銀行口座をめぐる戦い–機械学習と継続的な監視が不正攻撃をどのように防ぐことができるか

Greg Hancell, 2020年6月25日

サイバー犯罪者にとっての究極の賞は、他人のお金へのアクセスを獲得することです。したがって、アカウント乗っ取り攻撃が増加しているのも不思議ではありません。 記事上で、もともと詐欺インテリジェンスによって公開されました、OneSpanのグローバル詐欺コンサルティングのマネージャーであるGreg Hancellが、銀行がアカウント乗っ取り攻撃から防御するために継続的な監視と機械学習を適用する方法について説明します。  

私たちの銀行口座の戦い–継続的な監視

アカウント乗っ取り詐欺(ATO)は、金融機関とその顧客にとって最大の脅威の1つです。 Aite Groupによる業界調査では、金融機関の幹部の89%が次のように指摘しています。アカウント乗っ取り詐欺デジタルチャネルの損失の最も一般的な原因として。 今日、サイバー犯罪者はATOに焦点を合わせ続けています。新規アカウント詐欺、およびカードを提示しない詐欺。 Javelin Strategy&Researchによる2020年の個人情報詐欺レポートでは、アカウントの乗っ取りはこれまでで最も高い損失率で傾向があり、2019年には72%増加し[1]、51億ドルになり、2016年には120%増加しました。 [2]詐欺師がより攻撃的になるにつれて、フィッシング、スピアフィッシング、個人情報の盗難を利用して、さらに新しいアカウント詐欺を実行し続けます。 実際、既存のアカウント詐欺の被害者150万人が、その名前で中間アカウントを開設しました。これは、前年比200%の増加です。

私たちのデジタルIDはもはやプライベートではありません。 2018年には、約32億の個人データレコードが侵害されました[3]。それは世界の人口のほぼ半分です。 今日のデータ侵害は、多くの利益が得られているダークウェブマーケットプレイスでオンラインで公開されています。

人口増加に関連して歴史的に成長した街頭犯罪のように、私たちは同様のことを目撃していますサイバー犯罪の進化アカウントの乗っ取りで。 これまで、犯罪者がお金を盗むには、人の行動や日常の習慣を観察したり、誰かの財布を持ったり、ショルダーサーフィンをしたり(つまり、PINやパスワードを取得するためにユーザーをスパイしたり)、カードスキミングの戦術を適用する必要がありました。 (支払人の詳細を抽出するために不正なデバイスがカードリーダーに適用される場合)。 現在、サイバー犯罪者はより高度で洗練されています。 たとえば、攻撃者はオンラインに接続して、ユーザー名、資格情報、電子メールアドレス、電話番号など、数千または数百万のアカウントの詳細に即座にアクセスできます。 さらに、攻撃者は、金融機関から送信されたと称する何千もの電子メールを送信するフィッシングキャンペーンを実施する可能性があります。 電子メールには、マルウェア、またはユーザーのアクセスの詳細を取得するために銀行のWebサイトになりすますように設計されたフィッシングWebページへのリンクが含まれています。

残念ながら、これらの要素の多くは静的であり、一度侵害されるとアカウントの乗っ取りにつながる可能性があります。 さらに、MuraenaやNecroBrowserなど、攻撃者が利用できるより高度なツールがあります。これらのツールは、セッションハイジャックを実行することで2要素認証をバイパスするように設計されています。 このようなツールの入手のしやすさと参入障壁の低さは、詐欺師がさまざまな武器と個人データを収集する方法を持っていることを意味し、深刻な被害を引き起こします。効果的な保護が課題になります。

継続的な監視を適用する

アカウント乗っ取り攻撃を認識して防御する効果的な方法は、実装することです継続的な監視デジタルプラットフォームで。

以前は、通常、ログインまたはトランザクション中にユーザーを認証していました。 しかし、今ではユーザーがウェブやモバイルバンキングを介して自分のアカウントにアクセスするため、データが豊富になり、ユーザーがセッションを進めるにつれて、金融機関に絶えずストリーミングされるイベントがあります。 このデジタルバンキングへの移行は、ログインとトランザクションだけでなく、残高の要求、新しい受取人の作成、新しいデバイスの追加、または住所。 ユーザーがWebページにアクセスした瞬間から、継続的な監視により、通常のオンラインジャーニーと、アカウントやデバイスとのやり取りを特定するため、行動を理解できます。 さらに、特定のセッションで使用されるすべてのデバイスでプロファイルを作成できます。

これは、次のような他の保護とシームレスに組み合わされます二要素認証または動的リンク。これにより、銀行はこれらの認証方法のコンテキストも利用できるようになります。 ((ダイナミックリンク、2番目の決済サービス指令の要件(PSD2) 、トランザクションの金額と受信者に固有のトランザクションごとに一意の認証コードがあることを確認します)。 継続的な監視により、ユーザーの行動が判明すると、新しい人物(つまり、攻撃者)またはボットを示す可能性のある新しい行動を特定できます。 新規または既知の悪意のあるデバイス、Cookie、ヘッダー、リファラー、場所、ボット、受益者などの攻撃の典型的な指標をリアルタイムで監視し、通常の顧客の行動と区別することができます。

このアプローチは、セッションの継続的なリスクプロファイルを確立します。これは、エンドユーザーまたはそのデバイスによって実行されるアクションごとに変化する可能性があります。 これにより、金融機関は異常が検出されたときに自動化されたリアルタイムアクションを実行できるだけでなく、本物のやり取りに必要な認証の数を減らすことで、銀行が正当なセッションの摩擦を減らすことができます。 これにより、最終的に攻撃の伝播と損失が減少し、ユーザーエクスペリエンスが向上します。

機械学習は詐欺のリスクを軽減します

機械学習は、人間とは異なり、すべてのイベントを確認して学習し、大量の異種の高次元データ(多くの異なるデータポイントの組み合わせ)をリアルタイムで分析できるため、可用性や確認などの人間の偏見を軽減します。

機械学習では、不正検出に適用される2つの主要なアルゴリズムタイプがあります。監視ありと監視なしです。

教師なしおよび教師あり機械学習

教師なし機械学習は、特徴(データポイント)間の距離に基づいて、通常のものと異常なものの間の異常を識別するモデルを使用する傾向があります。

教師あり機械学習では、モデルはラベル付きデータ(不正または本物)を使用してトレーニングされ、不正の可能性(不正スコア)を予測します。 機械学習モデルは、発生しているすべてのイベントにリアルタイムで適用し、スコアを送り返すことができます。 これにより、ソリューションまたはユーザーがこれらのイベントに基づいてアクションを実行できるようになります。

金融機関にとっての課題の1つは、教師あり機械学習にどのように移行するかです。 彼らが持っているデータセットは、少数の詐欺に対する本物のイベントの大部分があるという点で、不均衡です。 データサイエンティストは、合成データなどのより高度な手法を使用して、より多くのデータポイントを生成し、教師ありモデルのトレーニングを可能にしています。 一部の金融機関は、トレーニング中に少量のラベル付きデータと大量のラベルなしデータを組み合わせる半教師あり機械学習に移行しています。 このアプローチにより、学習の精度を大幅に向上させることができます。

機械学習の側面は何ですか?

機械学習モデルは、デバイス、ユーザーのIPアドレス、ユーザーのインターネットサービスプロバイダーなどのデータ要素の機能で機能します。 デバイスを例にとると、機能は次のようになります。

  • そのデバイスはどのように使用されますか?
  • そのデバイスの年齢は何歳ですか?
  • そのデバイスはユーザーにとって新しいものですか?
  • 金融機関にとっては初めてですか?
  • 他のユーザーと共有していますか?
  • そのデバイスにはどのようなセキュリティパラメータがありますか?
  • そのデバイスにはどのような生体認証方法と認証方法が登録されていますか?
  • どのような通信方法を使用していますか?
  • どんなモデルですか?
  • どのオペレーティングシステムですか?
  • 悪意のあるもの(キーロガー、デバッガー、キーボードオーバーレイなど)が実行されていますか?
  • 何か変わったことはありますか?

これらはすべて、デバイスだけで尋ねることができる質問です。

機械学習を活用する金融機関は、イベントに関するリアルタイムの意思決定を行うことができます。 彼らはデータを取得し、リアルタイムで何千もの質問をします。 出力はインテリジェンスであり、高次元空間でモデル化されます。つまり、多くの場合、数千の次元に多くの異なるデータポイントをモデル化する機能であり、人間の能力をはるかに超えています。 このモデルは、実用的なインテリジェンス出力を提供します。つまり、アクションが異常である可能性、または発生した不正の可能性を金融機関に通知します。

詐欺の専門家を24時間年中無休で配置し、すべてのイベントを確認することは不可能です。 したがって、機械学習は、人間がさらされている可用性のバイアスを取り除きます。 さらに、非常に珍しいイベントやトランザクションを詐欺の専門家に提示するだけで、アラートの疲労を軽減できます。 このように、機械学習により、イベントに関する意思決定を自動化されたリアルタイムで行うことができます。

機械学習は、リスクに応じて、金融機関がトランザクションに適用する必要のある認証の種類など、他のワークフローの決定も行うことができます。 これは、金融機関がリスクが低いと判断できる場合、その時点でユーザーに認証を要求する必要がないため、顧客体験を向上させるために使用できます。 金融機関が継続的な監視を使用している場合、リスクが変化した場合、金融機関はより強力な認証手段を提供できます。 機械学習は、ユーザー、デバイス、トランザクションのデータを通じて、銀行チャネル全体の潜在的なリスク/不正のレベルを確立するのに非常に適しています。 これらのリスクスコアにより、認証ワークフローを動的に変更して、リスクのレベルに一致させることができます。 したがって、リスクの低いトランザクション(つまり、既知のデバイスからの残高チェック)は追加の認証を必要とせず、リスクの高いトランザクション(つまり、新しい場所にある「ジェイルブレイクされた」デバイスからの大規模な転送)は追加の認証をトリガーします。手順。 (ジェイルブレイクされたデバイスは、デフォルト状態のソフトウェアでサポートされていない変更を加えることができるように変更されています)。

アカウント乗っ取り詐欺は、金融銀行システムで利用可能なすべての弱点を悪用し続ける悪意のある人物にとって比較的簡単な利益源であるため、今後も増え続ける可能性があります。 ただし、多層セキュリティアプローチは、アカウントの乗っ取りにつながる攻撃を軽減するのに大いに役立ちます。 アカウント乗っ取り詐欺との戦いを前進させるには、ユーザー、デバイス、アプリ、通信チャネルを保護するテクノロジーと、包括的なリスク分析エンジンおよびインテリジェントな認証フレームワークが不可欠です。

電子ブックカバー
eブック

アカウント乗っ取り詐欺:お客様とビジネスを守るには

不正ななりすましを防ぎ、デジタルジャーニーのあらゆる段階で顧客の安全を守るお手伝いをします。

今すぐダウンロード

ノート:
1.1。 https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2.2。 www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3.3。 https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches