Der Kampf um unsere Bankkonten - Wie maschinelles Lernen und kontinuierliche Überwachung Betrugsangriffe verhindern können

Greg Hancell, 25. Juni 2020
The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

Der ultimative Preis für Cyberkriminelle besteht darin, Zugang zum Geld anderer zu erhalten. Kein Wunder, dass Angriffe auf Kontoübernahmen zunehmen. In diesem Artikel, ursprünglich von Fraud Intelligence veröffentlicht Greg Hancell, Manager von Global Fraud Consulting bei OneSpan, erklärt, wie Banken kontinuierliche Überwachung und maschinelles Lernen anwenden können, um sich gegen Angriffe auf Kontoübernahmen zu verteidigen.  

Der Kampf um unsere Bankkonten - kontinuierliche Überwachung

Account Takeover Betrug (ATO) ist eine der größten Bedrohungen für Finanzinstitute und deren Kunden. In einer Branchenumfrage der Aite Group wiesen 89 Prozent der Führungskräfte von Finanzinstituten darauf hin Kontoübernahmebetrug als häufigste Ursache für Verluste im digitalen Kanal. Heute konzentrieren sich Cyberkriminelle weiterhin auf ATO, Betrug mit neuen Konten und Betrug ohne Karte. Der Bericht über Identitätsbetrug im Jahr 2020 von Javelin Strategy & Research ergab, dass Kontoübernahmen mit der bislang höchsten Verlustrate von erstaunlichen 72 Prozent gegenüber 2019 [1] auf 5,1 Milliarden US-Dollar und einem Anstieg von 120 Prozent gegenüber 2016 zu verzeichnen sind. [2] Wenn Betrüger aggressiver werden, setzen sie weiterhin Phishing, Spear-Phishing und Identitätsdiebstahl ein, um weiteren Betrug mit neuen Konten zu begehen. Tatsächlich hatten 1,5 Millionen Opfer bestehenden Kontobetrugs ein Zwischenkonto in ihrem Namen eröffnet - eine Steigerung von 200 Prozent gegenüber dem Vorjahr.

Unsere digitalen Identitäten sind nicht mehr privat. Im Jahr 2018 wurden rund 3,2 Milliarden personenbezogene Datensätze kompromittiert [3]; Das ist fast die Hälfte der Weltbevölkerung. Die heutigen Datenschutzverletzungen werden online auf dunklen Web-Marktplätzen veröffentlicht, auf denen viel Gewinn erzielt wird.

Ähnlich wie bei der Straßenkriminalität, die historisch im Verhältnis zum Bevölkerungswachstum gewachsen ist, erleben wir ein ähnliches Entwicklung der Internetkriminalität mit Kontoübernahme. In der Vergangenheit mussten Kriminelle, um Geld zu stehlen, das Verhalten oder die täglichen Gewohnheiten einer Person beobachten, die Brieftasche einer Person nehmen, auf der Schulter surfen (dh einen Benutzer ausspionieren, um eine PIN oder ein Passwort zu erhalten) oder möglicherweise eine Taktik zum Überfliegen von Karten anwenden (wenn ein betrügerisches Gerät auf einen Kartenleser angewendet wird, um die Daten des Zahlers zu extrahieren). Jetzt sind Cyberkriminelle fortgeschrittener und raffinierter. Ein Angreifer kann beispielsweise online gehen und sofort auf Tausende oder Millionen von Kontodaten zugreifen - Benutzernamen, Anmeldeinformationen, E-Mail-Adressen und Telefonnummern. Darüber hinaus kann ein Angreifer eine Phishing-Kampagne durchführen, bei der Tausende von E-Mails verschickt werden, die angeblich von einem Finanzinstitut stammen. Die E-Mail enthält entweder Malware oder einen Link zu einer Phishing-Webseite, die als Website einer Bank fungiert, um die Zugriffsdaten des Benutzers zu erfassen.

Leider sind viele dieser Elemente statisch und können nach einer Kompromittierung zu einer Kontoübernahme führen. Darüber hinaus stehen Angreifern wie Muraena und NecroBrowser erweiterte Tools zur Verfügung, mit denen die Zweitfaktorauthentifizierung durch Ausführen einer Sitzungsentführung umgangen werden kann. Die einfache Verfügbarkeit solcher Tools und die niedrigere Eintrittsbarriere bedeuten, dass Betrüger über eine Vielzahl von Waffen und Methoden verfügen, um personenbezogene Daten zu sammeln, um ernsthaften Schaden zu verursachen - was einen wirksamen Schutz zu einer Herausforderung macht.

Wenden Sie eine kontinuierliche Überwachung an

Ein effektiver Weg, um Angriffe auf Kontoübernahmen zu erkennen und sich dagegen zu verteidigen, ist die Implementierung kontinuierliche Überwachung auf digitalen Plattformen.

In der Vergangenheit haben wir Benutzer im Allgemeinen während der Anmeldung oder einer Transaktion authentifiziert. Jetzt verfügen wir jedoch über eine Fülle von Daten, da Benutzer über das Web oder Mobile Banking auf ihr Konto zugreifen und während des Fortschritts der Sitzung ständig Ereignisse an das Finanzinstitut übertragen werden. Diese Umstellung auf digitales Banking eignet sich gut für die kontinuierliche Überwachung der Fähigkeit, alle Ereignisse im Auge zu behalten - nicht nur die Anmeldung und die Transaktion, sondern auch die Anforderung eines Guthabens, die Schaffung eines neuen Begünstigten, das Hinzufügen eines neuen Geräts oder das Ändern eines Adresse. Ab dem Moment, in dem ein Benutzer auf einer Webseite landet, ermöglicht die kontinuierliche Überwachung das Verständnis des Verhaltens, da sie seine normale Online-Reise und Interaktionen mit seinen Konten und Geräten identifiziert. Darüber hinaus kann auf allen Geräten, die in einer bestimmten Sitzung verwendet werden, ein Profil erstellt werden.

Dies lässt sich nahtlos mit anderen Schutzmaßnahmen wie z Zwei-Faktor-Authentifizierung oder dynamische Verknüpfung, da die Bank damit auch den Kontext dieser Authentifizierungsmethoden verwenden kann. ( Dynamische Verknüpfung , eine Anforderung der zweiten Richtlinie über Zahlungsdienste (PSD2) stellt sicher, dass für jede Transaktion ein eindeutiger Authentifizierungscode vorhanden ist, der für den Transaktionsbetrag und den Empfänger spezifisch ist). Kontinuierliche Überwachung sieht vor, dass, sobald das Verhalten des Benutzers bekannt wird, neues Verhalten identifiziert werden kann, das möglicherweise auf eine neue Person (dh einen Angreifer) oder einen Bot hinweist. Typische Indikatoren für Angriffe wie neue oder bekannte schändliche Geräte, Cookies, Header, Verweise, Standorte, Bots, Begünstigte oder andere können in Echtzeit überwacht und vom normalen Kundenverhalten unterschieden werden.

Dieser Ansatz erstellt ein kontinuierliches Risikoprofil für die Sitzung, das sich mit jeder Aktion des Endbenutzers oder seines Geräts ändern kann. Dies ermöglicht dem Finanzinstitut nicht nur, automatisierte Echtzeitaktionen durchzuführen, wenn Anomalien festgestellt werden, sondern ermöglicht es der Bank auch, die Reibung für legitime Sitzungen zu verringern, indem die Anzahl der für echte Interaktionen erforderlichen Authentifizierungen verringert wird. Dies verringert letztendlich die Angriffsausbreitung sowie die Verluste und verbessert die Benutzererfahrung.

Maschinelles Lernen verringert das Betrugsrisiko

Maschinelles Lernen reduziert menschliche Vorurteile wie Verfügbarkeit und Bestätigung, da es im Gegensatz zu Menschen alle Ereignisse sehen und daraus lernen kann und große Mengen unterschiedlicher und hochdimensionaler Daten (eine Kombination aus vielen verschiedenen Datenpunkten) in Echtzeit analysiert.

Beim maschinellen Lernen gibt es zwei Hauptalgorithmusarten für die Betrugserkennung: überwacht und unbeaufsichtigt.

Unüberwachtes und überwachtes maschinelles Lernen

Beim unbeaufsichtigten maschinellen Lernen werden in der Regel Modelle verwendet, die Anomalien zwischen dem Üblichen und dem Ungewöhnlichen anhand des Abstands zwischen Merkmalen (Datenpunkten) identifizieren.

Beim überwachten maschinellen Lernen wird das Modell anhand von gekennzeichneten Daten (Betrug oder echt) trainiert und die Wahrscheinlichkeit von Betrug (Betrugsbewertung) vorhergesagt. Ein Modell für maschinelles Lernen kann in Echtzeit auf jedes Ereignis angewendet werden und eine Punktzahl zurücksenden. Dies kann es einer Lösung oder einem Benutzer ermöglichen, basierend auf diesen Ereignissen eine Aktion auszuführen.

Eine der Herausforderungen für ein Finanzinstitut besteht darin, auf überwachtes maschinelles Lernen umzusteigen. Der Datensatz, den sie haben, ist insofern unausgewogen, als es die Mehrheit der echten Ereignisse gegen eine Minderheit von Betrug gibt. Datenwissenschaftler verwenden fortgeschrittenere Techniken wie synthetische Daten, um mehr Datenpunkte zu generieren und das Training eines überwachten Modells zu ermöglichen. Einige Finanzinstitute setzen auf halbüberwachtes maschinelles Lernen, bei dem während des Trainings eine kleine Menge beschrifteter Daten mit einer großen Menge unbeschrifteter Daten kombiniert wird. Dieser Ansatz kann die Lerngenauigkeit erheblich verbessern.

Was ist eine Dimension des maschinellen Lernens?

Ein Modell für maschinelles Lernen arbeitet mit den Merkmalen von Datenelementen wie einem Gerät, der IP-Adresse des Benutzers und dem Internetdienstanbieter des Benutzers. Wenn wir ein Gerät als Beispiel nehmen, könnten die Funktionen sein:

  • Wie wird das Gerät verwendet?
  • Wie alt ist dieses Gerät?
  • Ist das Gerät für den Benutzer neu?
  • Ist es neu für das Finanzinstitut?
  • Wird es mit anderen Benutzern geteilt?
  • Welche Sicherheitsparameter befinden sich auf diesem Gerät?
  • Welche biometrischen Methoden und Authentifizierungsmethoden sind für dieses Gerät abonniert?
  • Welche Kommunikationsmethode wird verwendet?
  • Welches Modell ist das?
  • Welches Betriebssystem?
  • Läuft etwas Bösartiges (Keylogger, Debugger, Tastatur-Overlay usw.)?
  • Hat sich etwas geändert?

All dies sind Fragen, die Sie allein rund um das Gerät stellen können.

Finanzinstitute, die maschinelles Lernen nutzen, können in Echtzeit Entscheidungen über Ereignisse treffen. Sie nehmen Daten auf und stellen Tausende von Fragen in Echtzeit. Die Ausgabe ist Intelligenz, die dann in einem hochdimensionalen Raum modelliert wird, dh die Fähigkeit, viele verschiedene Datenpunkte zu modellieren, oft in Tausenden von Dimensionen, was weit über die Fähigkeiten eines Menschen hinausgeht. Das Modell liefert eine umsetzbare Intelligenzausgabe - das heißt, es informiert das Finanzinstitut über die Wahrscheinlichkeit, dass eine Aktion anomal ist, oder über die Wahrscheinlichkeit von Betrug, wenn er auftritt.

Es ist unmöglich, rund um die Uhr einen Betrugsexperten zu haben, der alle Ereignisse sieht. Maschinelles Lernen beseitigt also die Verfügbarkeitsverzerrung, der wir als Menschen ausgesetzt sind. Darüber hinaus kann die Ermüdung von Warnungen verringert werden, indem nur ungewöhnliche Ereignisse und Transaktionen einem Betrugsexperten präsentiert werden. Auf diese Weise ermöglicht maschinelles Lernen die automatisierte Entscheidungsfindung über Ereignisse in Echtzeit.

Maschinelles Lernen kann auch Entscheidungen für andere Workflows treffen - beispielsweise welche Art von Authentifizierung ein Finanzinstitut je nach Risiko für eine Transaktion anwenden sollte. Dies kann verwendet werden, um das Kundenerlebnis zu verbessern, da Finanzinstitute zu diesem Zeitpunkt keine Authentifizierung beim Benutzer anfordern müssen, wenn Finanzinstitute feststellen können, dass das Risiko gering ist. Wenn Finanzinstitute eine kontinuierliche Überwachung verwenden, können sie bei sich ändernden Risiken stärkere Authentifizierungsmaßnahmen durchführen. Maschinelles Lernen ist besonders gut geeignet, um das Ausmaß potenzieller Risiken / Betrugsfälle über Bankkanäle hinweg über Benutzer-, Geräte- und Transaktionsdaten zu ermitteln. Diese Risikobewertungen ermöglichen dynamische Änderungen an den Authentifizierungsworkflows, um dem Risikograd zu entsprechen. Transaktionen mit geringem Risiko (dh eine Kontostandsprüfung von einem bekannten Gerät) würden keine zusätzliche Authentifizierung erfordern, und Transaktionen mit höherem Risiko (dh eine große Übertragung von einem Gerät mit Jailbreak an einem neuen Standort) würden eine zusätzliche Authentifizierung auslösen Schritte. (Ein Gerät mit Jailbreak wurde so geändert, dass Änderungen daran vorgenommen werden können, die von der Software im Standardzustand nicht unterstützt werden.)

Der Betrug bei der Kontoübernahme wird wahrscheinlich weiter zunehmen, da er eine relativ einfache Gewinnquelle für schlechte Akteure darstellt, die weiterhin alle verfügbaren Schwachstellen im Finanzbankensystem ausnutzen werden. Ein mehrschichtiger Sicherheitsansatz kann jedoch erheblich dazu beitragen, die Angriffe zu verringern, die zur Übernahme des Kontos führen. Technologien, die den Benutzer, das Gerät, die App und den Kommunikationskanal schützen, sowie eine umfassende Risikoanalyse-Engine und ein intelligentes Authentifizierungs-Framework sind für die weitere Bekämpfung von Betrug bei der Kontoübernahme von entscheidender Bedeutung.

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen

Anmerkungen:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches