ICFraud – анализатор клиентского окружения для антифрод-системы

Юрий Прокофьев, аналитик компании "Фродекс"


Сегодня, по различным оценкам, порядка 95% краж средств клиентов банка связано с мошенничеством в интернет- и мобильном банкинге. Природа мошенничества динамична, и каждый день появляются новые мошеннические схемы.

Современные системы дистанционного банковского обслуживания (ДБО) используют большое количество разнообразных антифрод-систем, основной задачей которых является предотвращение осуществления подозрительных платежных поручений клиента. Большинство таких систем учитывают различные параметры платежного поручения в совокупности с некоторыми данными, полученными от клиента. Подобный подход имеет недостаток – антифрод-система работает с теми данными, которые она получает со стороны клиента. Неизвестно, кто на самом деле формирует платежное поручение и что происходит на стороне клиента ДБО на момент отправления документа в банк. Подобные знания необходимы для составления полной картины происходящего и принятия более точного решения – является данный платеж мошенническим или нет. Как раз для решения этой проблемы компанией «Фродекс» была разработана система ICFraud.


Что такое ICFraud и зачем он нужен?

Как мы знаем, эффективная система защиты состоит из нескольких уровней. Каждый дополнительный уровень усиливает систему в целом. Подобный подход позволяет каждому уровню фокусироваться на какой-либо конкретной задаче. Одним из таких уровней является система ICFraud.

ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для её работы информации с последующим анализом и выявлением нежелательной активности.

Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на странице пользователя, – все это является окружением пользователя.

Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.

Таким образом, система ICFraud решает сразу две основные задачи:

  • выявляет мошенническую активность на ранней стадии;

  • снижает количество ложных срабатываний основной антифрод-системы.

В таком случае, необходим способ обнаружения именно сеанса удаленного управления.

В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными проведенными исследованиями.

Испытания показали высокую эффективность обнаружения ряда популярных веб-атак, таких как session hijacking, xss и прочих.


Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого.



Как работает ICFraud?

Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения.

Полученные данные частично обрабатываются скриптом и пересылаются на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API предоставляемое системой ICFraud, либо средствами PUSH-уведомлений.

Поэтапно это выглядит следующим образом:

  1. Клиент начинает взаимодействовать с системой ДБО банка.

  2. На страницу клиента подгружается js-скрипт системы ICFraud.

  3. Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.

  4. Сформированное платежное поручение обрабатывается антифрод-системой банка.

  5. Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки PUSH-уведомлений.)

  6. Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.

Сразу стоит заметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. К таким данным, например, относятся: список плагинов, информация о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.


Возможности системы ICFraud

Формирование уникального отпечатка пользователя Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и «узнавать» «хорошее» и «плохое» клиентское окружение.

  • Выявление кражи cookie

Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.

  • Выявление удаленного управления

Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Подобное подключение может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений, и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.

  • Выявление использования анонимайзеров

Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.


Система ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.


  • Выявление ботов

Как правило, боты используют как для автоматизации поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима.

  • Выявление внедрения постороннего кода в страницу клиента

Внедрение постороннего кода в страницу может быть как следствием успешной XSS атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов <script> или <iframe>, подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.

  • Выявление сторонних запросов со страницы пользователя

Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательские данных или загрузки вредоносного кода.

  • Определение разного рода спуфинга

Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.

Возможности ICFraud позволяют защищать самих пользователей системы ДБО путем оповещения банка о подозрительной активности на стороне клиента, а также определять попытки атак на саму систему ДБО банка.


Варианты использования системы

Имеется два варианта использования системы. В первом случае система разворачивается в рамках банковской инфраструктуры, во втором – банк подключается к облаку ICFraud, которое осуществляет все необходимые расчеты.

К достоинствам первого подхода можно отнести тот факт, что данные собираются и обрабатываются на стороне банка, и банк имеет полный контроль над обрабатываемыми данными. Но имеются и недостатки. Так, например, банку необходимо выделить ресурсы для разворачивания системы и следить за его состоянием. Второй способ лишен подобных недостатков и не требует от банка дополнительных ресурсов на содержание системы.

Во втором случае, ввиду того что данные собираются с огромного количества устройств, взаимодействующих с раз личными банками, имеется возможность построения более точных моделей для системы анализа основанной на машинном обучении. Это позволяет быстрее определять мошенническую активность и выявлять новые мошеннические схемы. Более того, если некоторое пользовательское окружение было помечено системой как «плохое», то другие банки, с которыми оно начнет взаимодействовать, будут проинформированы о замеченной ранее подозрительной активности в этом окружении.


Достоинства системы ICFraud

Благодаря продуманной архитектуре система ICFraud способна быстро обрабатывать поступающую в нее информацию и оперативно информировать об обнаруженных подозрительных активностях и выявленных мошеннических действиях.


Вместо заключения

Ввиду постоянного роста числа пользователей систем ДБО актуальность защиты как самих пользователей, так и систем ДБО растет. Таким образом, система мониторинга и контроля окружения пользователя ICFraud является отличным дополнением к уже имеющимся антифрод-системам, используемым в банках.