Kaspersky о способах защиты от кибермошенничества

Екатерина Данилова, менеджер по развитию бизнеса Kaspersky Fraud Prevention, на конференции Moscow Vendor Race рассказала о проблеме утечки данных в различных сферах бизнеса и дала советы, как онлайн-сервисам и их пользователям снизить риск кибератак.

Вопрос компрометации учётных записей в веб-каналах, мобильных приложениях ― по сути везде, где у пользователей есть личный кабинет, ― становится всё более актуальным из-за глобальной цифровизации.

Многие компании сегодня сталкиваются с необходимостью уметь отличать реального пользователя от мошенника, который украл учётные данные, либо сгенерировал фейковую учётную запись.

В приведённой статистике не отражён инцидент, произошедший недавно в «Сбербанке»: один из сотрудников банка похитил технические данные по учётным записям кредитных карт клиентов и разместил на одном из форумов объявление об их продаже.

Это заметили специалисты «Сбербанка» по информационной безопасности, но всё равно, по информации СМИ, были украдены данные более пяти тысяч пользователей. Вскоре после этого появилась информация о новой крупной утечке персональных данных, на этот раз пострадали клиенты «Билайна» и, как следствие, банка «Точка».

«По странному стечению обстоятельств у всех пострадавших был один оператор связи — «Билайн». Пароль для входа в интернет-банк совпадал с паролем от личного кабинета в приложении сотового оператора, и была настроена переадресация, которую клиенты, как они нас заверили, не включали.

Безусловно, бизнес должен думать о безопасности клиентов и эффективной работе своих сервисов. Но, к сожалению, самое уязвимое место, о котором знают злоумышленники ― человеческий фактор. Обычный пользователь недостаточно бережно относится к своим персональным данным в Интернете, в частности, к надёжности логина и пароля.

Зачастую мы, как пользователи, имеем всего несколько вариаций паролей на всех своих аккаунтах, которых может быть и больше двадцати.

На этом этапе бизнесу достаточно сложно повлиять на происходящее, но можно выстроить границы на своих сервисах, на веб-сайте или в мобильном приложении, и определить, какому типу атаки они подверглись.

Хакеры взламывают чужие данные для последующей продажи в даркнете, на котором существует определённый прайс на краденные учётные записи пользователей.

С финансовыми компаниями всё понятно, у них слишком высокая денежная и репутационная ответственность, поэтому они стремятся обеспечить максимально безопасное хранение данных своих клиентов.

Но стоит ли остальному бизнесу быть на чеку? Конечно!

Решения «Лаборатории Касперского» востребованы во всех секторах бизнеса, имеющих онлайн-сервисы, ведь именно их чаще всего настигает мошенническая активность.

К сожалению, бизнес не всегда замечает кибератаку на своем сервисе, либо не понимает масштабы действий мошеннических аккаунтов.

Например, существуют отдельные кибергруппировки, которые специализируются на программах лояльности сервисов. Они могут генерировать учётные записи, чтобы получать купоны, скидки, некую внутреннюю валюту в виде бонусных рублей или в другом выражении с целью дальнейшей их продажи.

Специалисты направления по предотвращению мошенничества в «Лаборатории Касперского» выяснили, что в Интернете в свободном доступе продаются учётные записи пользователей каршеринга.

Любой желающий может приобрести учётную запись за 2400 рублей вне зависимости от наличия водительского удостоверения. У злоумышленников даже есть возможность купить учётную запись с привязанной банковской картой реального пользователя, и это будет стоить дороже всего на 800 рублей.

К сожалению, такая практика не только наносит большой репутационный ущерб бизнесу краткосрочной аренды автомобилей. Бывают случаи, когда учётные записи покупают подростки. Хорошо, если такого водителя просто остановит сотрудник ДПС, но, если онпопадёт в ДТП, возникает совершенно другая ответственность, которую несёт компания, предоставляющая сервис

Среди учётных записей программы лояльности, которая действовала на сайте клиента, специалисты «Лаборатории Касперского» выявили более трёх тысяч синтетических аккаунтов. Они использовались для получения приветственных бонусов за регистрацию нового кабинета, а затем продавались на тематических интернет-площадках.

Такая комбинация стала возможной из-за несовершенства почтового сервиса ― он не учитывал символ точки в Alias (все аккаунты в инциденте являются модифицированным вариантом изначального почтового адреса с добавлением точки). Таким образом, письмо с подтверждением регистрации попадало на одну и ту же почту, а сервис маркетплейса распознавал это действие, как новую учётную запись.

С помощью системы Kaspersky Fraud Prevention была обнаружена мошенническая схема: в банке разрабатывалась система дистанционного банковского обслуживания (ДБО) для юридических лиц. Бухгалтер банка мог осуществлять финансово-расчётные операции со своего рабочего места, используя токен. Для этого ему нужно было зайти в систему, ввести уникальный логин, пароль и пройти идентификацию пользователя.

На компьютере бухгалтера, согласно политикам компании, была установлена программа удаленного доступа. Злоумышленникам удалось удаленно подключиться к персональному компьютеру бухгалтера, заразив его заранее банковским трояном группы RTM. Соответственно, сотрудник банка и мошенник могли совершать финансово-расчётные операции одновременно внутри одной сессии.

Во-первых, во время перехвата онлайн-сессии значительно и нетипично увеличилось количество событий выхода курсора мыши из окна браузера, что свидетельствует о том, что программа удалённого доступа была открыта у злоумышленника в «оконном режиме», из-за чего курсор постоянно покидал активную область.

Во-вторых, подключившись к онлайн-сессии бухгалтера, мошенник начал формировать платёж в новом окне браузера, оставив сотруднику старое окно ДБО, чтобы скрыть свою активность.

Например, применять подход «Лаборатории Касперского», который используется в системе Kaspersky Fraud Prevention. Команда по предотвращению мошенничества собирает с веб-сайтов и мобильных приложений более 90 параметров пользователя и формирует уникальный профиль пользователя, который типичен только для него. Таким образом, бизнес знает, что это за клиент и может отличить реального пользователя от мошенника.

Подход основан на использовании широкого спектра передовых технологий для выявления аномальной активности в режиме реального времени. Именно их совместное применение позволяет эффективно обнаруживать сложные мошеннические схемы.

Специалисты «Лаборатории Касперского» смотрят на поведенческий анализ пользователя, исследуют его навигацию по сервису, анализируют устройство и окружение, например, с какой версии приложения заходит пользователь, какие в ней существуют системные характеристики и т. д.

На веб-сайте можно отследить, как человек использует мышку, каким образом и с какой скоростью набирает данные на клавиатуре, прибегает ли он к методу «копировать-вставить» на компьютере. В мобильном приложении можно посмотреть, под каким углом человек держит устройство и с какой силой надавливает на экран. Таким образом, антифрод-система отличают человека от бота или использования программ удаленного доступа.

Существуют различные способы борьбы с мошенничеством. Можно и нужно работать с населением, информируя о методах обмана и обучая его с помощью рассылок, push-нотификаций, оффлайн-объявлений и другими способами.

Но этот процесс довольно долгий и сложно контролируемый со стороны бизнеса, поэтому рекомендуется закладывать в архитектуру веб- и мобильных сервисов решения, которые позволят заблаговременно заметить мошенническую активность на вашем сервисе и остановить ее.

Еще больше про новости индустрии, преимущества технологичных компаний и ИТ-тренды читайте в нашем блоге на сайте ХайТэк