La batalla por nuestras cuentas bancarias: cómo el aprendizaje automático y el monitoreo continuo pueden prevenir ataques de fraude

Greg Hancell, 25 de Junio de 2020
The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

El premio final para los ciberdelincuentes es obtener acceso al dinero de otras personas, por lo que no es de extrañar que los ataques de adquisición de cuentas estén en aumento. En este articulo, publicado originalmente por Fraud Intelligence , Greg Hancell, Gerente de Global Fraud Consulting en OneSpan, explica cómo los bancos pueden aplicar el monitoreo continuo y el aprendizaje automático para defenderse de los ataques de adquisición de cuentas.  

La batalla por nuestras cuentas bancarias: monitoreo continuo

El fraude de adquisición de cuentas (ATO) es una de las principales amenazas para las instituciones financieras y sus clientes. En una encuesta de la industria realizada por el Grupo Aite, el 89 por ciento de los ejecutivos de instituciones financieras señalaron fraude de adquisición de cuenta como la causa más común de pérdidas en el canal digital. Hoy en día, los ciberdelincuentes siguen centrados en la ATO, el fraude de cuentas nuevas y el fraude sin tarjeta. El informe 2020 Identity Fraud de Javelin Strategy & Research encontró que las adquisiciones de cuentas tendían a la tasa de pérdida más alta hasta la fecha, un asombroso 72 por ciento en 2019 [1], a $ 5,1 mil millones, y un aumento del 120 por ciento en 2016. [2] A medida que los estafadores se vuelven más agresivos, continúan aprovechando el phishing, el spear phishing y el robo de identidad para perpetrar más fraudes en cuentas nuevas. De hecho, 1,5 millones de víctimas de fraude de cuentas existentes tenían una cuenta intermediaria abierta a su nombre, un aumento del 200 por ciento respecto al año anterior.

Nuestras identidades digitales ya no son privadas. En 2018, se comprometieron aproximadamente 3.200 millones de registros de datos personales [3]; eso es casi la mitad de la población mundial. Las violaciones de datos de hoy se publican en línea en mercados web oscuros, donde se obtienen muchas ganancias.

Al igual que el crimen callejero, que históricamente creció en relación con el crecimiento de la población, estamos presenciando una situación similar. evolución del cibercrimen con adquisición de cuenta. En el pasado, para que los delincuentes robaran dinero tendrían que observar el comportamiento o los hábitos diarios de una persona, tomar la billetera de alguien, navegar por el hombro (es decir, espiar a un usuario para obtener un PIN o contraseña) o tal vez aplicar una táctica de robo de tarjetas (donde se aplica un dispositivo fraudulento a un lector de tarjetas para extraer los detalles del pagador). Ahora, los cibercriminales son más avanzados y sofisticados. Por ejemplo, un atacante puede conectarse y obtener acceso instantáneo a miles o millones de detalles de la cuenta: nombres de usuario, credenciales, direcciones de correo electrónico y números de teléfono. Además, un atacante podría realizar una campaña de phishing enviando miles de correos electrónicos que pretenden provenir de una institución financiera. El correo electrónico contendrá malware o un enlace a una página web de phishing diseñada para hacerse pasar por el sitio web de un banco con el fin de capturar los detalles de acceso del usuario.

Desafortunadamente, muchos de estos elementos son estáticos y una vez comprometidos pueden resultar en una toma de control de la cuenta. Además, hay herramientas más avanzadas disponibles para los atacantes, como Muraena y NecroBrowser, que están diseñadas para evitar la autenticación de segundo factor al realizar un secuestro de sesión. La facilidad de disponibilidad de tales herramientas y la barrera de entrada más baja significa que los estafadores tienen una variedad de armas y métodos de recolección de datos personales para causar daños graves, lo que hace que la protección efectiva sea un desafío.

Aplicar monitoreo continuo

Una forma efectiva de reconocer y defenderse contra los ataques de toma de cuenta es implementar monitoreo continuo en plataformas digitales.

