Статьи

Борьба с мошенничеством в мобильном банкинге: безопасность приложений, модернизированная аутентификация, анализ рисков

22 февраля, 2021. 09:02 По материалам Oberig IT
Прошлым летом ФБР предупредило о росте вредоносной активности, направленной на мобильные финансовые услуги, по мере того, как мобильные банковские услуги росли в ответ на COVID-19 и связанные с этим блокировки. Это предупреждение сбылось в конце декабря, когда была обнаружена "ферма злых эмуляторов", которая имитировала мобильные устройства жертв, чтобы обмануть владельцев банковских счетов в США и Европе на миллионы долларов.

Целью данной статьи является информирование финансовых учреждений об этой вновь обнаруженной угрозе, а также объяснение многоуровневого подхода к смягчению последствий такого все более изощренного мошенничества. 

Невиданные ранее масштабы и скорость мобильного мошенничества

Исследователи утверждают, что масштаб и скорость этой схемы отличает ее от прошлых случаев мобильного мошенничества. Злоумышленники построили сеть из примерно 20 эмуляторов, имитирующих 16 000 мобильных устройств, и воспользовались автоматизацией, которая позволила всего за несколько дней снять с банковских счетов миллионы долларов. Мобильный эмулятор - это виртуальное мобильное устройство, которое имитирует функциональность реальных мобильных устройств и имитирует взаимодействие пользователя с ним. Изначально эмуляторы были разработаны для автоматического тестирования программного обеспечения на самых разных устройствах.

Автоматизированные злоумышленниками действия включали как минимум следующее:

  • Сбор атрибутов устройства
  • Ввод логинов и паролей
  • Инициирование транзакций
  • Получение и кража одноразовых кодов авторизации, отправленных по SMS
  • Ввод этих украденных SMS-кодов для завершения транзакций

Сбор идентификаторов мобильных устройств

В некоторых случаях мошенники имитировали существующие устройства жертвы. В других случаях мошенники имитировали жертву, использующую новое устройство для доступа к своему банковскому счету. Исследователи не уверены, как были скомпрометированы банковские реквизиты, хотя вполне вероятно, что они были украдены вредоносными ПО, получеными с помощью фишинговых атак или найдеными в даркнете. Точный способ сбора идентификаторов устройств неясен, но кажется логичным, что такие данные были собраны мобильными вредоносными программами, присутствующими на устройствах жертв. 

Что могут сделать финансовые учреждения для смягчения последствий после аналогичных мобильных угроз?

Нет никакого единого простого решения как уничтожить эту мобильную угрозу. Наилучшей защитой является многоуровневый, глубокий подход к защите, состоящий (но не ограничивающийся) из следующего:

  1. Надежная аутентификация клиентов
  2. Анализ рисков на стороне клиента и на стороне сервера для предотвращения мошенничества
  3. Экранирование мобильных приложений с защитой во время работы

Борьба с захватом учетной записи путем модернизации аутентификации

Недавно компания-аналитик в области финансовых услуг Aite Group в своем отчете "Revisiting Your Authentication Control Framework" отметила, что "финансовым учреждениям, компаниям, работающим в сфере высоких технологий, и торговым компаниям необходимо сделать шаг назад и пересмотреть свою систему контроля аутентификации. Если с момента последнего пересмотра системы прошло несколько лет с учетом технического прогресса, достигнутого за этот период времени, то, по всей видимости, её необходимо будет обновить".

Кража логинов и паролей, используемых для аутентификации пользователей и платежей, создает почву для мобильного мошенничества. Эти статические, «однофакторные» учетные данные уязвимы для фишинга, если они еще не были скомпрометированы в рамках других нарушений безопасности данных. Внедрение многофакторной аутентификации (MFA), использующей динамические коды одноразовой аутентификации, значительно снижает риск захвата учетной записи. В некоторых случаях злоумышленники не только выдавали себя за существующие устройства пользователей, но и могли активировать новые устройства с учетными записями жертв.

Банку также не следует легко принимать решение о том, по каким каналам передавать динамические коды аутентификации/авторизации. Известно, что SMS-коды уязвимы для фишинга и даже для перехвата. В этом случае, инициаторы схемы могли получать SMS-коды с имитированных устройств, что делало эти коды бесполезными с точки зрения защиты банковских счетов. Типичная атака на SMS с одноразовым паролем (OTP) начинается с перенаправления жертвы на фишинговую веб-страницу, которая выглядит как банковская. Там пользователь введет свои данные, которые инициируют передачу OTP по SMS. Вредоносное ПО, присутствующее на устройстве жертвы, затем получает SMS-коды и пересылает их злоумышленнику, что означает, что жертва никогда не подключается к банку, поскольку она взаимодействует с фишинг-страницей.

Push-уведомления, отправленные по зашифрованному каналу в мобильное приложение, которое прочно привязано к устройству пользователя во время активации, скорее всего, помешали бы злоумышленникам собирать и использовать одноразовые SMS-пароли для доступа к аккаунтам или авторизации платежей. Кроме того, использование аппаратных возможностей мобильных устройств (например, Secure Enclave на iOS-устройствах или Trusted Execution Environment / Secure Element на Android-устройствах) значительно усложняет кражу идентификаторов устройств. Требование биометрической аутентификации вместе с подтверждением push-уведомления обеспечили бы еще один уровень защиты, который мог бы помешать этим злоумышленникам.

Также важно, чтобы финансовые учреждения применяли передовые технологии защиты от несанкционированного доступа (см. ниже экранирование мобильных приложений с защитой во время выполнения) к любому приложению мобильного банкинга. Это снижает риск того, что злоумышленники могут взломать или перепроектировать процесс привязки устройства, чтобы скопировать итерацию легитимного пользователя мобильного банковского приложения на эмулируемом устройстве.

Борьба со сложным цифровым мошенничеством с помощью анализа рисков на стороне клиента и сервера

Компания Gartner предложила систему онлайн-обнаружения мошенничества, состоящую из пяти слоев предотвращения:

1. Ориентированный на мониторинг конечных точек;

2. Ориентированный на георасположение и сеть передачи данных;

3. Ориентированный на пользователей и юридические лица;

4. Межканально-ориентированный на пользователей и организации;

5. Ориентированный на большие массивы данных для обнаружения онлайн-мошенничества. 

Поскольку мошенники использовали эмулятор, они смогли преодолеть определенные аспекты первого слоя предотвращения. Мы видим все больше и больше примеров, когда изощренные мошенники могли симулировать данные на стороне клиента, такие как устройство, местоположение и время суток.

Этот инцидент с мобильным мошенничеством и рост числа мошеннических сетей в Интернете в целом говорят о необходимости более полного решения по предотвращению мошенничества с правильно настроенными дополнительными слоями. В настоящее время злоумышленникам намного сложнее преодолеть следующие слои предотвращения:

  • Слой 1: Ориентирован на конечную точку - Анализ поведения конечной точки и корреляции местоположения; этот слой также включает в себя обнаружение вредоносных программ и биометрическую аутентификацию на устройствах
  • Слой 2: Ориентирован на навигацию и сеть - Анализ сеанса, сети и навигационного поведения, и подозрительных закономерностей
  • Слой 3: Ориентированный на пользователя и субъект (один канал) - Анализ поведения пользователя/ субъекта по каналам (например, онлайн-банкинг, мобильный банкинг и т. д.)
  • Слой 4: Ориентирован на пользователя и структуру по каналам и продуктам - Анализ аномалий, скоррелированных по всем каналам получения данных
  • Слой 5: Связь между пользователем и организацией - Анализ взаимоотношений для выявления организованной преступности и сговора

Как вы уже догадались, сбор и сопоставление сигналов риска в этих областях становится практически невозможным «со скоростью реакции человека». Любая полноценная онлайн-система обнаружения мошенничества должна использовать машинное обучение на стороне сервера и контекстные автоматизированные правила, чтобы обнаруживать любое мошенническое влияние.

Обнаружение автоматизированного взаимодействия, не связанного с человеком

Бот - ферма имитировала устройства жертв, что подвергает риску любой банк, который полагается только на идентификацию / доверие мобильных устройств по идентификатору или одноразовому коду, отправляемому через SMS. Если бы целевые банковские приложения включали аналитику сеансов, а также аналитику поведения конечной точки и корреляцию местоположения, устройство можно было бы идентифицировать как эмулируемое из-за отсутствия «человеческого» поведения (т. е. способа взаимодействия человека с устройством, например, темпа набора текста, углов наклона устройства, рост, и другие поведенческие черты).

То, как и когда пользователь взаимодействует с сеансом, может дать представление об их обычном поведении во время сеанса. Это дополнительный превентивный слой, который может усложнить работу злоумышленника, поскольку автоматический эмулятор должен постоянно имитировать скорость взаимодействия человека-жертвы и многое другое. 

Мониторинг – это больше, чем событие входа в систему: непрерывный мониторинг сеанса

По мере перехода к третьему и четвертому слою важно учитывать активность сеансов после первоначального входа в систему. Злоумышленник не собирается оплачивать счета пользователя, его цель - извлечение средств. Поэтому крайне важно, чтобы банки применяли непрерывный мониторинг для проверки новых устройств, получателей и транзакций. Цель этого обзора - определить, являются ли устройства, бенефициары или сделки новыми и/или известными (т. е. используемыми) любому другому потребителю или коммерческому клиенту банка.

Автоматизация обнаружения / предотвращения мошенничества с помощью машинного обучения

Понимание аналитики типичной активности всех пользователей и устройств может помочь выявить массовую активацию устройства, создание массового получателя и массовые транзакции — все это сигналы масштабной атаки. В этом случае ретроспективный анализ покажет, что есть возможность предупреждения о любой из многих стадий атаки.  К ним относятся злоумышленники, активирующие множество новых устройств, имитирующие устройства, создание новых бенефициаров, перевод больших сумм, опустошение баланса счетов и отправка денег на ранее неизвестные счета.

Такие показатели, а также тысячи других, могут быть предоставлены моделям машинного обучения, которые способны работать в многомерном пространстве, намного превосходящем пространство человека, и способны предоставлять прогноз (аномалия / оценка риска) в реальном времени. Таким образом, позволяя банку остановить атаку в режиме реального времени, и предотвратить ее распространение и обеспечить автоматическую реакцию. 

Борьба с эмуляторами и другими мобильными угрозами с помощью защиты приложений, включая защиту во время выполнения

Подробности того, как злоумышленники выявили слабые места в банковских мобильных приложениях и системах обнаружения мошенничества, говорят о том, что они смогли перепроектировать некоторые аспекты мобильного приложения. Вполне вероятно, что злоумышленники просто загрузили легитимные программы из официального магазина приложений, чтобы изучить приложение, как оно выполняется.

Экранирование мобильных приложений с защитой во время выполнения обнаружило бы такую активность и быстро отключило бы приложение, чтобы предотвратить эту вредоносную активность. Расширенная защита мобильных приложений не только предотвращает запуск приложения на эмуляторе, но и обнаруживает и блокирует несколько инструментов, используемых злоумышленниками для обратного проектирования приложения и понимания того, как оно работает.

Учитывая сложность этой угрозы, не лишним будет предположить, что злоумышленники смогли перепроектировать приложение, чтобы понять, как оно было привязано к устройству пользователя (если оно вообще было привязано), и как оно взаимодействовало с API серверной части банка. Экранирование мобильных приложений с защитой во время выполнения добавило бы еще один уровень контроля безопасности, что сделало бы работу мошенника гораздо более трудоемкой и дорогостоящей.

В дополнение к предотвращению обратного проектирования, экранирование приложений с защитой во время выполнения предлагает несколько возможностей, которые затрудняют злоумышленникам проведение атаки на приложения и пользователей мобильного банкинга.

  • Предотвращение выдачи себя за другое приложение путем обнаружения переупаковки приложения (т. е. злонамеренного изменения и повторной публикации приложения)
  • Выявление модификации кода и / или внедрения вредоносных библиотек времени выполнения в приложение
  • Снижение риска утечки данных путем остановки скриншотов и считывателей клавиа
  • Смягчение атак наложения пользовательского интерфейса за счет предотвращения переопределения переднего плана на устройствах Android 

Итог

В конце концов, чтобы защитить своих клиентов и учреждения от постоянного развития техник мошенничества, финансовые учреждения должны придерживаться многоуровневого подхода к мошенничеству в сфере онлайн-банкинга, включающего надежную аутентификацию клиентов, анализ рисков на стороне сервера и передовую систему безопасности мобильных приложений, в том числе защиту мобильных приложений с защитой во время их выполнения.

По вопросам организации индивидуальных демонстраций решений OneSpan, партнерских тренингов и пилотных проектов обращайтесь, пожалуйста, к специалистам Oberig IT:

[email protected], +38 093 801 04 41.

Оригинал: https://cutt.ly/3k6yamo

Материалы по теме:
Комментарии: