Vidéo

Pourquoi les attaques de prise de contrôle de compte sont la plus grande menace des banques

Greg Hancell, expert en fraude chez OneSpan, parle à Finextra TV sur la façon dont les banques peuvent prévenir la fraude de prise de contrôle de compte

Ícone de vídeo

Greg Hancell, directeur de Global Consulting chez OneSpan, s’entretient avec Finextra TV sur les raisons pour lesquelles les attaques de prise de contrôle de comptes sont l’un des plus grands défis auxquels sont confrontées les institutions financières et comment elles peuvent mieux détecter et atténuer ce type d’attaques.

Regardez l’entrevue dans son intégralité ou lisez la transcription ci-dessous.  

Hannah Wallace: Bonjour Greg, merci beaucoup de vous joindre à nous aujourd’hui.

Greg Hancell: Merci Hannah, c’est un plaisir d’être ici.

Hannah: Quels sont les principaux défis auxquels les institutions financières sont confrontées en matière de fraude?

Greg: Le principal défi que je crois que nous avons est la fraude à la prise de contrôle de compte. La raison en est qu’il est en fait augmenter d’année en année. De 2017 à 2018, il y a eu une augmentation de 162%, selon de nouvelles données, et nous nous attendons à ce qu’elle augmente à nouveau.

Vous pourriez vous demander pourquoi il augmente autant? Dans le passé, si vous vouliez obtenir ou voler malicieusement les détails de quelqu’un, vous pourriez avoir à effectuer des tâches manuelles telles que la reconnaissance, debout dans la rue ou voler leur portefeuille. Ce serait une tâche très manuelle et prendrait un certain temps. Alors que maintenant, vous pouvez effectuer une attaque d’hameçonnage par laquelle vous envoyez un e-mail ou inclure des logiciels malveillants qui pourraient infecter leur appareil et obtenir les données. S’il s’agit d’une attaque de phishing, ils peuvent cliquer sur un lien et fournir leur identité et leurs informations d’identification. La prise de contrôle de compte augmente parce que la façon dont les acteurs malveillants peuvent arriver à des informations personnelles est beaucoup plus rapide maintenant et la façon dont ils peuvent ensuite utiliser ces données peuvent être automatisés ainsi.

L’année dernière et l’année précédente, environ 3,2 milliards de données personnelles ont été compromises. Notre identité n’est pas la nôtre et il ya des acteurs malveillants qui courent le crime comme un service et de vendre des identités en ligne. Si vous êtes un attaquant, vous pouvez très facilement obtenir des informations personnelles et ensuite effectuer une attaque de prise de contrôle de compte.

La prise de contrôle du compte ne s’arrête pas là. Si nous réfléchissons à la façon dont cela peut se propager - si vous êtes un client, la prise de contrôle du compte peut entraîner la création d’un nouveau bénéficiaire, ou l’application pour un nouveau produit, ou il pourrait y avoir une prise de contrôle complète du compte où ils seraient effectivement supprimer votre appareil et vous verrouiller et / ou potentiellement compromettre votre adresse e-mail de récupération et les numéros de téléphone. Les institutions financières doivent penser non seulement au risque que les données d’un client soient prises (leur nom d’utilisateur et son mot de passe), mais aussi au processus de récupération qui est également utilisé. Selon moi, c'est un problème majeur pour les institutions financières.

Hannah: Comment les institutions financières s’améliorent-elles pour détecter et atténuer les attaques de fraude aux prises de contrôle de comptes?

Greg: Je crois que nous devons réfléchir et réfléchir à ce qui est de la confiance et à la façon dont les institutions financières pensent-elles aux utilisateurs, à leurs données et à leurs appareils. Ce que nous devons considérer, c’est que la confiance n’est pas statique, elle est dynamique. Elle évolue sans cesse.

Dans le passé, la façon dont nous authentifier les utilisateurs peut être pendant la connexion ou une transaction. Alors que maintenant, nous avons une abondance de données parce que les utilisateurs accèdent à leur compte via le web ou les services bancaires mobiles, et il ya des événements qui sont constamment en streaming vers les institutions financières comme un utilisateur progresse à travers leur voyage utilisateur. Ce passage à la banque numérique se prête bien à la surveillance continue, à la capacité de surveiller tous les événements qui se produisent - non seulement la connexion et la transaction, mais aussi la demande d’un solde ou la création d’un nouveau bénéficiaire et/ou la création d’un utilisateur ou le changement d’utilisateur.

Nous devons également penser à la session ainsi, car il pourrait ne pas être seulement un appareil qui est utilisé pour se connecter et authentifier. Un utilisateur peut se connecter à partir d’un appareil Web, puis authentifier à partir d’un appareil mobile. Le risque sur les deux appareils est différent, mais la session est la même, il a donc besoin d’unifier et quelque chose doit déterminer comment le risque pour ces deux appareils et comment il est corrélé à ce comportement.

Le comportement est un grand point et qui se prête à l’apprentissage automatique. Les institutions financières doivent être en mesure de répondre :

  • Quel est le comportement normal de l’utilisateur?
  • Comment interagissent-ils avec les appareils en termes de saisie, de balayage, de traînée, de vitesse à travers les pages ?
  • Comment interagissent-ils avec les sessions ?
  • Quand établissent-ils une session web ou une session bancaire mobile ?
  • Comment se déplacent-ils à travers ces pages?
  • Quelles pages visitent-ils et dans quel ordre ?

En posant ces questions, l’apprentissage automatique peut profiler la vitesse d’un utilisateur et leur comportement, puis le contraste très rapidement contre un bot, par exemple. L’apprentissage automatique peut également profiler le comportement en termes de dépenses.

C’est tout un défi pour les banques. Ils ont généralement beaucoup de solutions de fraude en place, mais ils ont une lacune en termes de risque de produit dans les services bancaires numériques et les services bancaires mobiles. De nombreuses institutions financières cherchent maintenant à trouver une solution qui fait un suivi continu dans leurs sessions web, mais il y a aussi une pénurie d’experts à l’échelle mondiale. Je pense qu’on estime que d’ici 2021, il y aura une pénurie de 1,1 million d’experts financiers en cybercriminalité. Les institutions financières passent par un processus de connaissances où elles obtiennent l’information autour des indicateurs de compromis dans les sessions Web, ainsi que d’une évolution des processus ainsi.

Hannah: Comment les organismes de réglementation s’attaquent-ils à ces problèmes?

Greg: Les organismes de réglementation ont vraiment été présents ces dernières années. Nous le voyons principalement avec la directive 2 sur les services de paiement (PSD2) et GDPR. Avec la directive 2 sur les services de paiement, ce que font les organismes de réglementation est en fait difficile - Qu’est-ce qu’une forte authentification des clients? Un utilisateur authentifiant avec un mot de passe unique, à mon avis, n’est pas nécessairement suffisant. La directive 2 sur les services de paiement fait également référence à cette question et explique qu’il doit y avoir une capacité de relier dynamiquement. Cela apporte dans le contexte. Les institutions financières doivent se demander :

  • Pourquoi quelqu’un authent?
  • Sur quoi s’authentifient-ils ?

La signature ou le mot de passe unique basé peut alors être dérivé sur le contexte (p. ex. le bénéficiaire, les montants et la date).) En utilisant cette méthode, les utilisateurs ne sont pas simplement arriver dans un mot de passe unique qu’ils ne connaissent pas. Il est dérivé de leurs données, de sorte qu’ils ont le contexte et aussi l’institution financière a un contexte ainsi.

En plus de cela, il ya aussi l’obligation d’appliquer l’identification des logiciels malveillants dans le processus d’authentification. Ainsi, les banques ou les institutions financières cherchent à identifier les logiciels malveillants, et c’est tout un défi. Si nous pensons aux attaques d’hameçonnage, les attaques d’hameçonnage sont relativement simples à identifier parce que l’utilisateur final n’a pas de session avec la banque. Dans un scénario de malware, en fait, l’appareil de l’utilisateur final est utilisé. Donc, en ce sens, les régulateurs sont à l’avant une autre innovation vers l’apprentissage automatique parce qu’en fin de compte, les règles n’identifieront pas les logiciels malveillants. Donc, en fait, vous devez prendre dans beaucoup de points de données, le profil, et de comprendre:

  • Est-ce un utilisateur?
  • Est-ce un bot qui interagit dans cette session et dans cet appareil?
  • À quelle vitesse sont-ils ?
  • Y a-t-il d’autres indicateurs de compromis qui peuvent être identifiés?

GDPR change également notre façon de penser la vie privée et les données. Dans le passé, nous dions dire que l’IPI serait quelque chose qui me concerne en tant que personne, mais la réalité est maintenant qu’en raison de la capacité d’identifier les gens à partir de leurs appareils et de leurs emplacements, les données de l’appareil et de l’emplacement sont maintenant contestées et classées comme PII ainsi. Cela influence la façon dont vous pouvez recueillir des informations autour de l’appareil, comment vous pouvez recueillir des informations autour de la propriété intellectuelle et comment cela peut se rapporter à l’utilisateur. En fin de compte, cela entraîne un changement de sécurité dans ce que les applications font avec ces données. Les applications appliquent maintenant le chiffrement jusqu’au bout - chiffrer leurs bases de données et s’assurer que ce type de données ne peut pas être obtenue ou reniflée ou reçue au milieu. Alors oui, je pense que les organismes de réglementation ont aussi un impact important sur la prévention de la fraude aux prises de contrôle des comptes.