La bataille pour nos comptes bancaires - Comment l'apprentissage automatique et la surveillance continue peuvent empêcher les attaques de fraude

Greg Hancell, juin 25, 2020
The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

Le prix ultime pour les cybercriminels est d'avoir accès à l'argent des autres - il n'est donc pas étonnant que les attaques par prise de contrôle de comptes soient en augmentation. Dans cet article, publié à l'origine par Fraud Intelligence , Greg Hancell, Manager de Global Fraud Consulting chez OneSpan, explique comment les banques peuvent appliquer une surveillance continue et un apprentissage automatique pour se défendre contre les attaques par prise de contrôle de compte.  

La bataille pour nos comptes bancaires - une surveillance continue

La fraude à la prise de contrôle de compte (ATO) est l'une des principales menaces pesant sur les institutions financières et leurs clients. Dans une enquête menée par Aite Group auprès de l’industrie, 89% des dirigeants d’institutions financières fraude à la prise de contrôle de compte comme la cause la plus courante de pertes dans le canal numérique. Aujourd'hui, les cybercriminels restent concentrés sur l'ATO, la fraude sur les nouveaux comptes et la fraude par carte non présente. Le rapport 2020 Identity Fraud de Javelin Strategy & Research a révélé que les prises de contrôle de comptes avaient tendance à atteindre le taux de perte le plus élevé à ce jour, en hausse de 72% en 2019 [1], à 5,1 milliards de dollars et 120% de plus qu'en 2016. [2] À mesure que les fraudeurs deviennent plus agressifs, ils continuent de tirer parti du phishing, du spear phishing et du vol d'identité pour perpétrer de nouvelles fraudes sur les nouveaux comptes. En fait, 1,5 million de victimes de fraude sur un compte existant avaient ouvert un compte intermédiaire en leur nom, soit une augmentation de 200% par rapport à l'année précédente.

Nos identités numériques ne sont plus privées. En 2018, environ 3,2 milliards d'enregistrements de données personnelles ont été compromis [3]; c'est près de la moitié de la population mondiale. Les violations de données d'aujourd'hui sont publiées en ligne sur les marchés du dark web, où il y a beaucoup de profit.

Comme la criminalité de rue, qui a historiquement augmenté en fonction de la croissance démographique, nous assistons à une évolution de la cybercriminalité avec reprise de compte. Dans le passé, pour que les criminels volent de l'argent, ils devaient observer le comportement ou les habitudes quotidiennes d'une personne, prendre le portefeuille de quelqu'un, surfer sur l'épaule (c.-à-d. Espionner un utilisateur pour obtenir un NIP ou un mot de passe), ou peut-être appliquer une tactique d'écrémage de carte (lorsqu'un appareil frauduleux est appliqué à un lecteur de carte afin d'extraire les coordonnées du payeur). Désormais, les cybercriminels sont plus avancés et sophistiqués. Par exemple, un attaquant peut accéder à Internet et obtenir un accès instantané à des milliers ou des millions de détails de compte: noms d'utilisateur, informations d'identification, adresses e-mail et numéros de téléphone. De plus, un attaquant pourrait mener une campagne de phishing en envoyant des milliers de courriels censés provenir d'une institution financière. L'e-mail contiendra soit un logiciel malveillant, soit un lien vers une page Web de phishing conçue pour usurper l'identité du site Web d'une banque afin de capturer les détails d'accès de l'utilisateur.

Malheureusement, bon nombre de ces éléments sont statiques et, une fois compromis, peuvent entraîner une prise de contrôle de compte. En outre, des outils plus avancés sont disponibles pour les attaquants, tels que Muraena et NecroBrowser, qui sont conçus pour contourner l'authentification au deuxième facteur en effectuant un détournement de session. La facilité de disponibilité de ces outils et la barrière d'entrée inférieure signifient que les fraudeurs disposent d'une variété d'armes et de méthodes de collecte de données personnelles pour causer de graves dommages - ce qui rend difficile une protection efficace.

Appliquer une surveillance continue

Un moyen efficace de reconnaître et de se défendre contre les attaques par prise de contrôle de compte consiste à mettre en œuvre contrôle continu sur les plateformes numériques.

Dans le passé, nous authentifions généralement les utilisateurs lors de la connexion ou d'une transaction. Maintenant, cependant, nous avons une abondance de données, car les utilisateurs accèdent à leur compte via le Web ou les services bancaires mobiles, et il y a des événements en continu vers l'institution financière au fur et à mesure que l'utilisateur progresse dans sa session. Ce mouvement vers la banque numérique se prête bien à une surveillance continue de la capacité de surveiller tous les événements au fur et à mesure qu'ils se produisent - non seulement la connexion et la transaction, mais aussi la demande d'un solde, la création d'un nouveau bénéficiaire, l'ajout d'un nouvel appareil ou la modification d'un adresse. À partir du moment où un utilisateur atterrit sur une page Web, la surveillance continue permet une compréhension du comportement, car elle identifie son parcours en ligne normal et ses interactions avec ses comptes et appareils. De plus, un profil peut être créé sur tous les appareils utilisés dans une session particulière.

Cela se combine parfaitement avec d'autres protections telles que authentification à deux facteurs ou la liaison dynamique, car elle permet à la banque d'utiliser également le contexte de ces méthodes d'authentification. ( Liaison dynamique , une exigence de la deuxième directive sur les services de paiement (PSD2) , garantit qu'il existe un code d'authentification unique pour chaque transaction qui est spécifique au montant de la transaction et au destinataire). La surveillance continue prévoit que, lorsque le comportement de l'utilisateur devient connu, de nouveaux comportements peuvent être identifiés qui pourraient indiquer une nouvelle personne (c'est-à-dire un attaquant) ou un bot. Les indicateurs typiques d'attaques, tels que les appareils malveillants nouveaux ou connus, les cookies, les en-têtes, les référents, les emplacements, les robots, les bénéficiaires ou autres, peuvent être surveillés en temps réel et distingués du comportement normal des clients.

Cette approche établit un profil de risque continu pour la session, qui peut changer à chaque action entreprise par l'utilisateur final ou son appareil. Non seulement cela permet à l'institution financière de prendre des mesures automatisées en temps réel lorsque des anomalies sont détectées, mais cela permet également à la banque de réduire les frictions pour les sessions légitimes en diminuant le nombre d'authentifications requises pour de véritables interactions. Cela diminue finalement la propagation des attaques ainsi que les pertes et améliore l'expérience utilisateur.

L'apprentissage automatique réduit le risque de fraude

L'apprentissage automatique réduit les biais humains tels que la disponibilité et la confirmation car, contrairement aux humains, il est capable de voir tous les événements et d'en tirer des enseignements, en analysant de grands volumes de données disparates et de grande dimension (une combinaison de nombreux points de données différents) en temps réel.

Avec l'apprentissage automatique, il existe deux principaux types d'algorithmes appliqués à la détection des fraudes: supervisé et non supervisé.

Apprentissage automatique non supervisé et supervisé

L'apprentissage automatique non supervisé a tendance à utiliser des modèles qui identifient les anomalies entre ce qui est habituel et ce qui est inhabituel en fonction de la distance entre les entités (points de données).

Avec l'apprentissage automatique supervisé, le modèle est formé à l'aide de données étiquetées (fraude ou authentique) et prédit la probabilité de fraude (score de fraude). Un modèle d'apprentissage automatique peut s'appliquer, en temps réel, à chaque événement qui se produit et renvoyer un score. Cela peut permettre à une solution ou à un utilisateur de prendre une action en fonction de ces événements.

L'un des défis pour une institution financière est de savoir comment passer à l'apprentissage automatique supervisé. L'ensemble de données dont ils disposent est déséquilibré, en ce sens qu'il existe une majorité d'événements authentiques contre une minorité de fraudes. Les scientifiques des données utilisent des techniques plus avancées telles que les données synthétiques pour générer plus de points de données et permettre la formation d'un modèle supervisé. Certaines institutions financières passent à l'apprentissage automatique semi-supervisé, qui combine une petite quantité de données étiquetées avec une grande quantité de données non étiquetées pendant la formation. Cette approche peut considérablement améliorer la précision d'apprentissage.

Qu'est-ce qu'une dimension dans l'apprentissage automatique?

Un modèle d'apprentissage automatique fonctionnera sur les caractéristiques des éléments de données tels qu'un appareil, l'adresse IP de l'utilisateur et le fournisseur de services Internet de l'utilisateur. Si nous prenons un appareil comme exemple, les fonctionnalités peuvent être:

  • Comment cet appareil est-il utilisé?
  • Quel est l'âge de cet appareil?
  • Cet appareil est-il nouveau pour l'utilisateur?
  • Est-ce nouveau pour l'institution financière?
  • Est-il partagé avec d'autres utilisateurs?
  • Quels sont les paramètres de sécurité sur cet appareil?
  • Quelles méthodes biométriques et méthodes d'authentification sont abonnées à cet appareil?
  • Quelle méthode de communication utilise-t-elle?
  • De quel modèle s'agit-il?
  • Quel système d'exploitation?
  • Y a-t-il quelque chose de malveillant en cours d'exécution (enregistreur de frappe, débogueur, superposition de clavier, etc.)?
  • Est-ce que quelque chose a changé?

Ce sont toutes des questions que vous pouvez poser autour de l'appareil seul.

Les institutions financières qui tirent parti de l'apprentissage automatique peuvent prendre des décisions en temps réel sur les événements. Ils prennent des données et posent des milliers de questions en temps réel. Le résultat est une intelligence qui est ensuite modélisée dans un espace de grande dimension, c'est-à-dire la capacité de modéliser de nombreux points de données différents, souvent dans des milliers de dimensions, ce qui est bien au-delà des capacités d'un être humain. Le modèle fournit un résultat de renseignement exploitable, c'est-à-dire qu'il informe l'institution financière de la probabilité qu'une action soit anormale ou de la fraude, au fur et à mesure qu'elle se produit.

Il est impossible d'avoir un expert en fraude 24 heures sur 24, 7 jours sur 7, pour voir tous les événements. Ainsi, l'apprentissage automatique supprime ce biais de disponibilité auquel nous, les humains, sommes soumis. De plus, il peut réduire la fatigue des alertes en ne présentant des événements et transactions très inhabituels qu'à un expert en fraude. De cette façon, l'apprentissage automatique permet la prise de décision sur les événements en temps réel sur une base automatisée.

L'apprentissage automatique peut également prendre des décisions pour d'autres flux de travail - tels que le type d'authentification qu'une institution financière devrait appliquer à une transaction, en fonction du risque. Cela peut être utilisé pour améliorer l'expérience client, car lorsque les institutions financières peuvent déterminer que le risque est faible, il n'est pas nécessaire de demander une authentification à l'utilisateur à ce moment-là. Si les institutions financières utilisent une surveillance continue, si le risque change, elles peuvent proposer des mesures d'authentification plus strictes. L'apprentissage automatique est exceptionnellement bien adapté pour établir le niveau de risque / fraude potentiel sur les canaux bancaires via les données des utilisateurs, des appareils et des transactions. Ces scores de risque permettent des modifications dynamiques des flux de travail d'authentification pour correspondre au niveau de risque. Ainsi, les transactions à faible risque (c.-à-d. Une vérification du solde à partir d'un appareil connu) ne nécessiteraient aucune authentification supplémentaire, et les transactions à risque plus élevé (c.-à-d., Un transfert important, à partir d'un appareil «jailbreaké» dans un nouvel emplacement) déclencheraient une authentification supplémentaire pas. (Un appareil jailbreaké a été modifié afin de pouvoir y apporter des modifications qui ne sont pas prises en charge par le logiciel dans son état par défaut).

La fraude à la prise de contrôle devrait continuer de croître, car elle constitue une source de profit relativement facile pour les mauvais acteurs qui continueront d'exploiter toutes les faiblesses du système bancaire financier. Cependant, une approche de sécurité à plusieurs niveaux peut considérablement aider à atténuer les attaques qui conduisent à la prise de contrôle de compte. La technologie qui protège l'utilisateur, l'appareil, l'application et le canal de communication, combinée à un moteur complet d'analyse des risques et à un cadre d'authentification intelligent, est essentielle pour avancer dans la lutte contre la fraude par prise de contrôle de compte.

Couverture ebook
E-book

Piratage de compte : Garantir la protection de ses clients et de son activité

Luttez contre le piratage de compte et protégez vos clients à chaque étape de leur parcours numérique.

Télécharger

Remarques:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches