Павел Крылов: Современная парадигма защиты клиентов банка должна строиться на проактивном выявлении банковского мошенничества

Павел Крылов: Современная парадигма защиты клиентов банка должна строиться на проактивном выявлении банковского мошенничества

Павел Крылов

В сфере обеспечения информационной безопасности уже более 15 лет. Разрабатывал одно из передовых российских VPN-решений, которое позже было включено в состав интеграционных решений Cisco Microsystems. Продолжил накапливать багаж знаний и навыков противодействия кибермошенникам, став начальником отдела информационной безопасности Swedbank в России. С 2013 года присоединился к компании Group-IB, где возглавил направление по защите онлайн-платежей.

...

Павел Крылов, руководитель продуктового направления Secure Bank компании Group-IB, в интервью по итогам конференции CyberCrimeCon/18 рассказал читателям Anti-Malware.ru о том, какие угрозы сегодня подстерегают пользователей банковских приложений, как от них уберечься, а также почему классического антифрода уже недостаточно.

Как за последние годы изменился масштаб угроз, связанных с использованием интернет-банка и мобильного банка?

П. К.: Банки и их клиенты по-прежнему являются основной целью финансово мотивированных киберпреступников. Ущерб российской финансовой сферы от атак киберпреступников за вторую половину 2017 года — первую половину 2018-го, по нашим оценкам, составил  2,96 млрд рублей. Значительно выросло количество преступлений, совершенных с использованием web-фишинга, фейковых сайтов банков, платежных систем. С помощью web-фишинга злоумышленникам удалось похитить 251 млн рублей, что на 6% больше по сравнению с показателем прошлого периода. 

За прошедший год эксперты Group-IB отмечают спад в России эпидемии заражения смартфонов Android-троянами после нескольких лет бурного роста. Причина в том, что новые Android-трояны, выставленные на продажу или в аренду на хакерских форумах, ориентированы прежде всего на использование за пределами России, а во-вторых, финансовые организации внедряют технологии раннего обнаружения фрода, использующие алгоритмы поведенческого анализа, что позволяет детектировать атаки, использующие социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества на всех устройствах и платформах клиента.

Впрочем, риски всё еще высоки, подтверждение этому — раскрытый в текущем году кейс: мобильный троян был замаскирован под финансовое приложение «Банки на ладони», выполняющее роль «агрегатора» систем мобильного банкинга ведущих банков страны. Троян похищал у пользователей от 100 000 до 500 000 рублей в день, однако в марте 2018 года злоумышленник был задержан полицией при содействии компании Group-IB.

В настоящее время только три преступные группы — Buhtrap2, RTM, Toplel —  похищают деньги со счетов юридических лиц в России, однако в будущем мы ожидаем начала атак на мобильный банкинг для юридических лиц. Основным методом распространения может стать контекстная реклама в поисковых системах.

Как давно Group-IB разрабатывает продукты для предотвращения банковского мошенничества? С чего все началось?

П. К.: Разработка Secure Bank началась в 2014 году, а первая коммерческая версия появилась уже через год. К тому времени у нас в Group-IB уже был накоплен опыт выявления мошенничества, и давно зрела мысль, как перейти от реагирования на уже произошедшие инциденты к раннему выявлению и предотвращению мошенничества. Классические средства выявления мошенничества не работали, злоумышленники их успешно обходили. И на рынке появился запрос на решение, которое было бы эффективно против актуальных способов мошенничества и в то же время не требовало бы установки на устройство конечного пользователя. Так началась история Secure Bank.

Почему недостаточно классического антифрода, анализирующего поток транзакций?

П. К.: Несмотря на наличие транзакционных антифрод-систем, антивирусов, использование одноразовых паролей и так далее, мошенники все равно производят хищения. Они научились анализировать существующие способы защиты и находить методы их обхода.

