Massiver Betrug im Bereich Mobile Banking enthüllt das Bedürfnis der Banken nach App-Sicherheit, modernisierter Authentifizierung und Risikoanalyse

Samuel Bakken, 4. Januar 2021

Dieser Artikel wurde in Zusammenarbeit mit Greg Hancell, Senior Manager von OneSpans Fraud Consultancy, und unter Einbeziehung von Frederik Mennes, OneSpan Director of Product, und Will LaSala verfasst - - Senior Director von Global Solutions.

Im vergangenen Sommer hat die Das FBI warnte vor einer Zunahme böswilliger Aktivitäten Die Ausrichtung auf mobile Finanzdienstleistungen als Mobile-Banking-Aktivität nahm als Reaktion auf COVID-19 und die damit verbundenen Sperren zu. Diese Warnung wurde Ende Dezember mit der Entdeckung eines „ böse Emulatorfarm Dies ahmte die mobilen Geräte der Opfer nach, um Bankkontoinhaber in den USA und Europa in Millionenhöhe zu betrügen.

Der Zweck dieses Artikels ist es, Finanzinstitute auf diese neu entdeckte Bedrohung aufmerksam zu machen und den vielschichtigen Ansatz zur Minderung eines derart komplexeren Betrugs zu erläutern.

Nie zuvor gesehene mobile Betrugsbekämpfung und -geschwindigkeit

Forscher sagen, dass das Ausmaß und die Geschwindigkeit dieses Schemas es von früheren Vorfällen von mobilem Betrug unterscheidet. Die Angreifer bauten ein Netzwerk von ungefähr 20 Emulatoren auf, die 16.000 mobile Geräte imitierten, und nutzten die Automatisierung, die es ermöglichte, innerhalb weniger Tage Millionen von Dollar von Bankkonten abzuziehen. Ein mobiler Emulator ist ein virtuelles mobiles Gerät, das die Funktionalität realer mobiler Geräte imitiert und die Interaktion eines Benutzers mit ihm verkörpert. Emulatoren wurden ursprünglich entwickelt, um das automatisierte Testen von Software auf einer Vielzahl von Geräten zu ermöglichen.

Von den Angreifern automatisierte Aktionen umfassten mindestens Folgendes:

  • Ernten der Geräteattribute
  • Eingabe von Benutzernamen und Passwörtern
  • Transaktionen initiieren
  • Empfangen und Stehlen von einmaligen Autorisierungscodes per SMS
  • Eingabe dieser gestohlenen SMS-Codes, um Transaktionen abzuschließen

Harvesting Mobile Device Identifiers

In einigen Fällen ahmten die Betrüger die vorhandenen Geräte des Opfers nach. In anderen Fällen simulierten die Betrüger das Opfer mit einem neuen Gerät, um auf ihr Bankkonto zuzugreifen. Die Forscher sind sich nicht sicher, wie die Anmeldeinformationen für Banken überhaupt kompromittiert wurden, obwohl die plausiblen Anmeldeinformationen von Malware gestohlen, durch Phishing-Angriffe geerntet oder im dunklen Internet gefunden wurden. Wie genau Gerätekennungen erfasst wurden, ist unklar, aber es scheint logisch, dass solche Daten von mobiler Malware erfasst wurden, die auf den Geräten der Opfer vorhanden ist.

Was Finanzinstitute tun können, um ähnliche mobile Bedrohungen zu mindern

Es gibt keine einzige Silberkugel, die diese mobile Bedrohung töten könnte. Der beste Schutz ist ein mehrschichtiger Ansatz zur Tiefenverteidigung, der aus Folgendem besteht (aber nicht darauf beschränkt ist):

  1. Starke Kundenauthentifizierung
  2. Client- und serverseitige Risikoanalyse zur Betrugsprävention
  3. Mobile App-Abschirmung mit Laufzeitschutz

Bekämpfen Sie die Übernahme von Konten durch Modernisierung der Authentifizierung

Das Finanzdienstleistungs-Analystenunternehmen Aite Group hat kürzlich in seinem "Überarbeiten Ihres Authentifizierungssteuerungs-Frameworks" berichten, dass „Finanzinstitute, Fintech-Unternehmen und Händler einen Schritt zurücktreten und ihre Rahmenbedingungen für die Authentifizierungskontrolle überprüfen müssen. Wenn es einige Jahre her ist, dass dieser Rahmen mit den technologischen Fortschritten in diesem Zeitraum zuletzt überprüft wurde, muss er wahrscheinlich aktualisiert werden. “

Der Diebstahl von Benutzernamen und Passwörtern zur Authentifizierung von Benutzern und Zahlungen bildet die Grundlage für diesen mobilen Betrug. Diese statischen "Single-Factor" -Anmeldeinformationen sind anfällig für Phishing, wenn sie nicht bereits im Rahmen anderer Datenschutzverletzungen kompromittiert wurden. Durch die Implementierung einer Multi-Faktor-Authentifizierung (MFA), die dynamische, einmalige Authentifizierungscodes verwendet, wird das Risiko einer Kontoübernahme erheblich verringert. In einigen Fällen konnten die Angreifer nicht nur die vorhandenen Geräte der Benutzer vortäuschen, sondern auch neue Geräte mit den Konten der Opfer aktivieren.

Eine Bank sollte auch nicht die Entscheidung treffen, welche Kanäle zur leichten Übertragung dynamischer Authentifizierungs- / Autorisierungscodes verwendet werden sollen. SMS-Codes sind bekanntermaßen anfällig für Phishing und sogar Abfangen. In diesem Fall konnten die Masterminds hinter dem System SMS-Codes mit den imitierten Geräten empfangen, wodurch die Codes für den Schutz von Bankkonten unbrauchbar wurden. Ein typischer Angriff auf SMS-Einmalkennwörter / Passcodes (OTP) beginnt damit, dass das Opfer auf eine Phishing-Webseite geleitet wird, die der der Bank ähnelt. Dort gibt der Benutzer seine Daten ein, die die Übertragung eines OTP über SMS auslösen. Auf dem Gerät eines Opfers vorhandene Malware erhält dann SMS-Codes und leitet sie an den Angreifer weiter. Dies bedeutet, dass das Opfer niemals eine Verbindung zur Bank herstellt, da es mit einer Phishing-Seite interagiert.

Push-Benachrichtigungen, die über einen verschlüsselten Kanal an eine mobile App gesendet werden, die während der Aktivierung stark an das Gerät des Benutzers gebunden ist, hätten Angreifer wahrscheinlich daran gehindert, einmalige SMS-Passcodes zu sammeln und zu verwenden, um auf Konten zuzugreifen oder Zahlungen zu autorisieren. Darüber hinaus erschwert die Nutzung der Hardwarefunktionen mobiler Geräte (z. B. Secure Enclave auf iOS-Geräten oder Trusted Execution Environment / Secure Element auf Android-Geräten) das Stehlen von Gerätekennungen erheblich. Das Erfordernis einer biometrischen Authentifizierung zusammen mit der Bestätigung einer Push-Benachrichtigung hätte eine weitere Verteidigungsebene bereitgestellt, die diese Angreifer möglicherweise behindert hätte.

Es ist auch wichtig, dass Finanzinstitute fortschrittliche Manipulationsschutztechnologien (siehe Abschirmung der mobilen App mit Laufzeitschutz unten) auf jede Mobile-Banking-App anwenden. Dies verringert das Risiko, dass Gegner den Gerätebindungsprozess manipulieren oder rückentwickeln, um die Iteration einer Mobile-Banking-App eines legitimen Benutzers auf einem emulierten Gerät zu replizieren.

Bekämpfen Sie anspruchsvollen digitalen Betrug mit clientseitiger und serverseitiger Risikoanalyse

Gartner hat ein Online-Framework zur Betrugserkennung vorgeschlagen, bestehend aus fünf Präventionsschichten - endpunktzentrierte, navigations- und netzwerkzentrierte, benutzer- und entitätszentrierte, kanalübergreifende benutzer- und entitätszentrierte sowie Big-Data-Benutzer- und Entitätsanalysen - zur Erkennung von Online-Betrug. Da die Betrüger einen Emulator verwendeten, konnten sie bestimmte Aspekte der ersten Präventionsschicht überwinden. Wir sehen immer mehr Beispiele für hoch entwickelte Betrüger, die clientseitige Daten wie Gerät, Standort und Tageszeit simulieren können.

Dieser mobile Betrugsfall und die zunehmende Reife von Online-Betrugsringen im Allgemeinen sprechen für die Notwendigkeit einer umfassenderen Betrugspräventionslösung mit ordnungsgemäß konfigurierten zusätzlichen Ebenen. Derzeit ist es für Angreifer viel schwieriger, nachfolgende Präventionsebenen zu überwinden:

  • Schicht 1: Endpunktzentriert - Analyse des Endpunktverhaltens und der Standortkorrelationen; Diese Schicht umfasst auch die Erkennung von Malware und das Fingerprinting von Geräten
  • Schicht 2: Navigations- und netzwerkzentriert - Analyse des Sitzungs-, Netzwerk- und Navigationsverhaltens sowie der Verdachtsmuster
  • Schicht 3: Benutzer- und entitätszentriert (Einzelkanal) - Analyse des Benutzer- / Entitätsverhaltens nach Kanälen (z. B. Online-Banking, Mobile-Banking usw.)
  • Schicht 4: Benutzer- und entitätszentriert über Kanäle und Produkte hinweg - Analyse des kanalübergreifend korrelierten Anomalieverhaltens
  • Schicht 5: Big Data-Benutzer- und Entitätsverknüpfung - Analyse von Beziehungen zur Aufdeckung von organisierter Kriminalität und Absprachen

Wie Sie vielleicht vermutet haben, wird das Sammeln und Korrelieren von Risikosignalen in diesen Bereichen „mit der Geschwindigkeit des Menschen“ nahezu unmöglich. Jedes vollständige Online-Betrugserkennungssystem muss serverseitiges maschinelles Lernen und kontextbezogene automatisierte Regeln nutzen, um hier Auswirkungen zu erzielen.

Automatisierte, nicht menschliche Interaktion erkennen

Die böse Emulationsfarm simulierte die Geräte der Opfer, wodurch jede Bank, die sich ausschließlich darauf verlässt, mobile Geräte anhand einer ID oder eines einmaligen Codes per SMS zu identifizieren / ihnen zu vertrauen, einem Risiko ausgesetzt ist. Wenn die gezielten Banking-Apps die Sitzungsanalyse zusammen mit dem Endpunktverhalten und den Standortkorrelationen aktiviert hätten, könnte das Gerät aufgrund des Fehlens eines „menschenähnlichen“ Interaktionsverhaltens (dh der Art und Weise, wie ein Mensch mit einem Gerät interagiert, wie z. B. der Trittfrequenz) emuliert werden , Winkel, Höhe und möglicherweise andere Verhaltensmerkmale).

Wie und wann ein Benutzer mit einer Sitzung interagiert, kann einen Einblick in sein übliches Sitzungsverhalten geben. Dies ist eine zusätzliche Präventionsschicht, die die Arbeit eines Angreifers erschweren kann, da der automatisierte Emulator die Interaktionsgeschwindigkeit des menschlichen Opfers und mehr konsequent nachahmen müsste.

Überwachung Mehr als das Anmeldeereignis: Kontinuierliche Sitzungsüberwachung

Wenn wir zu den Ebenen 3 und 4 aufsteigen, ist es wichtig, die Aktivitäten der Banksitzungen über die anfängliche Anmeldung hinaus zu berücksichtigen. Letztendlich wird ein Angreifer die Rechnungen eines Benutzers nicht für ihn bezahlen, sein Ziel ist es, Geld zu extrahieren. Es ist daher von entscheidender Bedeutung, dass die Banken eine kontinuierliche Überwachung durchführen, um neue Geräte, Begünstigte und Transaktionen zu überprüfen. Mit dieser Überprüfung soll ermittelt werden, ob Geräte, Begünstigte oder Transaktionen neu sind und / oder anderen Verbrauchern oder gewerblichen Kunden einer Bank bekannt sind (dh von diesen verwendet werden).

Automatisierung der Aufdeckung / Prävention von Betrug mit der Kraft des maschinellen Lernens

Das Verständnis der Analyse der typischen Aktivitäten aller Benutzer und Geräte kann dazu beitragen, die Aktivierung von Massengeräten, die Erstellung von Massenbegünstigten und Massentransaktionen zu identifizieren - alles Signale eines skalierten Angriffs. In diesem Fall könnte die Bank im Nachhinein auf eine der vielen Phasen des Angriffs aufmerksam gemacht werden. Dazu gehören Angreifer, die zahlreiche neue Geräte aktivieren, Geräte emulieren, neue Begünstigte erstellen, hohe Beträge überweisen, den Kontostand belasten und Geld auf bisher unbekannte Konten senden.

Solche Indikatoren sowie Tausende weitere können maschinellen Lernmodellen zur Verfügung gestellt werden, die in einem hochdimensionalen Raum arbeiten können, der den eines Menschen weit übersteigt, und in Echtzeit eine Vorhersage (Anomalie / Risikobewertung) liefern können . Auf diese Weise kann eine Bank den Angriff aufhalten und seine Ausbreitung verhindern sowie eine automatisierte Reaktion ermöglichen.

Bekämpfen Sie Emulatoren und andere mobile Bedrohungen mit App Shielding, einschließlich Laufzeitschutz

Details darüber, wie die Angreifer die Schwachstellen in den mobilen Apps und Betrugserkennungssystemen der Opferbanken identifiziert haben, liegen auf der Hand, dass sie bestimmte Aspekte der mobilen App rückentwickeln konnten. Es ist wahrscheinlich, dass die Angreifer einfach die legitimen Apps aus den offiziellen App Stores heruntergeladen und damit begonnen haben, die Apps auf einem Emulator zu stupsen und zu stupsen, um die App während der Ausführung zu untersuchen.

Die Abschirmung mobiler Apps mit Laufzeitschutz hätte solche Aktivitäten erkannt und die App sofort heruntergefahren, um diese böswilligen Aktivitäten zu verhindern. Die erweiterte Abschirmung mobiler Apps verhindert nicht nur, dass eine App auf einem Emulator ausgeführt wird, sondern erkennt und blockiert auch mehrere Tools, die von Gegnern verwendet werden, um die App zurückzuentwickeln und die Funktionsweise der App zu verstehen.

Angesichts der Komplexität dieser Bedrohung ist es nicht unangemessen anzunehmen, dass die Angreifer die App rückentwickeln konnten, um zu verstehen, wie sie (wenn überhaupt) an das Gerät eines Benutzers gebunden war und wie sie mit den serverseitigen APIs der Bank kommunizierte. Die Abschirmung mobiler Apps mit Laufzeitschutz hätte eine weitere Ebene der Sicherheitskontrolle hinzugefügt, die die Arbeit des Betrügers viel zeitaufwändiger und teurer gemacht hätte.

Zusätzlich zur Reverse-Engineering-Minderung bietet die App-Abschirmung mit Laufzeitschutz verschiedene Funktionen, die es Angreifern erschweren, einen Angriff auf Mobile-Banking-Apps und -Benutzer auszuführen:

  • Verhindern des Identitätswechsels von Apps durch Erkennen eines erneuten Packens von Apps (dh böswilliges Ändern und erneutes Veröffentlichen einer App)
  • Identifizieren von Codeänderungen und / oder Einfügen schädlicher Laufzeitbibliotheken in eine App
  • Reduzierung des Risikos von Datenlecks durch Stoppen von Screenshots und böswilligen Tastaturen
  • Erkennen der Eskalation von Berechtigungen durch Erkennen von Geräten mit Jailbreak oder Root
  • Reduzieren Sie UI-Overlay-Angriffe, indem Sie das Überschreiben des Vordergrunds auf Android-Geräten verhindern

Zusammenfassung

Um ihre Kunden und Institutionen vor der ständigen Weiterentwicklung und den Innovationen der Gegner zu schützen, müssen Finanzinstitute einen mehrschichtigen Ansatz für Online-Banking-Betrug verfolgen, der aus einer starken Kundenauthentifizierung, serverseitigen Risikoanalysen und fortschrittlicher Sicherheit für mobile Apps einschließlich der Abschirmung mobiler Apps besteht mit Laufzeitschutz.

Sam ist Senior Product Marketing Manager und verantwortlich für das Sicherheitsportfolio für mobile OneSpan-Apps. Er verfügt über fast 10 Jahre Erfahrung in der Informationssicherheit.