РУССКИЙ
РУССКИЙ
ENGLISH
Щит и меч
Group-IB Fraud Hunting Platform защитит «цифровую личность» пользователя
Павел Крылов
Руководитель департамента Group-IB Fraud Hunting Platform
Июль 2020 года. Сотрудник одного из российских банков чуть было не поперхнулся холодным чаем, когда обнаружил в открытом доступе в интернете копию системы дистанционного банковского обслуживания своей кредитной организации. Первой реакцией менеджера, конечно, был шок, потом пришло осознание, что нужно что-то срочно делать. Банк обратился в Group-IB за помощью. В игру вступили аналитики Group-IB Fraud Hunting Platform.
Group-IB Fraud Hunting Platform - новая комплексная система для защиты цифровой личности пользователя, выявления и предотвращения мошенничества, вплоть до фактического задержания злоумышленников. Она стала преемницей продуктовой линейки Secure Bank\Secure Portal, которую Group-IB развивала с 2013 года, выиграв грант Фонда Сколково на инновационную разработку средства защиты против онлайн-фрода.
Аналитики FHP проанализировали активность данной учетной записи и обнаружили, что после посещения фишингового ресурса, вход в реальный ДБО банка был осуществлен с ранее незнакомого устройства, которое использовало в своей работе ряд хостинг-провайдеров для сокрытия.

Обладая данными по мошенническому устройству, аналитики FHP построили связи и нашли еще два «вражеских» гаджета и шесть новых учетных записей, в которые злоумышленники осуществляли вход за короткий промежуток времени .Вся полученная информация была передана в банк. Кредитная организация заблокировала учетки до вывода денег, CERT-GIB - фишинговый ресурс.
За шесть месяцев 2020 года Group-IB предотвратила ущерб на 320 млн рублей, благодаря Fraud Hunting Platform.

Еще немного цифр. Новое решение компании ежедневно защищает 130 млн пользователей. Благодаря ему, Group-IB удалось предотвратить отмывание денег у крупной российской кредитной организации на 1,5 млрд рублей в квартал.

Group-IB Fraud Hunting Platform позволяет бороться с:

  • Хищениями с использованием социальной инженерии (подложные сайты, мошеннические рассылки и звонки, через социальные сети);
  • Мошенничеством с учетной записью пользователя (несанкционированный досуп, множественные регистрации, несанкционированные действия от имени пользователя);
  • Платежным мошенничеством (хищения из систем дистанционного банковского обслуживания, карточное мошенничество, подмена реквизитов);
  • Использованием вредоносного программного обеспечения (веб-инъекции, мобильные трояны, несанкционированный удаленный доступ);
  • Отмывом денежных средств и финансированием терроризма (вывод средств через сеть аффилированных компаний, вывод средств через "дропперов");
  • Кредитным мошенничеством (подача множественных заявок, использование ворованных перс. данных);
  • Вредоносной бот-активностью (перебор паролей, симуляция активности пользователя, скрапинг).
В отличие от классических антифрод-решений, новая платформа Group-IB находит и останавливает вредоносную активность задолго до осуществления атаки, при попытке воспользоваться скомпрометированными учетными данными или воспроизвести действия легитимного пользователя.
Как именно действует Fraud Hunting Platform?
Рассмотрим на примере атаки Credential Stuffing. Это использование уже скомпрометированной учетной записи со стороннего ресурса для несанкционированного доступа к множеству личных кабинетов одного и того же пользователя. Бот написан таким образом, что по статическим параметрам выявить его довольно сложно, например, скрыты признаки использования headless-бразуеров (Selenium).

Задача данного бота - войти в личный кабинет пользователя и дальше убедиться в наличии бонусных баллов.
В Интерфейсе FHP мы видим сразу несколько алертов, по которым можно классифицировать данную активность, как бота:

1- Использование Hosting провайдера

2- Выявлено правило «Bot activity detected»

3- «Keystroke dynamics score» - поведенческий маркер, который говорит об аномалии в клавиатурном почерке.
Наиболее интересное правило - «Keystroke dynamics score». Благодаря ему, в рассматриваемой ситуации удалось обнаружить, что клавиатурный почерк при новой авторизации очень сильно изменился. Красная линия показывает, что скорость печати достигала 400 CPM(characters per minute) в пике, тогда как в обычных случаях значение было до 200 CPM.

Подобного рода аномалия может свидетельствовать о том, что учетная запись пользователя скомпрометирована.

Group-IB Fraud Hunting Platform в настоящее время анализирует каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении. Продукт создает уникальный цифровой отпечаток устройства активного пользователя, помогая выявлять подозрительную активность и блокирует мошеннические действия.
Cостав Group-IB Fraud Hunting Platform
Новое решение Group-IB включает нескольких функциональных блоков. Web Snippet или Mobile SDK с момента загрузки первой страницы веб-ресурса или запуска мобильного приложения собирают и передают в серверную часть системы поведенческие характеристики пользователя и окружения, в котором исполняется мобильное или веб-приложение. Processing Hub системы Group-IB Fraud Hunting Platform в ответ на полученные данные каждый раз формирует новый серверный файл cookie с вердиктом о наличии признаков бот-активности. При запросе из мобильного или веб-приложения Mobile SDK или Web Snippet дополнительно формируют и передают клиентский файл cookiе на базе серверного.

Внедрение Web Snippet в страницы интернет-порталов и Mobile SDK в мобильные приложения банков, платежных систем, компаний электронной коммерции, государственных и коммерческих организаций позволяет собирать параметры используемых для доступа устройств конечных пользователей, наличие индикаторов компрометации, поведение юзера и другие неконфиденциальные данные для профилирования каждого сеанса его работы. Аккумулированные данные передаются в серверную часть Fraud Hunting Platform - Processing Hub, где они обрабатываются и коррелируются в режиме реального времени с использованием алгоритмов машинного обучения и правил выявления мошенничества.

Preventive Proxy проверяет наличие, корректность и уникальность файлов cookie на запросах с устройства пользователя, и на их основе принимает решение о наличии бот-активности.
Preventive Proxy является ключевым функциональным модулем нового решения и предназначен для выявления и блокирования вредоносных программ в режиме реального времени. Мы подробно рассказывали о нем в прошлом выпуске «Вестника»: https://portal.group-ib.net/preventiveproxy.

Group-IB Fraud Hunting Platform использует следующие технологии:

  • Поведенческий анализ:
    • Индивидуальный поведенческий профиль для каждого пользователя;
    • Косвенная идентификация по поведению пользователя;
    • Анализ схожести поведения пользователя с мошенником;
    • Выявление аномалий в поведении пользователя.
  • Анализ устройства:
    • Индивидуальный профиль устройства;
    • Стойкий цифровой отпечаток устройства (device fingerprinting);
    • Выявление эмуляторов устройств, подмены параметров устройства;
    • Анализ защищенности.
  • Безагентское выявление зловредного кода:
    • Выявление веб-инъекций;
    • Выявление мобильных троянов сигнатурным и поведеческим способами;
    • Выявление несанкционированного удаленного доступа.
  • Анализ связей:
    • Выявление кросс-канального и кросс-банковского мошенничества;
    • Глобальная идентификация устройства;
    • Построение связей между устройствами и учетными записями;
    • Визуализация связей.
  • Выявление и блокирование бот-активности:
    • Выявление и блокирование прямого обращения к веб- и мобильному API;
    • Выявление и блокирование интеллектуальных ботов;
    • Маркирование и блокирование бота как на уровне сессии, так и отдельных запросов.
  • Правила и модели выявления мошенничества:
    • Гибкий язык конструктора правил;
    • Индивидуальные правила и модели под заказчика;
    • Возможность предоставления обратной связи для переобучения моделей.
  • Интеграция с Group-IB Threat Intelligence:
    • Индикаторы зловредного программного обеспечения;
    • Скомрометированные учетные записи;
    • Скомрометированные платежные карты;
    • IP Intelligence: TOR, прокси, хостинги;
    • Подложные и зловредные домены.
Fraud Hunting Platform позволяет решить следующие задачи:

Анализ связей между устройствами и пользователями

Новое решение Group-IB выявляет использование скомпрометированных устройств и учетных записей пользователей. Для каждого параметра, характеризующего взаимодействие юзера с защищаемым ресурсом, можно найти другие связанные параметры, зафиксированные платформой. На их основе, а также при исследовании связей можно обнаружить:

  • доступ в приложение из одной учетной записи со многих устройств;
  • доступ в приложение из многих учетных записей с одного устройства;
  • использование украденных/скомпрометированных учетных записей
  • связанные устройства, которые использовались для совершения мошеннических действий в других приложениях


Безагентное обнаружение вредоносных программ

Fraud Hunting Platform «ловит» банковские трояны (включая поддельные веб-страницы и мобильные приложения), фиксирует несанкционированный удаленный доступ, веб-инъекции (атаки «Человек-в-браузере»), кросс-канальные атаки, применение социальной инженерии, активность ботов, брутфорс, сбор личных данных. В решении Group-IB реализованы запатентованные алгоритмы, которые позволяют детектировать зараженные устройства без участия клиента и без установки дополнительного ПО.



Данные Group-IB Threat Intelligence

Fraud Hunting Platform позволяет обнаружить новейшие типы мошенничества, подготовку фишинга и других типов атак. В платформу интегрированы данные системы Group-IB Threat Intelligence, которая входит в число лучших по версии международных агентств IDC, Gartner и Forrester. Уникальная информация о киберпреступниках, вредоносных программах, IP-адресах злоумышленников и скомпрометированных данных (логины, пароли, банковские карты) обогащает антифрод-системы и команды кибербезопасности, позволяя выявить действия злоумышленников и установить их.



Глобальный профиль пользователя

Новое решение Group-IB выявляет мошенничество с открытием счета, отмывание средств, применение социальной инженерии. Сопоставляя обезличенную информацию из различных источников, Group-IB Fraud Hunting Platform создает глобальный профиль пользователя, охватывающий все онлайн-каналы. Понимание связей между юзерами, аккаунтами и устройствами позволяет с большей точностью отличить легитимных клиентов от мошенников, а сочетание Group-IB Fraud Hunting Platform с уникальными данными Threat Intelligence дает возможность выявить скрытые угрозы и подозрительные связи.



Кросс-канальная защита

Fraud Hunting Platform обнаруживает и блокирует кросс-канальные атаки, мошенничество с операциями без карты (CNP). Web Snippet и Mobile позволяют осуществлять корреляцию данных о поведении пользователя на его устройствах при работе через различные каналы взаимодействия с банком и выявлять широкий спектр кросс-канальных атак, в том числе атаки на сторонние платформы, наиболее уязвимые для мошенничества с операциями без карты, например, интернет-магазины. Скрипт Group-IB Fraud Hunting Platform можно интегрировать в код страниц системы 3-D Secure для выявления обналичивания средств с украденных мошенником карт или использовании им поддельных сайтов для приема платежей.

Group-IB Fraud Hunting Platform позволяет сократить издержки, благодаря:

  • Адаптивной аутентификация, ликвидация лишних проверок при входе
  • Адаптивному подтверждение операций;
  • Снижению затрат на СМС-рассылку и других средств двухфакторной аутентификации;
  • Уменьшению количества звонков клиентам для подтверждения их операций;
  • Ликвидации лишних шагов при аутентификации пользователя;
  • Повышению лимитов при проведении операций.
Внедрение Group-IB Fraud Hunting Platform

Для работы защиты от ботов понадобится внедрить Web Snippet (для веб-портала) или Mobile SDK (для мобильного приложения) системы Group-IB Fraud Hunting Platform.

Preventive Proxy можно внедрить в инфраструктуру приложения или в облако Group-IB и настроить проксирование запросов через Preventive Proxy или модуль auth-request в NGINX.

Варианты поставки:

  • Docker-контейнер
  • Бинарный исполняемый файл
  • Облако Group-IB
Обработка трафика возможна через:

  • проксирование запросов через Preventive Proxy
  • разметку с помощью auth-request в NGINX
Проксирование запросов через Preventive Proxy

Preventive Proxy можно интегрировать в инфраструктуру приложения в виде "петли" на балансировщике запросов. В этом случае Preventive Proxy будет получать от балансировщика пользовательские запросы полностью (заголовки и тело) и в ответ передавать вердикт обратно балансировщику.

Другой способ интеграции - "в разрыв" между балансировщиком запросов и бэкэндом приложения. Тогда вердикт Preventive Proxy будет обрабатываться на бэкэнде приложения. Для запросов на статический контент можно настроить фильтрацию и перенаправление на бэкэнд приложения. Для нагрузки в 20-30 тыс. запросов/сек (исключая статический контент) минимальные ресурсы сервера:

  • CPU 4 ядра, 2 потока на каждое ядро
  • RAM 8 Гб
Модель лицензирования Fraud Hunting Platform

  • Защита порталов (веб и мобильные каналы) – количество уникальных пользователей в год
  • P2P – лицензируется по количеству транзакций
  • 3DS – лицензируется по количеству транзакций
Preventive Proxy – лицензируется по количеству сессий в месяц.

Варианты развертывания Fraud Hunting Platform:

А) Облачное решение - Гибкая и быстрая интеграция с облачной инфраструктурой в стране клиента (SaaS)

Б) Автономное решение FHP в инфраструктуре клиента (On-premise). и услугу по мониторингу осуществляет GIB (SecaaS);

В) Гибридное решение - Смешанная реализация в соответствии с индивидуальными требованиями клиента.
Например, модуль Preventive Proxy разворачивается в периметре у клиента, а Processing Hub в облаке Group-IB.

Выводы:
В режиме реального времени Group-IB Fraud Hunting Platform анализирует каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении. Основанная на поведенческом анализе и алгоритмах машинного обучения, система создает уникальный цифровой отпечаток устройств, «связывает» с ними пользователя и его аккаунты, что позволяет с большей точностью отличить его действия от действий мошенников, даже если те, к примеру, завладели его мобильным телефоном или платежными данными.

При этом единая информационная среда для всех продуктов Group-IB позволяет системе Fraud Hunting Platform использовать уникальные данные Threat Intelligence, что дает возможность выявлять скрытые угрозы и подозрительные связи, использовать эту информацию при расследовании, а также «охотиться» за злоумышленниками, выходя на причастных к инциденту лиц.

Fraud Hunting Platform способна работать в высоконагруженном режиме, обрабатывая десятки миллионов запросов к интернет-ресурсам и мобильным приложениям одновременно блокируя на них вредоносную активность. Новую систему можно назвать эволюционным развитием семейства продуктов Group-IB для защиты от онлайн-мошенничества: она высокопроизводительна, легка в интеграции и использует запатентованные технологии обнаружения атаки до ее реализации. Глобальная миссия Fraud Hunting Platform – охота не только за угрозами, но и за злоумышленниками, которые стоят за этими атаками.

Пользователям необходимо самостоятельно определиться с тем решением, которое им будет комфортно как с точки зрения технических возможностей, так и с точки зрения удобства, близости к тем задачам, которые приходится решать.