La bataille pour nos comptes bancaires - Comment l'apprentissage automatique et la surveillance continue peuvent prévenir les attaques frauduleuses

Greg Hancell, juin 25, 2020

Le prix ultime pour les cybercriminels est d'accéder à l'argent des autres - il n'est donc pas étonnant que les attaques de prise de contrôle de compte soient en augmentation. Dans cet article, initialement publié par Fraud Intelligence , Greg Hancell, directeur du Global Fraud Consulting chez OneSpan, explique comment les banques peuvent appliquer une surveillance continue et un apprentissage automatique pour se défendre contre les attaques de prise de contrôle de compte.  

La bataille pour nos comptes bancaires - surveillance continue

La fraude par prise de contrôle (ATO) est l'une des principales menaces pour les institutions financières et leurs clients. Dans une enquête sectorielle réalisée par le groupe Aite, 89% des dirigeants d'institutions financières ont indiqué fraude par prise de contrôle de compte comme cause la plus fréquente de pertes dans le canal numérique. Aujourd'hui, les cybercriminels restent concentrés sur l'ATO, fraude à un nouveau compte et la fraude par carte non présente. Le rapport 2020 sur la fraude d'identité de Javelin Strategy & Research a révélé la tendance des prises de contrôle de compte au taux de perte le plus élevé à ce jour, en hausse de 72% par rapport à 2019 [1], à 5,1 milliards de dollars et à une augmentation de 120% par rapport à 2016. [2] À mesure que les fraudeurs deviennent de plus en plus agressifs, ils continuent de tirer parti du phishing, du harponnage et du vol d'identité pour perpétrer de nouvelles fraudes sur les comptes. En fait, 1,5 million de victimes de fraudes de compte existantes ont eu un compte intermédiaire ouvert à leur nom - une augmentation de 200% par rapport à l'année précédente.

Nos identités numériques ne sont plus privées. En 2018, environ 3,2 milliards d'enregistrements de données personnelles ont été compromis [3]; c'est près de la moitié de la population mondiale. Les violations de données d'aujourd'hui sont publiées en ligne sur des marchés du Web sombre, où les bénéfices sont considérables.

À l'instar de la criminalité de rue, qui a historiquement augmenté par rapport à la croissance démographique, nous assistons à une évolution de la cybercriminalité avec reprise de compte. Dans le passé, pour que les criminels volent de l'argent, ils devaient observer le comportement ou les habitudes quotidiennes d'une personne, prendre le portefeuille de quelqu'un, surfer sur l'épaule (c'est-à-dire espionner un utilisateur pour obtenir un code PIN ou un mot de passe), ou peut-être appliquer une tactique d'écrémage des cartes. (lorsqu'un appareil frauduleux est appliqué à un lecteur de carte afin d'extraire les coordonnées du payeur). Désormais, les cybercriminels sont plus avancés et plus sophistiqués. Par exemple, un attaquant peut se connecter en ligne et accéder instantanément à des milliers ou des millions de détails de compte - noms d'utilisateur, informations d'identification, adresses e-mail et numéros de téléphone. De plus, un attaquant peut mener une campagne de phishing en envoyant des milliers d'e-mails qui prétendent provenir d'une institution financière. L'e-mail contiendra un logiciel malveillant ou un lien vers une page Web de phishing conçu pour usurper l'identité du site Web d'une banque afin de capturer les détails d'accès de l'utilisateur.

Malheureusement, bon nombre de ces éléments sont statiques et une fois compromis, ils peuvent entraîner une prise de contrôle de compte. En outre, il existe des outils plus avancés disponibles pour les attaquants, tels que Muraena et NecroBrowser, qui sont conçus pour contourner l'authentification au second facteur en effectuant un détournement de session. La facilité de disponibilité de ces outils et la réduction de la barrière à l'entrée signifient que les fraudeurs disposent d'une variété d'armes et de méthodes de collecte de données personnelles pour causer de graves dommages - ce qui rend la protection efficace un défi.

Appliquer une surveillance continue

Un moyen efficace de reconnaître et de se défendre contre les attaques de prise de contrôle de compte consiste à mettre en œuvre contrôle continu sur les plateformes numériques.

Dans le passé, nous authentifions généralement les utilisateurs lors de la connexion ou d'une transaction. Maintenant, cependant, nous avons une abondance de données parce que les utilisateurs accèdent à leur compte via le Web ou les services bancaires mobiles, et des événements sont constamment diffusés vers l'institution financière au fur et à mesure que l'utilisateur progresse dans sa session. Ce mouvement vers la banque numérique se prête bien à une surveillance continue de la capacité de surveiller tous les événements au fur et à mesure qu'ils se produisent - pas seulement la connexion et la transaction, mais aussi la demande de solde, la création d'un nouveau bénéficiaire, l'ajout d'un nouvel appareil ou la modification d'un adresse. À partir du moment où un utilisateur atterrit sur une page Web, la surveillance continue permet une compréhension comportementale, car elle identifie son parcours en ligne normal et ses interactions avec ses comptes et ses appareils. De plus, un profil peut être créé sur tous les appareils utilisés dans une session particulière.

Cela se combine parfaitement avec d'autres protections telles que authentification à deux facteurs ou liaison dynamique, car elle permet à la banque d'utiliser également le contexte de ces méthodes d'authentification. ( Liaison dynamique , une exigence de la deuxième directive sur les services de paiement (PSD2) , garantit qu'il existe un code d'authentification unique pour chaque transaction qui est spécifique au montant de la transaction et au destinataire). La surveillance continue prévoit que, à mesure que le comportement de l'utilisateur est connu, un nouveau comportement peut être identifié, ce qui pourrait indiquer une nouvelle personne (c'est-à-dire un attaquant) ou un bot. Les indicateurs typiques d'attaques, tels que les appareils néfastes nouveaux ou connus, les cookies, les en-têtes, les référents, les emplacements, les bots, les bénéficiaires ou autres, peuvent être surveillés en temps réel et distingués du comportement normal des clients.

Cette approche établit un profil de risque continu pour la session, qui peut changer à chaque action entreprise par l'utilisateur final ou son appareil. Non seulement cela permet à l'institution financière de prendre des mesures automatisées en temps réel lorsque des anomalies sont détectées, mais cela permet également à la banque de réduire les frictions pour les sessions légitimes en diminuant le nombre d'authentifications requises pour de véritables interactions. Cela diminue en fin de compte la propagation des attaques ainsi que les pertes et améliore l'expérience utilisateur.

L'apprentissage automatique réduit le risque de fraude

L'apprentissage automatique réduit les préjugés humains tels que la disponibilité et la confirmation car, contrairement aux humains, il est capable de voir tous les événements et d'en tirer des leçons, en analysant de grands volumes de données disparates et de grande dimension (une combinaison de nombreux points de données différents) en temps réel.

Avec l'apprentissage automatique, il existe deux principaux types d'algorithmes appliqués à la détection de fraude: supervisé et non supervisé.

Apprentissage automatique non supervisé et supervisé

L'apprentissage automatique non supervisé a tendance à utiliser des modèles qui identifient les anomalies entre ce qui est habituel et ce qui est inhabituel en fonction de la distance entre les caractéristiques (points de données).

Avec l'apprentissage automatique supervisé, le modèle est formé à l'aide de données étiquetées (fraude ou authentiques) et prédit la probabilité de fraude (score de fraude). Un modèle d'apprentissage automatique peut s'appliquer, en temps réel, à chaque événement qui se produit et renvoyer un score. Cela peut permettre à une solution, ou à un utilisateur, d'entreprendre une action en fonction de ces événements.

L'un des défis pour une institution financière est de savoir comment passer à l'apprentissage automatique supervisé. L'ensemble de données dont ils disposent est déséquilibré, en ce sens qu'il existe une majorité d'événements réels contre une minorité de fraudes. Les data scientists utilisent des techniques plus avancées telles que les données synthétiques pour générer plus de points de données et permettre la formation d'un modèle supervisé. Certaines institutions financières passent à l'apprentissage automatique semi-supervisé, qui combine une petite quantité de données étiquetées avec une grande quantité de données non étiquetées pendant la formation. Cette approche peut considérablement améliorer la précision de l'apprentissage.

Qu'est-ce qu'une dimension de l'apprentissage automatique?

