RemoteAccess)3. Формы интеграции с ДБО
эффективные технологии противодействия
мошенничеству
- Информация об экране: - Свойста JS-объектов window.screen и window.devicePixelRatio - Свойства Flash-объекта System.capabilities - Информация о типе браузера, ОС, времени: - Свойства JS-объекта navigator(userAgent, platform, vendor), Date().getTimezoneOffset() - Свойства Flash-объекта System.capabilities (version, os, language,manufacturer);- Список установленных шрифтов - С помощью перебора из списка наиболее популярных шрифтов: - с помощью свойств offsetWidth/offsetHeight HTML-элемента для разных шрифтов находятся отличные от шрифта по-умолчанию - с помощью CANVAS злемента, методом CANVAS.getContext("2d").measureText().width для разных шрифтов находятся отличные от шрифта по-умолчанию - С помощью метода Flash-объекта TextField.getFontList()- Список плагинов браузера и их версии: - Список в объекте navigator.plugins[] (Plugin.name, Plugin.description, Plugin.filename) - С помощью перебора возможных объектов ActiveX(new ActiveXObject("<pugin>") - Список поддерживаемых MIMEType (navigator.mimeTypes)-CANVAS отпечаток браузера.
В Сanvas.getContext("2d")) устанавливаются свойства(font,Style,CanvasGradient) отображения текста(fillText) и/или фигуры (fillRect). После чего от canvas берется dataUrl-контент (canvas.toDataURL("image/png"))
- Параметры графической системы с помощью WebGL (canvas.getContext("webgl")): Свойства объекта WebGLRenderingContext (version,shading_language_version,vendor,renderer) Список поддерживаемые расширений canvas.getContext("webgl").getSupportedExtensions() Конкретные значения некоторых графических параметров, например максимальное значение анизотропности текстур WebGLRenderingContext.getExtension("EXT_texture_filter_anisotropic").MAX_TEXTURE_MAX_ANISOTROPY_EXT
-Список локальных IP адресов на компьютере с помощью технологии WebRTC (потоковых данных между браузерами в режиме точка-точка, поддерживается FireFox и Chrome)
- Отпечатки в виде динамических Cookies, значений хранящихся в localStorage или в Flash SharedObject- Значения HTTP заголовков запросов User-Agent, Accept, Accept-Language
#FORUMBS
эффективные технологии противодействия
мошенничеству
Для интересующихся технологиями Browser Fingerprinting:
http://www.browserleaks.comhttps://wiki.mozilla.org/Fingerprintinghttps://trac.webkit.org/wiki/Fingerprinting
http://www.securitylab.ru/news/470621.php
Новость на SecurityLab от 30.01.2015 WebRTC позволяет раскрыть локальный IP-адресhttp://www.securitylab.ru/news/470621.phpWebRTC позволяет передавать потоковые данные (аудио/видео) междубраузерами в режиме точка-точка.
#FORUMBS
эффективные технологии противодействия
мошенничеству
2. Технологии выявления MIM, MIB и RemoteAccess
- определение возможного наличия Прокси.- прослеживание событий на элементах форм: нажатия клавиш(keydown), вставки из буфера(paste), фокус и снятие фокуса с элемента(focus/blur). - собирается отпечаток DOM страницы для определения Web инъекций- собираются установленные обработчики событий на HTML элементах (element.onclick.toString())- собираются подозрительные AJAX запросы путем переопределения прототипа (XMLHttpRequest.prtotype.open/send)- honeypot URL.
- детектирование вредоносов по набору аномальных признаков.
эффективные технологии противодействия
мошенничеству
3. Формы интеграции с ДБО
- передача на сервер зашифрованного на открытом ключе заказчика Логина полученного из формы авторизации (Trasteer, GroupIB)
- передача текущей SessionID интернет-банка на сервер (ThreatMetrix)
- сбор и передача данных непосредственно на сервер интернет-банка (например при сабмите форм)(RSA)
#FORUMBS
эффективные технологии противодействия
мошенничеству
Защита клиента строится на явномпротиводействии банковским троянам:- путем запуска браузера в защищенном режиме,- блокировки перехвата чувствительных данных,- блокировки посещения и ввода данныхна фишинговых сайтах.
#FORUMBS
эффективные технологии противодействия
мошенничеству
Выбор конкретного приложения защитыбудет зависеть от выбранного поставщикаоперативной информации:
ЗАО Лаборатория Касперского, приложение Kaspersky Fraud Prevention for Endpoints;Компания IBM, приложение Trusteer Rapport.
#FORUMBS
эффективные технологии противодействия
мошенничеству
Компания Фродекс предоставляет финансовым организациям возможность выстроить многоуровневую эшелонированную защитудля противодействия мошенничеству, позволяющую:
отслеживать, обнаруживать и изучатьфакты мошенничества;добавить к применяемой системе аутентификации клиентов еще один уровень безопасности;защищаться от таких возникающих угроз, как атака «человек посередине» и трояны «человек в браузере»;
идентифицировать попытки мошенничества без изменения привычных для клиентов систем и процедур
#FORUMBS
эффективные технологии противодействия
мошенничеству
#FORUMBS
эффективные технологии противодействия
мошенничеству
Хотите попробовать?
Получите FRAUDWALL на срок до четырех месяцев бесплатно.
СПАСИБО ЗА ВНИМАНИЕ!
#FORUMBS