La fraude massive sur les services bancaires mobiles expose le besoin des banques en matière de sécurité des applications, d'authentification modernisée et d'analyse des risques

Massive Mobile Banking Fraud

Cet article a été écrit en collaboration avec Greg Hancell - Senior Manager of OneSpan's Fraud Consultancy et avec la contribution de Frederik Mennes - OneSpan Director of Product - et Will LaSala - Directeur principal des solutions globales.

Cet été, le Le FBI a mis en garde contre une augmentation des activités malveillantes ciblant les services financiers mobiles alors que l'activité bancaire mobile a augmenté en réponse au COVID-19 et aux verrouillages associés. Cet avertissement s'est concrétisé à la fin du mois de décembre avec la découverte d'un « ferme d'émulateur maléfique »Qui a imité les appareils mobiles des victimes pour frauder les titulaires de comptes bancaires aux États-Unis et en Europe pour des millions de dollars.

Le but de cet article est de sensibiliser les institutions financières à cette menace nouvellement découverte et d'expliquer l'approche en couches pour atténuer cette fraude de plus en plus sophistiquée.

Échelle et vitesse de la fraude mobile jamais vues auparavant

Les chercheurs affirment que l'ampleur et la rapidité de ce système le distinguent des incidences passées de fraude mobile. Les attaquants ont construit un réseau d'environ 20 émulateurs imitant 16 000 appareils mobiles et ont tiré parti de l'automatisation qui a permis de drainer des millions de dollars de comptes bancaires en quelques jours. Un émulateur mobile est un appareil mobile virtuel qui imite la fonctionnalité de vrais appareils mobiles et personnifie l'interaction d'un utilisateur avec lui. Les émulateurs ont été initialement développés pour permettre des tests automatisés de logiciels sur une grande variété d'appareils.

Les actions automatisées par les attaquants comprenaient au moins les éléments suivants:

  • Récolter les attributs de l'appareil
  • Saisie des noms d'utilisateur et des mots de passe
  • Initier des transactions
  • Recevoir et voler des codes d'autorisation uniques envoyés par SMS
  • Saisie de ces codes SMS volés pour effectuer des transactions

Récolte d'identifiants d'appareils mobiles

Dans certains cas, les fraudeurs ont imité les appareils existants de la victime. Dans d'autres cas, les fraudeurs ont simulé la victime en utilisant un nouvel appareil pour accéder à leur compte bancaire. Les chercheurs ne sont pas certains de la manière dont les informations d'identification bancaires ont été compromises en premier lieu, bien qu'il soit plausible que les informations d'identification aient été volées par des logiciels malveillants, récoltées via des attaques de phishing ou trouvées sur le Web sombre. La manière exacte dont les identifiants d'appareils ont été collectés n'est pas claire, mais il semble logique que ces données aient été collectées par des logiciels malveillants mobiles présents sur les appareils des victimes.

Ce que les institutions financières peuvent faire pour atténuer les menaces mobiles similaires

Il n'y a pas de solution miracle pour tuer cette menace mobile. La meilleure protection est une approche de défense en profondeur en couches comprenant (mais sans s'y limiter) les éléments suivants:

  1. - une authentification forte client
  2. Analyse des risques côté client et serveur pour la prévention de la fraude
  3. Blindage des applications mobiles avec protection d'exécution

Combattre la prise de contrôle de compte en modernisant l'authentification

Le cabinet d'analystes de services financiers récemment suggéré par Aite Group dans son "Réexamen de votre cadre de contrôle d'authentification" rapportent que «les institutions financières, les sociétés de technologie financière et les commerçants doivent prendre du recul et revoir leur cadre de contrôle d'authentification. Si ce cadre a été révisé pour la dernière fois il y a quelques années, compte tenu des progrès technologiques réalisés au cours de cette période, il devra probablement être mis à jour. »

Le vol des noms d'utilisateur et des mots de passe utilisés pour authentifier les utilisateurs et les paiements a préparé le terrain pour cette fraude mobile. Ces informations d'identification statiques «à facteur unique» sont vulnérables au phishing si elles n'ont pas déjà été compromises dans le cadre d'autres violations de la sécurité des données. L'implémentation de l'authentification multifacteur (MFA) qui utilise des codes d'authentification dynamiques à usage unique réduit considérablement le risque de prise de contrôle de compte. En plus de se faire passer pour les appareils existants des utilisateurs, dans certains cas, les attaquants ont pu activer de nouveaux appareils avec les comptes des victimes.

Une banque ne doit pas non plus prendre à la légère la décision des canaux à utiliser pour transmettre les codes d'authentification / d'autorisation dynamiques. Les codes SMS sont connus pour être vulnérables au phishing et même à l'interception. Dans ce cas, les cerveaux derrière le système ont pu recevoir des codes SMS avec les appareils usurpés, rendant les codes inutiles en termes de protection des comptes bancaires. Une attaque typique sur les mots de passe / codes de passe à usage unique SMS (OTP) commencera par diriger la victime vers une page Web de phishing qui ressemble à celle de la banque. Là, l'utilisateur entrera ses coordonnées qui déclenchent la transmission d'un OTP par SMS. Les logiciels malveillants présents sur l'appareil de la victime obtiendront alors des codes SMS et les transmettront à l'attaquant, ce qui signifie que la victime ne se connecte jamais à la banque car elle interagit avec une page de phishing.

Les notifications push envoyées via un canal crypté à une application mobile fortement liée à l'appareil de l'utilisateur lors de l'activation auraient probablement empêché les attaquants de collecter et d'utiliser des codes d'accès SMS à usage unique pour accéder aux comptes ou autoriser les paiements. De plus, l'exploitation des fonctionnalités matérielles des appareils mobiles (par exemple, Secure Enclave sur les appareils iOS ou Trusted Execution Environment / Secure Element sur les appareils Android) rend beaucoup plus difficile le vol d'identifiants d'appareils. Exiger une authentification biométrique avec la confirmation d'une notification push aurait fourni une autre couche de défense qui aurait pu empêcher ces attaquants.

Il est également important que les institutions financières appliquent une technologie anti-falsification avancée (voir Protection des applications mobiles avec protection d'exécution ci-dessous) à toute application bancaire mobile. Cela réduit le risque que des adversaires puissent altérer ou désosser le processus de liaison d'appareil afin de reproduire l'itération d'un utilisateur légitime d'une application bancaire mobile sur un appareil émulé.

Combattez la fraude numérique sophistiquée grâce à l'analyse des risques côté client et serveur

Gartner a suggéré un cadre de détection des fraudes en ligne composé de cinq couches de prévention - analyse des utilisateurs et des entités centrée sur les terminaux, la navigation et le réseau, l'utilisateur et l'entité, les utilisateurs et l'entité cross-canal et les big data pour détecter la fraude en ligne. Parce que les fraudeurs ont utilisé un émulateur, ils ont pu surmonter certains aspects de la première couche de prévention. Nous voyons de plus en plus d'exemples de fraudeurs sophistiqués capables de simuler des données côté client telles que l'appareil, l'emplacement et l'heure de la journée.

Cet incident de fraude mobile, et la maturité croissante des réseaux de fraude en ligne en général, démontrent le besoin d'une solution de prévention de la fraude plus complète avec des couches supplémentaires correctement configurées. À l'heure actuelle, il est beaucoup plus difficile pour les attaquants de surmonter les couches de prévention suivantes:

  • Couche 1: centrée sur les points de terminaison - Analyse du comportement des terminaux et des corrélations de localisation; cette couche comprend également la détection des logiciels malveillants et la prise d'empreintes digitales des appareils
  • Couche 2: navigation et réseau - Analyse des comportements de session, de réseau et de navigation et des modèles suspects
  • Couche 3: centrée sur l'utilisateur et l'entité (canal unique) - Analyse du comportement des utilisateurs / entités par canal (ex: banque en ligne, banque mobile, etc.)
  • Couche 4: Centrée sur l'utilisateur et l'entité sur tous les canaux et produits - Analyse du comportement d'anomalie corrélé à travers les canaux
  • Couche 5: Liaison entre les utilisateurs et les entités du Big Data - Analyse des relations pour détecter le crime organisé et la collusion

Comme vous l'avez peut-être deviné, collecter et corréler les signaux de risque dans ces domaines devient presque impossible «à la vitesse de l'homme». Tout système complet de détection de fraude en ligne doit tirer parti de l'apprentissage automatique côté serveur et des règles automatisées contextuelles pour avoir un impact ici.

Détection des interactions automatisées non humaines

La ferme d'émulation maléfique a simulé les appareils des victimes, ce qui met en danger toute banque qui repose uniquement sur l'identification / la confiance des appareils mobiles par un identifiant ou un code à usage unique envoyé par SMS. Si les applications bancaires ciblées avaient activé l'analyse de session ainsi que le comportement des points de terminaison et les corrélations de localisation, l'appareil pourrait être identifié comme étant émulé en raison du manque de comportement d'interaction «de type humain» (c'est-à-dire la façon dont un humain interagit avec un appareil, comme la cadence de frappe , angle, hauteur et autres traits de comportement).

Comment et quand un utilisateur interagit avec une session peut fournir un aperçu de son comportement de session habituel. Il s'agit d'une couche de prévention supplémentaire qui peut rendre le travail d'un attaquant plus difficile car l'émulateur automatisé aurait besoin d'imiter de manière cohérente la vitesse d'interaction de la victime humaine et plus encore.

Surveiller plus que l'événement de connexion: surveillance de session continue

À mesure que nous passons aux couches 3 et 4, il est important de tenir compte de l'activité de la session bancaire au-delà de la connexion initiale. En fin de compte, un attaquant ne paiera pas les factures d'un utilisateur pour eux, leur objectif est d'extraire des fonds. Il est donc essentiel que les banques appliquent une surveillance continue pour examiner les nouveaux appareils, les bénéficiaires et les transactions. Le but de cet examen est de déterminer si les appareils, les bénéficiaires ou les transactions sont nouveaux et / ou connus (c'est-à-dire utilisés par) tout autre client consommateur ou commercial d'une banque.

Automatiser la détection / prévention des fraudes grâce à la puissance du machine learning

Comprendre les analyses autour de l'activité typique de tous les utilisateurs et appareils peut aider à identifier l'activation massive des appareils, la création massive de bénéficiaires et les transactions de masse - tous les signaux d'une attaque à grande échelle. Dans ce cas, le recul suggère que la banque aurait pu être alertée de l'une des nombreuses étapes de l'attaque. Il s'agit notamment des attaquants activant de nombreux nouveaux appareils, émulant des appareils, créant de nouveaux bénéficiaires, transférant des montants élevés, drainant le solde des comptes et envoyant de l'argent vers des comptes jusque-là inconnus.

Ces indicateurs, ainsi que des milliers d'autres, peuvent être fournis à des modèles d'apprentissage automatique, capables de fonctionner dans un espace hautement dimensionnel remplaçant de loin celui d'un humain, et capables de fournir une prédiction (score d'anomalie / de risque) en temps réel. . Ainsi, permettre à une banque d'arrêter l'attaque dans son élan empêchant sa propagation et permettant une réaction automatisée.

Combattez les émulateurs et autres menaces mobiles avec la protection des applications, y compris la protection à l'exécution

Bien que les détails de la façon dont les attaquants aient identifié les faiblesses des applications mobiles et des systèmes de détection de fraude des banques victimes, il va de soi qu'ils ont pu procéder à une rétro-ingénierie de certains aspects de l'application mobile. Il est probable que les attaquants ont simplement téléchargé les applications légitimes à partir des magasins d'applications officiels et ont commencé à pousser et à pousser les applications sur un émulateur pour examiner l'application au fur et à mesure de son exécution.

Le blindage des applications mobiles avec protection à l'exécution aurait détecté une telle activité et arrêté rapidement l'application pour empêcher cette activité malveillante. Non seulement le blindage avancé des applications mobiles empêche une application de s'exécuter sur un émulateur, mais il détecte et bloque également plusieurs outils utilisés par les adversaires pour effectuer une rétro-ingénierie de l'application et comprendre son fonctionnement.

Avec la sophistication de cette menace, il n'est pas déraisonnable de supposer que les attaquants ont pu effectuer une rétro-ingénierie de l'application pour comprendre comment elle était liée à l'appareil d'un utilisateur (le cas échéant) et comment elle communiquait avec les API côté serveur de la banque. Le blindage des applications mobiles avec protection à l'exécution aurait ajouté une autre couche de contrôle de sécurité qui aurait rendu le travail du fraudeur beaucoup plus long et coûteux.

En plus de l'atténuation de l'ingénierie inverse, le blindage des applications avec protection à l'exécution offre plusieurs fonctionnalités qui rendent plus difficile pour les attaquants de mener une attaque contre les applications et les utilisateurs de services bancaires mobiles:

  • Empêcher l'usurpation d'identité en détectant le reconditionnement de l'application (c'est-à-dire en modifiant et en republiant une application de manière malveillante)
  • Identifier la modification de code et / ou l'injection de bibliothèques d'exécution malveillantes dans une application
  • Réduire le risque de fuite de données en arrêtant les captures d'écran et les claviers malveillants
  • Détecter l'élévation des privilèges en reconnaissant les appareils jailbreakés ou rootés
  • Atténuer les attaques de superposition de l'interface utilisateur en empêchant le remplacement du premier plan sur les appareils Android

Sommaire

En fin de compte, pour protéger leurs clients et institutions contre l'évolution et les innovations continues de leurs adversaires, les institutions financières doivent adopter une approche en plusieurs couches de la fraude bancaire en ligne consistant en une authentification forte des clients, une analyse des risques côté serveur et une sécurité avancée des applications mobiles, y compris le blindage des applications mobiles. avec protection d'exécution.

Sam est senior Product Marketing Manager responsable du portefeuille de sécurité des applications mobiles OneSpan et possède près de 10 ans d'expérience dans le domaines de la sécurité de l'information.