En el pasado, generalmente autenticamos a los usuarios durante el inicio de sesión o una transacción. Ahora, sin embargo, tenemos una gran cantidad de datos porque los usuarios acceden a su cuenta a través de la web o la banca móvil, y hay eventos que se transmiten constantemente a la institución financiera a medida que el usuario avanza a través de su sesión. Este movimiento hacia la banca digital se presta bien para monitorear continuamente la capacidad de vigilar todos los eventos a medida que ocurren, no solo el inicio de sesión y la transacción, sino también solicitar un saldo, crear un nuevo beneficiario, agregar un nuevo dispositivo o cambiar un habla a. Desde el momento en que un usuario llega a una página web, el monitoreo continuo permite la comprensión del comportamiento, ya que identifica su viaje normal en línea e interacciones con sus cuentas y dispositivos. Además, se puede crear un perfil en todos los dispositivos utilizados en una sesión particular.

Esto se combina a la perfección con otras protecciones como Autenticación de dos factores o enlace dinámico, porque permite que el banco utilice también el contexto de estos métodos de autenticación. ( Enlace dinámico , un requisito de la segunda Directiva de servicios de pago (PSD2) , asegura que haya un código de autenticación único para cada transacción que sea específico para el monto de la transacción y el destinatario). El monitoreo continuo establece que, a medida que se conoce el comportamiento del usuario, se puede identificar un nuevo comportamiento que podría indicar una nueva persona (es decir, un atacante) o un bot. Los indicadores típicos de ataques, como dispositivos nefastos nuevos o conocidos, cookies, encabezados, referencias, ubicaciones, bots, beneficiarios u otros, pueden monitorearse en tiempo real y distinguirse del comportamiento normal del cliente.

Este enfoque establece un perfil de riesgo continuo para la sesión, que puede cambiar con cada acción realizada por el usuario final o su dispositivo. Esto no solo le permite a la institución financiera tomar acciones automatizadas en tiempo real cuando se detectan anomalías, sino que también le permite al banco reducir la fricción en las sesiones legítimas al disminuir el número de autenticaciones requeridas para las interacciones genuinas. Esto en última instancia disminuye la propagación del ataque, así como las pérdidas, y mejora la experiencia del usuario.

El aprendizaje automático reduce el riesgo de fraude

El aprendizaje automático reduce el sesgo humano, como la disponibilidad y la confirmación porque, a diferencia de los humanos, puede ver todos los eventos y aprender de ellos, analizando grandes volúmenes de datos dispares y de alta dimensión (una combinación de muchos puntos de datos diferentes) en tiempo real.

Con el aprendizaje automático, existen dos tipos principales de algoritmos aplicados a la detección de fraude: supervisados y no supervisados.

Aprendizaje automático no supervisado y supervisado

El aprendizaje automático no supervisado tiende a utilizar modelos que identifican anomalías entre lo que es habitual y lo que es inusual en función de la distancia entre las características (puntos de datos).

Con el aprendizaje automático supervisado, el modelo se entrena utilizando datos etiquetados (fraude o genuino) y predice la probabilidad de fraude (puntaje de fraude). Un modelo de aprendizaje automático puede aplicarse, en tiempo real, a cada evento que ocurra y devolver una puntuación. Esto puede permitir que una solución, o un usuario, realice una acción basada en estos eventos.

Uno de los desafíos para una institución financiera es cómo pasar al aprendizaje automático supervisado. El conjunto de datos que tienen no está equilibrado, ya que hay una mayoría de eventos genuinos contra una minoría de fraude. Los científicos de datos están utilizando técnicas más avanzadas como los datos sintéticos para generar más puntos de datos y permitir la capacitación de un modelo supervisado. Algunas instituciones financieras se están moviendo hacia el aprendizaje automático semi-supervisado, que combina una pequeña cantidad de datos etiquetados con una gran cantidad de datos sin etiquetar durante la capacitación. Este enfoque puede mejorar considerablemente la precisión del aprendizaje.

¿Qué es una dimensión en el aprendizaje automático?

Un modelo de aprendizaje automático funcionará con las características de los elementos de datos, como un dispositivo, la dirección IP del usuario y el proveedor de servicios de Internet del usuario. Si tomamos un dispositivo como ejemplo, las características podrían ser:

  • ¿Cómo se usa ese dispositivo?
  • ¿Cuál es la edad de ese dispositivo?
  • ¿Es ese dispositivo nuevo para el usuario?
  • ¿Es nuevo para la institución financiera?
  • ¿Se comparte con otros usuarios?
  • ¿Qué parámetros de seguridad hay en ese dispositivo?
  • ¿Qué métodos biométricos y métodos de autenticación están suscritos a ese dispositivo?
  • ¿Qué método de comunicación está usando?
  • Que modelo es
  • Que sistema operativo
  • ¿Se está ejecutando algo malicioso (keylogger, depurador, superposición de teclado, etc.)?
  • ¿Ha cambiado algo?

Todas estas son preguntas que puede hacer solo en el dispositivo.

Las instituciones financieras que aprovechan el aprendizaje automático pueden tomar decisiones en tiempo real sobre los eventos. Toman datos y hacen miles de preguntas en tiempo real. La salida es inteligencia que luego se modela en un espacio de alta dimensión, es decir, la capacidad de modelar muchos puntos de datos diferentes, a menudo en las miles de dimensiones, que está mucho más allá de la capacidad de un humano. El modelo proporciona un resultado de inteligencia procesable, es decir, informa a la institución financiera de la probabilidad de que una acción sea anómala o de fraude, mientras ocurre.

Es imposible contar con un experto en fraude las 24 horas del día, los 7 días de la semana, para ver todos los eventos. Entonces, el aprendizaje automático está eliminando ese sesgo de disponibilidad al que estamos sujetos los humanos. Además, puede reducir la fatiga de alerta al presentar solo eventos y transacciones altamente inusuales a un experto en fraude. De esta manera, el aprendizaje automático permite la toma de decisiones sobre eventos en tiempo real de forma automatizada.

El aprendizaje automático también puede tomar decisiones para otros flujos de trabajo, como qué tipo de autenticación debe aplicar una institución financiera a una transacción, de acuerdo con el riesgo. Esto se puede usar para mejorar la experiencia del cliente porque, cuando las instituciones financieras pueden determinar que el riesgo es bajo, no es necesario solicitar la autenticación del usuario en ese momento. Si las instituciones financieras están usando monitoreo continuo, entonces, si el riesgo cambia, pueden ofrecer medidas de autenticación más fuertes. El aprendizaje automático es excepcionalmente adecuado para establecer el nivel de riesgo potencial / fraude en los canales bancarios a través de los datos de usuario, dispositivo y transacción. Estos puntajes de riesgo permiten cambios dinámicos en los flujos de trabajo de autenticación para que coincidan con el nivel de riesgo. Por lo tanto, las transacciones de bajo riesgo (es decir, una verificación de saldo desde un dispositivo conocido) no requerirían autenticación adicional, y las transacciones de mayor riesgo (es decir, una transferencia grande, desde un dispositivo 'con jailbreak' en una nueva ubicación) desencadenarían una autenticación adicional pasos. (Se ha modificado un dispositivo con jailbreak para que se puedan realizar cambios que no sean compatibles con el software en su estado predeterminado).

Es probable que el fraude de adquisición de cuentas continúe creciendo, ya que es una fuente de ganancias relativamente fácil para los malos actores que continuarán explotando todas las debilidades disponibles en el sistema bancario financiero. Sin embargo, un enfoque de seguridad de varias capas puede ayudar significativamente a mitigar los ataques que conducen a la toma de control de la cuenta. La tecnología que protege al usuario, el dispositivo, la aplicación y el canal de comunicación, combinada con un completo motor de análisis de riesgos y un marco de autenticación inteligente, son esenciales para avanzar en la lucha contra el fraude de adquisición de cuentas.

Libro electrónico

Fraude de robo de cuenta: cómo proteger a sus clientes y su negocio

Evite el fraude de robo de cuenta y proteja a los clientes en cada etapa de su viaje digital.

Descargar ahora

Notas:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches