銀行口座をめぐる戦い–機械学習と継続的モニタリングが不正攻撃を防ぐ方法

Greg Hancell, 2020年6月25日
The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

サイバー犯罪者の究極の賞は、他の人のお金へのアクセスを獲得することです-したがって、アカウント乗っ取り攻撃が増加しているのも不思議ではありません。記事上で、 Fraud Intelligenceが最初に公開 、OneSpanのGlobal Fraud ConsultingのマネージャーであるGreg Hancellは、銀行が継続的な監視と機械学習を適用してアカウント乗っ取り攻撃から身を守る方法について説明しています。 

銀行口座の戦い–継続的な監視

アカウント乗っ取り詐欺(ATO)は、金融機関とその顧客に対する最大の脅威の1つです。Aite Groupによる業界調査では、金融機関の幹部の89%が、アカウント乗っ取り詐欺デジタルチャネルの損失の最も一般的な原因として。今日、サイバー犯罪者はATO、新しいアカウント詐欺、およびカードを提示しない詐欺に集中しています。Javelin Strategy&Researchによる2020 Identity Fraudレポートでは、アカウントの乗っ取りがこれまでで最も高い損失率、2019年には72%増加して51億ドルに達し、2016年には120%増加する傾向が見られました。[2]詐欺師がより攻撃的になるにつれ、フィッシング、スピアフィッシング、個人情報の盗難を利用して、さらに新しいアカウント詐欺を実行します。実際、既存のアカウント詐欺の被害者150万人が名義で仲介アカウントを開設しました。これは、前年比200%の増加です。

私たちのデジタルアイデンティティはもはやプライベートではありません。2018年、約32億の個人データ記録が侵害されました[3]。それは世界の人口のほぼ半分です。今日のデータ侵害は、多くの利益が生み出されている暗いWebマーケットプレイスでオンラインで公開されています。

歴史的に人口増加に関連して増加したストリート犯罪のように、私たちは同様のことを目撃していますサイバー犯罪の進化アカウント乗っ取り付き。過去には、犯罪者がお金を盗むためには、人の行動や日常の習慣を観察したり、誰かの財布やショルダーサーフィン(つまり、ユーザーをスパイしてPINやパスワードを取得したり)をしたり、カードスキミングの戦術を適用したりする必要がありました。(詐欺的なデバイスがカードリーダーに適用され、支払者の詳細を抽出する場合)。現在、サイバー犯罪者はより高度で洗練されています。たとえば、攻撃者はオンラインにアクセスして、数千または数百万のアカウント詳細(ユーザー名、資格情報、電子メールアドレス、電話番号)に即座にアクセスできます。さらに、攻撃者はフィッシングキャンペーンを実行して、金融機関からの送信を装った数千の電子メールを送信する可能性があります。メールには、マルウェア、またはユーザーのアクセスの詳細を取得するために銀行のWebサイトを偽装するように設計されたフィッシングWebページへのリンクが含まれます。

残念ながら、これらの要素の多くは静的であり、一度侵害されるとアカウントの乗っ取りにつながる可能性があります。さらに、MuraenaやNecroBrowserなど、セッションハイジャックを実行することで第2要素認証をバイパスするように設計された、より高度なツールが攻撃者に利用可能です。このようなツールを簡単に利用できることと侵入の障壁が低いことは、詐欺師が個人データを収集して深刻な被害をもたらすさまざまな武器と方法を持っていることを意味し、効果的な保護を難しくしています。

継続的な監視を適用する

アカウント乗っ取り攻撃を認識して防御する効果的な方法は、継続的な監視デジタルプラットフォーム上。

以前は、ログインまたはトランザクション中にユーザーを認証するのが一般的でした。ただし、ユーザーはWebバンキングまたはモバイルバンキングを介してアカウントにアクセスするため、データが豊富にあります。また、ユーザーがセッションを進めるにつれて、金融機関に常にイベントがストリーミングされます。このデジタルバンキングへの動きは、ログインとトランザクションだけでなく、残高のリクエスト、新しい受益者の作成、新しいデバイスの追加、または変更など、発生するすべてのイベントを監視する機能を継続的に監視するのに役立ちます。住所。ユーザーがウェブページにアクセスした瞬間から、継続的な監視により、通常のオンラインの旅とアカウントやデバイスとのやり取りが識別されるため、行動を理解できます。さらに、特定のセッションで使用されるすべてのデバイスでプロファイルを作成できます。

これは次のような他の保護とシームレスに組み合わされます二要素認証銀行がこれらの認証方法のコンテキストも利用できるようにするためです。( 動的リンク 、2番目の決済サービス指令の要件 (PSD2) 、トランザクション金額と受信者に固有のトランザクションごとに一意の認証コードが存在することを確認します)。継続的な監視により、ユーザーの動作が判明すると、新しい人物(攻撃者)またはボットを示す可能性のある新しい動作を特定できます。新規または既知の悪意のあるデバイス、Cookie、ヘッダー、リファラー、場所、ボット、受益者などの典型的な攻撃の指標をリアルタイムで監視し、通常の顧客の行動と区別することができます。

このアプローチは、セッションの継続的なリスクプロファイルを確立します。これは、エンドユーザーまたはそのデバイスによって実行される各アクションで変化する可能性があります。これにより、金融機関は異常が検出されたときに自動化されたリアルタイムのアクションを実行できるだけでなく、銀行は正規のやり取りに必要な認証の数を減らすことにより、正当なセッションの摩擦を減らすことができます。これにより、最終的に攻撃の伝播と損失が減少し、ユーザーエクスペリエンスが向上します。

機械学習は詐欺のリスクを軽減します

機械学習は、人間とは異なり、すべてのイベントを表示してそれらから学習し、大量の異種の高次元データ(多くの異なるデータポイントの組み合わせ)をリアルタイムで分析できるため、可用性や確認などの人間の偏見を減らします。

機械学習では、不正検出に適用される主なアルゴリズムタイプが2つあります。監視ありと監視なしです。

教師なしおよび教師あり機械学習

教師なし機械学習は、特徴(データポイント)間の距離に基づいて、通常と異常の間の異常を識別するモデルを使用する傾向があります。

教師あり機械学習では、モデルはラベル付きデータ(詐欺または本物)を使用してトレーニングされ、詐欺の可能性(詐欺スコア)を予測します。機械学習モデルは、発生しているすべてのイベントにリアルタイムで適用し、スコアを返すことができます。これにより、ソリューションまたはユーザーは、これらのイベントに基づいてアクションを実行できます。

金融機関にとっての課題の1つは、教師あり機械学習への移行方法です。彼らが持っているデータセットは、少数の詐欺に対する本物のイベントの大部分が存在するという点で不均衡です。データサイエンティストは、合成データなどのより高度な手法を使用して、より多くのデータポイントを生成し、監視モデルのトレーニングを可能にしています。一部の金融機関は、トレーニング中に少量のラベル付きデータと大量のラベルなしデータを組み合わせる半教師付き機械学習に移行しています。このアプローチにより、学習の精度が大幅に向上します。

機械学習の次元とは何ですか?

機械学習モデルは、デバイス、ユーザーのIPアドレス、ユーザーのインターネットサービスプロバイダーなどのデータ要素の機能で動作します。デバイスを例にとると、機能は次のようになります。

  • そのデバイスはどのように使用されますか?
  • そのデバイスの年齢はいくつですか?
  • そのデバイスはユーザーにとって新しいですか?
  • 金融機関にとって新しいですか?
  • 他のユーザーと共有されていますか?
  • そのデバイスにはどのセキュリティパラメータがありますか?
  • そのデバイスに登録されている生体認証方式と認証方式は何ですか?
  • どの通信方法を使用していますか?
  • それはどのモデルですか?
  • どのオペレーティングシステム?
  • 悪意のあるものが実行されていますか(キーロガー、デバッガー、キーボードオーバーレイなど)?
  • 何か変わった?

これらはすべて、デバイスの周りだけで質問できる質問です。

機械学習を活用する金融機関は、イベントについてリアルタイムで決定を下すことができます。彼らはデータを取得し、リアルタイムで何千もの質問をします。出力は、高次元空間でモデル化されるインテリジェンスです。つまり、人間の能力をはるかに超える、多くの異なるデータポイントを、しばしば数千の次元にモデル化する機能です。モデルは、実用的なインテリジェンス出力を提供します。つまり、アクションが異常である可能性、または不正が発生する可能性を金融機関に通知します。

すべてのイベントを見て、詐欺の専門家を24時間年中無休で配置することは不可能です。したがって、機械学習は、人間が受ける可用性のバイアスを取り除きます。さらに、非常に珍しいイベントやトランザクションのみを詐欺の専門家に提示することで、アラートの疲労を軽減できます。このように、機械学習により、イベントに関する意思決定をリアルタイムで自動化できます。

機械学習は、リスクに応じて、金融機関がトランザクションに適用する必要がある認証の種類など、他のワークフローの決定も行うことができます。金融機関がリスクが低いと判断できる場合、その時点でユーザーに認証を要求する必要がないため、これを使用して顧客体験を向上させることができます。金融機関が継続的な監視を使用している場合、リスクが変化すると、より強力な認証手段を提供できます。機械学習は、ユーザー、デバイス、トランザクションデータを通じて銀行チャネル全体で潜在的なリスク/詐欺のレベルを確立するのに非常に適しています。これらのリスクスコアにより、認証ワークフローを動的に変更して、リスクのレベルに合わせることができます。したがって、リスクの低いトランザクション(つまり、既知のデバイスからの残高チェック)では追加の認証は不要であり、リスクの高いトランザクション(つまり、新しい場所にある「脱獄した」デバイスからの大規模な転送)では、追加の認証がトリガーされます。ステップ。(ジェイルブレイクされたデバイスは、デフォルトの状態のソフトウェアでサポートされていない変更を加えることができるように変更されています)。

アカウント乗っ取り詐欺は、金融バンキングシステムで利用可能なすべての弱点を悪用し続ける悪役にとって比較的簡単な利益源であるため、成長し続ける可能性があります。ただし、多層セキュリティアプローチは、アカウントの乗っ取りにつながる攻撃を軽減するのに大きく役立ちます。ユーザー、デバイス、アプリ、通信チャネルを保護するテクノロジーは、包括的なリスク分析エンジンとインテリジェントな認証フレームワークと組み合わせて、アカウント乗っ取り詐欺との戦いを進める上で不可欠です。

電子ブックカバー
eブック

アカウント乗っ取り詐欺:お客様とビジネスを守るには

不正ななりすましを防ぎ、デジタルジャーニーのあらゆる段階で顧客の安全を守るお手伝いをします。

今すぐダウンロード

ノート:
1. https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2. www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3. https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches