El software inteligente que protege a bancos y El software inteligente que protege a bancos y consumidores de los más sofisticados ataques consumidores de los más sofisticados ataques informáticosinformáticos

La Solución Antifraude para La Solución Antifraude para

la Banca Online la Banca Online Zane RyanZane Ryan

Dot ForceDot Force

Tel. +34 93 656 7400Tel. +34 93 656 7400

Web: www.dotforce.esWeb: www.dotforce.es

Agenda

2

• Problemática actual del fraude en la banca electrónica

• Retos para atajarlo

• Solución de prevención del fraude a través de operaciones bancarias Online

• Beneficios

El fraude Online es una realidad

3

• Es muy rentable robar dinero por medios electrónicos • Los titulares reducen la confianza del público

Las técnicas de fraude

4

• Acceso ilícito a cuentas corrientes Online a través de:– El robo de credenciales del usuario

– Phishing

– Web-in-the-Middle (troyanos)

• Transferencias de dinero – Desplazar el dinero a través de una cadena de cuentas que actúan

como tapadera hasta la cuenta final en bancos extranjeros (a menudo a través de la contratación en línea de las cuentas corrientes).

– Conseguir múltiples núm. de teléfono para utilizarlos y recaudar dinero a través de llamadas a líneas de alta facturación (tipo Premium).

– Recarga de tarjetas de prepago y su uso inmediato para la compra de bienes de fácil adquisición (joyas, aparatos electrónicos, etc.).

5

• Transmiten nombres de usuario, contraseñas y certificados de

firma digital, capturas de pantalla y de teclado

• Los Antivirus no suelen detectarlos

• La variante más difundida actúa en “modo de espera” hasta

que el usuario se conecta a una de las URL que figuran en el

troyano

• El troyano capta los datos confidenciales y los envía a un

destino pirata

Troyanos Bancarios

Web-in-the-middleWeb-in-the-middle

6

• Trojan.silentbanker y sus variantes afectan a usuarios de los servicios de la

banca Online sin que lo sepan

• Interceptan la información de la cuenta del cliente, antes de que esta se

codifique, enviándola a una base de datos de ataque centralizada

• Durante la operación bancaria, Silentbanker sustituye la cuenta del usuario

por la cuenta del Hacker, mientras el usuario sigue pensando que se trata de

una transacción bancaria normal

• Ya que el usuario no sospecha que sus datos están siendo interceptados,

envía dinero a la cuenta del Hacker tras haber pasado por el sistema de

autenticación de la transacción

Contramedidas limitadas

7

• La banca no dispone de medios específicos para contrarrestar infecciones

que afectan al PC del cliente

• Sólo en algún caso el banco percibe, a nivel de archivos de registro, la

presencia de Malware en el ordenador de su cliente, p. ej. cuando el

troyano cambia la página para solicitar información de algún campo POST

al servidor Web, lo que no ocurre en operaciones "limpias".

• Es complicado decidir qué medida tomar:

– Advertir al cliente: existe el riesgo de que esto sea percibido como una

lesión a su intimidad. Podría pensar que el banco, para poder facilitar

esta información, se introduce en su PC

– Controlar manualmente la cuenta en cuestión para destacar un posible

fraude

Estimación del riesgo

8

• A raíz de un análisis de archivos de registro de nuestros clientes bancarios

que llevamos a cabo en el 2008 en Italia , calculamos que:

– Aproximadamente el 0,5% de los usuarios están infectados con

Trojan.Silentbanker

– El 0,5% de las transacciones pueden ser potencialmente fraudulentas

– Un 0,5% restante está afectado por otros troyanos que modifican el

acceso a las páginas

• Ampliando la evaluación a la escena nacional podemos calcular que:

– El número de cuentas bancarias en línea en Italia es alrededor de 10

millones, lo que da lugar a 50.000 posibles infectados

– El fraude se realiza normalmente mediante tres o más transferencias de

cantidades que oscilan entre los 2.000 y 5.000 €

– El volumen de negocio con este tipo de fraude asciende a 300.000.000 €

RAKE – Previene el fraude Online

9

• Rake detecta el comportamiento anómalo de los usuarios mediante una metodología de clustering (agrupación) y clasificación propia del Data Mining (minería de datos), parecido a las programas de detección de fraude utilizados por los principales gestores de tarjetas de crédito:

– Monitorización automática de cuentas corrientes y señalización de todos los movimientos irregulares en base a los procesos de Data Mining

– Dirigidos a la identificación del perfil de comportamiento de cada usuario

– Clustering automatizado del comportamiento de los usuarios: permite identificar y reconocer los patrones que se desvían del modo usual de operar

– Análisis histórico de los parámetros típicos de los usuarios para disminuir la presencia de falsos positivos aumentando la eficacia del instrumento en sí

• Esta metodología es exitosa aun con nuevos tipos de fraude ya que se basa en el análisis del comportamiento y no en el conocimiento del procedimiento mediante el que se lleva a cabo la estafa

10

Detección de anomalíasDetección de anomalías

Desviaciones de comportamiento a través de la agrupación de operaciones

AnomalíaAgrupación de comportamientos normales

Clustering – La agrupación del comportamiento de las transacciones de los usuarios

Fase di raccolta dati

El sistema está configurado para cargar y mantener un número de transacciones que garantice una base estadística que valide las operaciones de clasificación y agrupación

Recogida de datos Recogida de datos Procesos de agrupación Procesos de agrupación

Los Clusters se calculan utilizando los movimientos relativos a los últimos 6 meses para englobar sólo los hábitos más recientes

Utilizando estos movimientos, los clusters estadísticos son examinados con el algoritmo EM (Expectation Maximization) después de excluir los valores atípicos (eventos no vinculados a los grupos) con otros algoritmos de clustering (Óptics LOF o DENCLUE)

El proceso de clustering se realiza a diario, después de obtener y procesar los logs (registros) y los resultados se guardan en una segunda base de datos para mejorar y perfeccionar el rendimiento del sistema

Los resultados del clustering se incluyen en una base de datos para facilitar las comparaciones entre las nuevas peticiones y los clusters pre-calculados del nuevo grupo para dar una valoración a las transacciones

11

Identificación de patrones

12

• Mecanismos de identificación de patrones para determinar la sucesión de eventos en el pasado que han dado lugar a fraude

– Es posible importar las operaciones de los últimos seis meses de los clientes de la banca Online al programa para crear un historial de comportamiento y que RAKE pueda detectar anomalías desde su instalación.

– También se pueden integrar los casos conocidos de fraude dentro de la base de datos como eventos anómalos para mejorar la exactitud de la detección.

• Mecanismos de geo-IP que registran cualquier cambio brusco de ubicación del usuario al acceder a la Banca por Internet

– Esta función se integra con el análisis de destinatarios (y con los agentes de usuario) para seleccionar los falsos positivos

– El sistema permite la comparación de la dirección IP del usuario con un lista negra que contiene direcciones utilizadas por los servicios de anonimización (lista que se va actualizando con nuevos Anonymisers)

13

Las listas y los Anonymizers

• Mecanismos de búsqueda de los Anonymizers para identificar las operaciones derivadas de los servicios de enmascaramiento de direcciones IP

– RAKE recoge las direcciones IP de los principales servicios de Anonimización, como TOR, actualizándose diariamente. Esto permite el análisis del origen de múltiples transacciones desde dichos servicios para bloquearlas o añadirlas a las listas negras

• Listas Blancas y Listas Negras para permitir la gestión separada (independiente) de ciertas cuentas corrientes si fuese necesario

– RAKE permite la inclusión de cuentas nominadas en la lista blanca, para excluirlas de cualquier chequeo, mientras permite, al mismo tiempo, la adición a la lista negra de datos bancarios, números de teléfono, o números de tarjetas recargables sospechosas

Tres técnicas de clustering para maximizar la exactitud del análisis

Cluster EM

(Expectation Maximization)

Cluster EM

(Expectation Maximization)Cluster 2D-GridClusteringCluster 2D-GridClustering OPTICS Local Outlier

DetectionOPTICS Local Outlier

Detection

Evaluación geométrica de la distancia de las agrupaciones existentes utilizando una de dos dimensiones GridClustering algoritmos. Una vez más, esta evaluación se hace sin un cálculo de la agrupación .

Cálculo de las desviaciones desde las agrupaciones con OPTICS para determinar si los eventos individuales entran dentro de la agrupación o si se puede identificar como un Outlier (fuera del umbral).

La aplicación de tres diferentes técnicas facilita la definición de los procedimientos para alertar las anomalías y contactar con el cliente para verificar la transacción

14

Se evalúa si las operaciones encajan dentro de las distribuciones normales clasificadas por el E.M. Clustering.

Esta evaluación se realiza sin ningún tipo de reevaluación de los Clusters.

Modos de configuración de la aplicación RAKE

15

• Modo de Aplicación Online

– RAKE se relaciona directamente con la aplicación de la banca electrónica. – Recibe todos los datos de la transacción y devuelve una valoración de 0

(operación limpia) a 10 (operación con una alta probabilidad de ser fraudulenta)

– La aplicación bancaria puede realizar una petición adicional al cliente para verificar la autenticidad de la operación o enviar un SMS para su confirmación

• Modo de Aplicación Off-Line

– Se evalúan diariamente las operaciones y se presenta un informe con todos los eventos sospechosos registrados

– Se pueden remitir estos informes al departamento pertinente para contactar con el cliente y verificar la autenticidad de las transacciones.

Instalación y configuración de RAKE

16

• RAKE se basa en tres módulos:

– El clustering que tiene en cuenta el historial de cada cuenta con la lista de los beneficiarios, el "user-agent" y las Direcciones IP de sus proveedores habituales de Internet

– La base de datos que, además de mantener los movimientos y agrupaciones, a través de procedimientos almacenados produce informes diarios de sospecha de fraude

– El client que marca en tiempo real el grado de integridad de cada operación

• Los tres módulos se pueden instalar en una sola máquina o dividirse en diferentes máquinas para perfeccionar el rendimiento de la aplicación

• El componente “client” puede ser replicado e integrado con balanceadores de carga

• El módulo “Base de Datos” es ejecutable tanto en MySQL y Oracle 11g y se puede integrar con las bases de datos ya existentes de la entidad

17

Administración

• RAKE es fácilmente manejable a través de interfaz Web

• Los informes se visualizan a través de Web o se descargan en formato CSV o XLS

• A petición del cliente se pueden mostrar los informes a través de un servicio Web

• Se muestran a continuación un par capturas de pantalla de la interfaz administrativa e informes

18

Configuración - General

Configuración – Listas negras

19

20

Implantación y resultados

en un cliente

• Más de 30.000 empleados

• 3.000 oficinas en Italia

• Más de 500.000 usuarios de la banca Online

• En los últimos seis meses RAKE interceptó entre 5 y 10 operaciones fraudulentas al mes

• RAKE previno el 70% de los intentos de fraude a la banca electrónica

• El restante 30% son principalmente incidencias cometidas por personas con conocimiento intimo del usuario o de la cuenta

El beneficio más importante El beneficio más importante ha sido el aumento de la ha sido el aumento de la confianza de los clientes en confianza de los clientes en el servicio de banca el servicio de banca electrónica.electrónica.

21

Resumen sobre RAKE

• Rake es un software eficazmente probado para la prevención de fraudes procedentes de aplicaciones maliciosas instaladas en los equipos de los usuarios y que los bancos no pueden controlar

• Rake es una medida de prevención de fraude que aumenta la confianza de los clientes en la banca Online

• Con Rake la reducción del fraude es inmediata

¿Cuánto dinero pueden ahorrar Ustedes?¿Cuánto dinero pueden ahorrar Ustedes?

RAKE

Gracias !

Dot Force, S.L.Dot Force, S.L.Tel. (+34) 93 656 74 00Tel. (+34) 93 656 74 00Email: Email: info@dotforce.esURL: www.dotforce.esURL: www.dotforce.es

22