Un modèle d'apprentissage automatique fonctionnera sur les caractéristiques des éléments de données tels qu'un appareil, l'adresse IP de l'utilisateur et le fournisseur de services Internet de l'utilisateur. Si nous prenons un appareil comme exemple, les fonctionnalités pourraient être:

  • Comment cet appareil est-il utilisé?
  • Quel est l'âge de cet appareil?
  • Cet appareil est-il nouveau pour l'utilisateur?
  • Est-ce nouveau pour l'institution financière?
  • Est-il partagé avec d'autres utilisateurs?
  • Quels paramètres de sécurité se trouvent sur cet appareil?
  • Quelles méthodes biométriques et méthodes d'authentification sont abonnées à cet appareil?
  • Quelle méthode de communication utilise-t-il?
  • De quel modèle s'agit-il?
  • Quel système d'exploitation?
  • Y a-t-il quelque chose de malveillant en cours d'exécution (keylogger, débogueur, superposition de clavier, etc.)?
  • Quelque chose a-t-il changé?

Ce sont toutes des questions que vous pouvez poser uniquement autour de l'appareil.

Les institutions financières qui tirent parti de l'apprentissage automatique peuvent prendre des décisions en temps réel sur les événements. Ils prennent des données et posent des milliers de questions en temps réel. Le résultat est l'intelligence qui est ensuite modélisée dans un espace de grande dimension, c'est-à-dire la capacité de modéliser de nombreux points de données différents, souvent dans des milliers de dimensions, ce qui est bien au-delà de la capacité humaine. Le modèle fournit une sortie de renseignement exploitable, c'est-à-dire qu'il informe l'institution financière de la probabilité qu'une action soit anormale, ou de la probabilité d'une fraude, au fur et à mesure qu'elle se produit.

Il est impossible d'avoir un expert en fraude en place 24 heures sur 24, 7 jours sur 7, pour voir tous les événements. Ainsi, l'apprentissage automatique supprime ce biais de disponibilité auquel nous sommes soumis en tant qu'humains. De plus, il peut réduire la fatigue des alertes en ne présentant que des événements et des transactions très inhabituels à un expert en fraude. De cette manière, l'apprentissage automatique permet de prendre des décisions sur les événements en temps réel sur une base automatisée.

L'apprentissage automatique peut également prendre des décisions pour d'autres flux de travail, tels que le type d'authentification qu'une institution financière doit appliquer à une transaction, en fonction du risque. Cela peut être utilisé pour améliorer l'expérience client, car lorsque les institutions financières peuvent déterminer que le risque est faible, il n'est pas nécessaire de demander l'authentification de l'utilisateur à ce moment-là. Si les institutions financières utilisent une surveillance continue, si le risque change, elles peuvent proposer des mesures d'authentification plus strictes. L'apprentissage automatique est particulièrement bien adapté pour établir le niveau de risque potentiel / fraude sur les canaux bancaires via les données des utilisateurs, des appareils et des transactions. Ces scores de risque permettent des modifications dynamiques des flux de travail d'authentification pour correspondre au niveau de risque. Ainsi, les transactions à faible risque (c'est-à-dire, une vérification du solde à partir d'un appareil connu) ne nécessiteraient aucune authentification supplémentaire, et les transactions à risque plus élevé (c'est-à-dire un transfert important, à partir d'un appareil `` jailbreaké '' dans un nouvel emplacement) déclencheraient une authentification supplémentaire pas. (Un appareil jailbreaké a été modifié afin de pouvoir y apporter des modifications qui ne sont pas prises en charge par le logiciel dans son état par défaut).

La fraude par prise de contrôle continuera vraisemblablement à se développer, car elle constitue une source de profit relativement facile pour les mauvais acteurs qui continueront d'exploiter toutes les faiblesses disponibles dans le système bancaire financier. Cependant, une approche de sécurité à plusieurs niveaux peut considérablement aider à atténuer les attaques qui mènent à la prise de contrôle de compte. Une technologie qui protège l'utilisateur, l'appareil, l'application et le canal de communication, associée à un moteur d'analyse des risques complet et à un cadre d'authentification intelligent, est essentielle pour aller de l'avant dans la lutte contre la fraude par prise de contrôle de compte.

Couverture ebook
E-book

Piratage de compte : Garantir la protection de ses clients et de son activité

Luttez contre le piratage de compte et protégez vos clients à chaque étape de leur parcours numérique.

Télécharger

Remarques:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches