УБРиР. Михаил Цыкарев. "Корпоративная культура. Lifestyle поколения Z."
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
1. АНДРЕЙ ЛУЦКОВИЧ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,
ООО ФРОДЕКС
promo@frodex.ru
эффективные технологии
противодействия мошенничеству
FraudTrack:Сервис современный
подход в борьбе с мошенничеством
#FORUMBS
2. эффективные технологии
противодействия мошенничеству#FORUMBS
Кратко о нас
специалисты компании имеют многолетний опыт по разработке и
эксплуатации системы обнаружения мошеннических платежей
консультирование, помощь в расследовании и анализе инцидентов
работы анализу защищенности систем (pentest)
Наши партнеры
4. эффективные технологии
противодействия мошенничеству
:Факторы успеха в борьбе с мошенничеством
постоянная модернизация логики обнаружения
учет трендов по изменению активности
наблюдаемых преступных группировок
оперативное получение данные о клиентах с
(повышенным риском мошенничества наличие
,клиентских данных в ботсетях факты заражения
)устройств клиентов специализированными троянами
#FORUMBS
10. эффективные технологии
противодействия мошенничеству#FORUMBS
Поведение клиента
в сессии ДБО:
ЧТО ДЕЛАЛ?
Статистика по
компьютеру клиента:
ОТКУДА?
Статистика по
получателю:
КОМУ?
Статистика
по плательщику
ОТ КОГО?
• Какие пункты меню открывались?
• Какие особенности интернет -
трафика?
• Есть ли подозрительные события в
сессии?
11. эффективные технологии
противодействия мошенничеству#FORUMBS
Поведение клиента
в сессии ДБО:
ЧТО ДЕЛАЛ?
Статистика по
компьютеру клиента:
ОТКУДА?
Статистика по
получателю:
КОМУ?
Статистика
по плательщику
ОТ КОГО?
• С этого компьютера были хорошие
платежи?
• Используется уникальная технология
формирования меток компьютера на
основе Cookie
• Универсальность и поддержка
мобильных клиентов
12. эффективные технологии
противодействия мошенничеству#FORUMBS
Поведение клиента
в сессии ДБО:
ЧТО ДЕЛАЛ?
Статистика по
компьютеру клиента:
ОТКУДА?
Статистика по
получателю:
КОМУ?
Статистика
по плательщику
ОТ КОГО?
• Автоматическое распознавание
реального получателя из
реквизитов платежа
• Автоматическое распознавание
типа получателя (физ.лицо,
юр.лицо, платежный шлюз)
13. эффективные технологии
противодействия мошенничеству#FORUMBS
Поведение клиента
в сессии ДБО:
ЧТО ДЕЛАЛ?
Статистика по
компьютеру клиента:
ОТКУДА?
Статистика по
получателю:
КОМУ?
Статистика
по плательщику
ОТ КОГО?
• Основана на
автоматическом
формировании «белых»
списков по каждому
клиенту
• Самообучение по
существующей истории
платежей в ДБО
15. эффективные технологии
противодействия мошенничеству#FORUMBS
– :Получатель юридическое лицо
обычное юр.лицо
индивидуальный предприниматель
платежный шлюз (сотовый оператор, Яндекс.Деньги и т.д.)
Статистика по ИНН получателя либо БИК+р/с получателя
Отдельный диапазон сумм пороговых значений для проверки
Диапазон пороговых значений сумм – как для физического лица
(как правило, существенно меньше, чем аналогичный для юр.лица)
Статистика по ИНН получателя либо БИК+р/с получателя
Автоматическое определение
Отдельный диапазон сумм пороговых значений
Экспериментальное построение статистики по получателю
16. эффективные технологии
противодействия мошенничеству
web-Загрузка происходит совместно с страницей
системы ДБО без участия клиента и совершенно
.незаметно
В результате выполнения происходит сбор данных
,со страниц системы ДБО идентификационные
данные клиентского устройства и различные
,признаки работы как банковских троянов так и
.удаленного управления устройством клиента
#FORUMBS
17. эффективные технологии
противодействия мошенничеству
Сервис Bot-Trek Intelligent Bank, компания Group-IB;
Сервисы IBM Security Trusteer Pinpoint Malware Detection
и IBM Security Trusteer Pinpoint Criminal Detection,
компания IBM.
#FORUMBS
21. эффективные технологии
противодействия мошенничеству
- :Информация об экране
- JS- window.screen window.devicePixelRatioСвойста объектов и
- Flash- System.capabilitiesСвойства объекта
- , , :Информация о типе браузера ОС времени
- JS- navigator(userAgent, platform, vendor), Date().getTimezoneOffset()Свойства объекта
- Flash- System.capabilities (version, os, language,manufacturer);Свойства объекта
- Список установленных шрифтов
- :С помощью перебора из списка наиболее популярных шрифтов
- offsetWidth/offsetHeight HTML- -с помощью свойств элемента для разных шрифтов находятся отличные от шрифта по умолчанию
- CANVAS , CANVAS.getContext("2d").measureText().width -с помощью злемента методом для разных шрифтов находятся отличные от шрифта по умолчанию
- Flash- TextField.getFontList()С помощью метода объекта
- :Список плагинов браузера и их версии
- navigator.plugins[] (Plugin.name, Plugin.description, Plugin.filename)Список в объекте
- ActiveX(new ActiveXObject("<pugin>")С помощью перебора возможных объектов
- MIMEType (navigator.mimeTypes)Список поддерживаемых
-CANVAS .отпечаток браузера
anvas.getContext("2d")) (font,Style,CanvasGradient) (fillText) / (fillRect). canvasВ С устанавливаются свойства отображения текста и или фигуры После чего от
dataUrl- (canvas.toDataURL("image/png"))берется контент
- WebGL (canvas.getContext("webgl")):Параметры графической системы с помощью
WebGLRenderingContext (version,shading_language_version,vendor,renderer)Свойства объекта
canvas.getContext("webgl").getSupportedExtensions()Список поддерживаемые расширений
,Конкретные значения некоторых графических параметров например максимальное значение анизотропности текстур
WebGLRenderingContext.getExtension("EXT_texture_filter_anisotropic").MAX_TEXTURE_MAX_ANISOTROPY_EXT
- IP WebRTC ( - ,Список локальных адресов на компьютере с помощью технологии потоковых данных между браузерами в режиме точка точка поддерживается
FireFox Chrome)и
- Cookies, localStorage Flash SharedObjectОтпечатки в виде динамических значений хранящихся в или в
- HTTP User-Agent, Accept, Accept-LanguageЗначения заголовков запросов
#FORUMBS
22. эффективные технологии
противодействия мошенничеству
Для интересующихся технологиями Browser
Fingerprinting:
http://www.browserleaks.com
https://wiki.mozilla.org/Fingerprinting
https://trac.webkit.org/wiki/Fingerprinting
http://www.securitylab.ru/news/470621.php
Новость на SecurityLab от 30.01.2015
WebRTC IP-позволяет раскрыть локальный адрес
http://www.securitylab.ru/news/470621.php
WebRTC позволяет передавать потоковые данные (аудио/видео) между
браузерами в режиме точка-точка.
#FORUMBS
23. эффективные технологии
противодействия мошенничеству
2. Технологии выявления MIM, MIB RemoteAccessи
- .определение возможного наличия Прокси
- :прослеживание событий на элементах форм нажатия
(keydown), (paste),клавиш вставки из буфера фокус и снятие фокуса с
(focus/blur).элемента
- DOM Webсобирается отпечаток страницы для определения инъекций
- HTMLсобираются установленные обработчики событий на
(element.onclick.toString())элементах
- AJAXсобираются подозрительные запросы путем переопределения
(XMLHttpRequest.prtotype.open/send)прототипа
- honeypot URL.
- детектирование вредоносов по набору аномальных признаков.
24. эффективные технологии
противодействия мошенничеству
3. Формы интеграции с ДБО
- передача на сервер зашифрованного на открытом ключе заказчика
(Trasteer, GroupIB)Логина полученного из формы авторизации
- SessionID -передача текущей интернет банка на сервер
(ThreatMetrix)
- -сбор и передача данных непосредственно на сервер интернет
( )(RSA)банка например при сабмите форм
#FORUMBS
25. эффективные технологии
противодействия мошенничеству
Защита клиента строится на явном
:противодействии банковским троянам
- путем запуска браузера в защищенном
,режиме
- блокировки перехвата чувствительных
,данных
- блокировки посещения и ввода данных
.на фишинговых сайтах
#FORUMBS
26. эффективные технологии
противодействия мошенничеству
Выбор конкретного приложения защиты
будет зависеть от выбранного поставщика
:оперативной информации
,ЗАО Лаборатория Касперского приложение
Kaspersky Fraud Prevention for Endpoints ;
IBM,Компания приложение Trusteer Rapport.
#FORUMBS
27. эффективные технологии
противодействия мошенничеству
Компания Фродекс предоставляет финансовым организациям
возможность выстроить многоуровневую эшелонированную
защиту
, :для противодействия мошенничеству позволяющую
,отслеживать обнаруживать и изучать
;факты мошенничества
добавить к применяемой системе аутентификации
;клиентов еще один уровень безопасности
, «защищаться от таких возникающих угроз как атака человек
» « »;посередине и трояны человек в браузере
идентифицировать попытки мошенничества без изменения
привычных для клиентов систем и процедур
#FORUMBS
Полученные значения могут быть переданы как в цельном виде, так и в виде хэшей.
Для защиты от перехвата используются динамические параметры которые могут передаваться в Cookies, в теле скрипта или HTML-ответе на отправку собранных данных.
Данные параметры передаются обратно на сервер, при загрузке дополнительных скриптов или отправке собранных данных. На стороне сервера прослеживается из последовательность.
Дополнительно значения этих параметров могут быть использованы для шифрования передаваемых на сервер данных.
В случае с Flash - в теле объектного файла так же передаются динамические переменные, используемые для шифрования передаваемых данных
Так же возможно установление XMLSocket соединений для паралельной пересылки собранных данных, или загрузка данных с помощью HTML запросов на динамические порты.
компании предоставляющие ClientLess решения используют технологии,которые еще не известны широкой общественности.