Большинство антифрод-систем фокусируются на анализе транзакционной информации либо данных, поступающих непосредственно на серверы банка (IP-адрес клиента, информация о его браузере, темп работы в веб- или мобильном приложении и т. п.). Если рассматривать мошенничество как некий процесс, включающий в себя не только момент проведения транзакции, но и этапы подготовки и вывода денежных средств, становится очевидно, что транзакционные антифрод-системы анализируют лишь ограниченный спектр работы мошенников.

Теоретически, транзакционный антифрод может остановить все хищения, достаточно проверять каждый нехарактерный платеж клиента. Однако при таком подходе обнаружится, что под проверку попадут более 99% легитимных транзакций, что приведет как к чрезмерным издержкам в банке, так и к лишним раздражающим клиентов звонкам. Очевидно, что такой подход неприемлем, и банк вынужден находить баланс между безопасностью, удобством и целесообразностью. К сожалению, это повышает риск пропустить хищение.

Secure Bank решает эту проблему, детектируя дополнительные факторы готовящегося мошенничества: например, сообщает, если устройство заражено конкретным трояном. В результате антифрод анализирует транзакции с учетом дополнительных параметров, выявленных Secure Bank. Также продукт Group-IB позволяет выявлять мошенников по устройству до совершения транзакции: например, если они работают с одного и того же устройства, проводя массовые атаки с использованием методов социальной инженерии. Таким образом, можно анализировать лишь транзакции, а можно быть на шаг впереди и анализировать факт того, что мошенник повторяет свои действия с того же устройства.

Методы атак злоумышленников постоянно развиваются: современная парадигма защиты клиентов банка должна строиться на проактивном выявлении банковского мошенничества и глубоком анализе поведенческих параметров пользователя, сценариев и каналов взаимодействия с банком. 

Secure Bank каким-то образом конкурирует с классическими банковскими антифрод-системами?

П. К.: На самом деле Secure Bank не столько конкурирует с классическими антифрод-системами, сколько дополняет их.

Классический антифрод анализирует транзакционную информацию, а Secure Bank — сессионную (откуда пришел клиент, с какого устройства, с каких регионов он ранее заходил и т. д.) и поведенческую (что и как делает пользователь: например, куда чаще заходит и что смотрит, как работает с приложением, как быстро печатает и другие поведенческие параметры). Эти характеристики не пересекаются. Сессионные и поведенческие данные, анализируемые Secure Bank, позволяет заказчику сделать более взвешенный вывод об операции, чем просто анализ транзакции.

В частности, Secure Bank позволяет не только выявлять злоумышленников за счет анализа их активности, которая предшествует совершению мошеннического платежа. Продукт Group-IB также дает возможность существенно снизить количество ложных срабатываний традиционного антифрода для легитимных пользователей, которые подпадают под те же процедуры контроля, введенные против мошенников. По результатам работы Secure Bank у ряда клиентов количество ложных срабатываний снизилось на 70-80%.

Какие ограничения у Secure Bank в части зрелости ИТ-инфраструктуры и процессов на стороне банка? Какая подготовительная работа должна предшествовать внедрению систем такого класса?

П. К.: В зависимости от бизнес-процессов, построенных в банке, Secure Bank может использоваться автономно, без основной антифрод-системы банка, проактивно выявляя подготовку мошенничества. Например, Secure Bank используется подразделениями ПОД/ФТ (противодействие отмыванию доходов и финансированию терроризма) для повышения их эффективности по выявлению фактов отмывания средств, что не требует наличия антифрод-системы или интеграции с какой-либо автоматизированной системой со стороны банка.

Однако система полностью себя раскрывает при интеграции в уже существующий автоматизированный процесс выявление мошенничества, обогащая данными банковский антифрод.

Secure Bank мгновенно распространяется на всю клиентскую базу в виде JavaScript-модуля для работы в браузере. Продукт Group-IB cтавится в составе мобильного приложения, не требуя установки дополнительного программного обеспечения на устройство клиента.

Регуляторы, в частности Центральный банк России, каким-то образом воздействуют на этот рынок?

П. К.: 26 сентября 2018 вступил в силу Федеральный закон от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», согласно которому банки обязаны отслеживать признаки мошенничества в отношении денежных переводов клиентов банков. 27 сентября Банк России установил признаки мошеннических платежей, которые банки должны блокировать для последующей проверки. Во всех банках в стране теперь должны работать антифрод-системы, которые определяют устройства, ранее использовавшиеся и замеченные в мошеннических атаках, и выявляют подозрительные изменения в технических характеристиках устройства и в действиях пользователя во время сессии. Secure Bank удовлетворяет этим требованиям.

Сколько внедрений в настоящее время у Secure Bank?                                                        

П. К.: Secure Bank защищает клиентов ряда крупнейших банков, включая более 70 млн пользователей «Сбербанк Онлайн» и «Сбербанк Бизнес Онлайн». Система обрабатывает более 9,5 млн сессий в сутки.

В своей презентации на CyberCrimeCon/18 вы рассказали про некоторые примеры успешных внедрений, когда с помощью Secure Bank удалось существенно сэкономить потери или издержки банка. Расскажите об этом подробнее, как можно измерить эффективность и окупаемость системы?

П. К.: Атакам подвергаются не все клиенты банка, при этом ограничения и меры по защите от фрода, такие как SMS-подтверждения операций, применяются к 99% легитимных пользователей. Secure Bank и адаптивная аутентификация позволяют отказаться от 80% кодов, что позволяет сэкономить миллионы на SMS-рассылке.

Также Secure Bank идентифицирует устройства клиентов и предоставляет их показатели доверенности банку. При отсутствии каких-либо других признаков компрометации это позволяет ослабить проверки операций и снизить издержки банка на подтверждение транзакций. Так, у одного из клиентов нагрузка на подразделение противодействия мошенничеству и количество звонков клиентам снизились в 2,5 раза.

При сравнении использовался анализ статистики по платежам до внедрения Secure Bank и данных по количеству звонков клиентам, платежам и принятым решениям о дополнительных проверках после внедрения нашей системы.

Какие показатели учитываются системой при анализе пользовательской сессии?

П. К.: Показателей очень много, но все их можно разделить на следующие блоки:

  • параметры устройства, с которого работает пользователь. Они позволяют построить цифровой «отпечаток» устройства и ответить заказчику на вопрос, пришел ли пользователь с того же устройства, что и раньше, несмотря на использование анонимайзеров и другие попытки мошенника скрыться;
  • индикаторы компрометации устройства, такие как веб-инъекции или наличие вредоносного мобильного приложения, нацеленного на хищение денежных средств;
  • поведенческие данные о том, что и как делает пользователь. При этом собирается не конкретная информация, которую вводит пользователь, а только метрика, как он это делает.

Каким образом выполняется анализ аномальности поведения пользователей и его профилирование?

П. К.: Secure Bank собирает поведенческие данные, анализирует шаги, которые пользователь совершает в системе дистанционного банковского обслуживания (ДБО). Эта информация накапливается в его профиле, что позволяет создать цифровой портрет пользователя. Благодаря этому мы можем выявить как отклонения относительно индивидуального профиля, так и сравнить его с усредненным профилем легитимного пользователя и профилем мошенника.

В Secure Bank реализованы разработанные нашими специалистами по Data Science алгоритмы поведенческого анализа, позволяющие детектировать мошеннические сессии на основании собранной информации о ранее осуществленных легитимных и мошеннических действиях. Например, мошенники пытаются украсть деньги наиболее удобным, простым и быстрым способом. В процессе перевода они не будут между делом проверять счета за ипотеку, оплачивать услуги ЖКХ или смотреть таргетированную рекламу. А обычный пользователь, наоборот, может просматривать другие страницы, разделы и баннеры. То есть система при правильной настройке параметров алгоритма в автоматическом режиме определяет последовательность действий, характерную для мошенников и для легитимных пользователей.

Также мы используем «комплексную биометрию»: анализ клавиатурного почерка пользователя или почерка движения мыши. В итоге система выявляет социальную инженерию, фишинг, бот-сети, захват учетной записи, сети нелегального обналичивания денег и другие виды банковского мошенничества.

Помогают ли в этом процессе накопленные компанией знания в области расследования компьютерных преступлений и Threat Intelligence?

П. К.: Мы интегрировали в Secure Bank данные системы Group-IB Threat Intelligence, которая входит в число лучших по версии международных агентств IDC, Gartner и Forrester. Являясь одним из ключевых технологических преимуществ нашего продукта, данные Threat Intelligence позволяют получить как стратегические знания о том, какую атаку планирует мошенник, так и тактические данные о том, что он уже совершил относительно тех или иных пользователей. В последнем случае, если системы защиты организации пропустили выявленные инциденты, это дает возможность не только предпринять опережающие действия относительно уже скомпрометированных данных, но и обучить свои защитные системы на реагирование против новой угрозы.

Важно отметить практическую ценность информации: продукт Secure Bank был построен и продолжает развиваться на основании данных из расследуемых инцидентов, анализируемых экземплярах вредоносных программ, анализе работы преступных группировок, что позволяет создавать высокоточные алгоритмы выявления их работы.

Кроме того, Threat Intelligence получает информацию о скомпрометированных пользователях способами, отличными от используемых в Secure Bank. Эти результаты в дальнейшем используются для обучения Secure Bank.

Каково количество ложных срабатываний Secure Bank, и как выстраивается процесс их минимизации, обучения системы?

П. К.: Для минимизации количества ложных срабатываний необходимо рассматривать совокупность данных, в том числе транзакционные данные и другую информацию о пользователе, полученную из банковского антифрода. Обезличенная информация о случаях мошенничества или, наоборот, о поведении легитимного пользователя, полученные от заказчика, позволяют адаптировать правила и алгоритмы машинного обучения Secure Bank. Как мы уже отмечали ранее, одному из клиентов Group-IB после внедрения Secure Bank удалось сократить количество ложных срабатываний по выявлению мошенничества с использованием социальной инженерии на 79%.

В сентябре 2018 года был анонсирован Secure Bank Mobile SDK. Расскажите, что это такое?

П. К.: Secure Bank Mobile SDK — дополнение к основному продукту Secure Bank для защиты как раз мобильных банковских приложений и банковских платежей. По данным Банка России, представленным в июле, доля людей, использующих интернет-банкинг или мобильный банкинг, выросла в 2018 году до 45,1% с 31,5% в 2017 году. Одновременно с этим участились атаки с использованием методов социальной инженерии, из-за чего выявить их классическими системами нельзя.

Концепция работы Secure Bank Mobile SDK полностью совпадает с веб-версией продукта. Модуль собирает поведенческие и сессионные данные для выявления мошенничества в режиме реального времени. Secure Bank Mobile SDK расширяет спектр анализируемых каналов, поведенческих параметров пользователя, сценариев и каналов взаимодействия с банком, дополняя его мобильным, что позволяет банку выявлять как моноканальные, так и кросс-канальные атаки.

Насколько Secure Bank Mobile SDK влияет на быстродействие и энергоэффективность банковского мобильного приложения?

П. К.: Mobile SDK не оказывает существенное влияние на быстродействие, поскольку не производит каких-либо ресурсоемких операций на устройстве, а финальный анализ собранных данных осуществляется на серверной стороне, снимая нагрузку с конечного устройства пользователя. Это позволяет ускорить процесс детектирования мошенничества, поскольку правила их выявления работают в центре, а не на устройстве, позволяя оперативно их обновлять в случае выявления новой угрозы, например, нового мобильного трояна.

Какое развитие в продукте могут получить технологии машинного обучения? В теории можно не только отличать легитимного пользователя от злоумышленника, но и отслеживать психологический портрет последнего. Это может быть использовано в дальнейшем в модели оценке рисков и для формирования специальных предложений со стороны банка.

П. К.: Машинное обучение позволяет обнаруживать новые способы работы мошенника и автоматизировать анализ работы пользователя, скорость адаптации под конкретные условия заказчика и внешние условия со стороны мошенника, обеспечивая использование индивидуальных параметров, а не шаблонных схем.

Спасибо за интервью! Желаем успехов!