大規模なモバイルバンキング詐欺は、銀行のアプリセキュリティ、最新の認証、リスク分析の必要性を明らかにします

Samuel Bakken, 2021年1月4日

この記事は、OneSpanの不正コンサルタントのシニアマネージャーであるGreg Hancellと共同で、OneSpanの製品ディレクターであるFrederikMennesとWillLaSalaからの意見を取り入れて書かれました。グローバルソリューションのシニアディレクター。

今年の夏、 FBIは悪意のある活動の増加を警告しましたCOVID-19および関連するロックダウンに対応してモバイルバンキング活動が急増したため、モバイル金融サービスをターゲットにしています。 その警告は、12月末に「邪悪なエミュレータファーム」は、被害者のモバイルデバイスを模倣して、米国とヨーロッパの銀行口座保有者を数百万ドル詐欺しました。

この記事の目的は、金融機関にこの新たに発見された脅威を認識させ、そのようなますます巧妙化する詐欺を軽減するための階層化されたアプローチを説明することです。

これまでにないモバイル詐欺の規模と速度

研究者によると、このスキームの規模と速度は、過去のモバイル詐欺の発生とは一線を画しています。 攻撃者は、16,000台のモバイルデバイスを模倣した約20台のエミュレーターのネットワークを構築し、自動化を活用して、わずか数日で銀行口座から数百万ドルを流出させました。 モバイルエミュレーターは、実際のモバイルデバイスの機能を模倣し、ユーザーの操作を偽装する仮想モバイルデバイスです。 エミュレーターは元々、さまざまなデバイスでソフトウェアの自動テストを可能にするために開発されました。

攻撃者によって自動化されたアクションには、少なくとも次のものが含まれていました。

  • デバイス属性の収集
  • ユーザー名とパスワードの入力
  • トランザクションの開始
  • SMS経由で送信された1回限りの認証コードの受信と盗難
  • 盗まれたSMSコードを入力してトランザクションを完了する

モバイルデバイス識別子の収集

場合によっては、詐欺師は被害者の既存のデバイスを模倣しました。 他のケースでは、詐欺師は新しいデバイスを使用して被害者をシミュレートし、銀行口座にアクセスしました。 研究者たちは、銀行の資格情報が最初にどのように侵害されたかはわかりませんが、マルウェアによって盗まれたり、フィッシング攻撃によって収集されたり、ダークウェブで見つかったりした可能性があります。 デバイス識別子がどのように収集されたかは正確には不明ですが、そのようなデータが被害者のデバイスに存在するモバイルマルウェアによって収集されたのは当然のことのようです。

同様のモバイル脅威を軽減するために金融機関ができること

このモバイルの脅威を打ち負かす単一の銀の弾丸はありません。 最善の保護は、以下で構成される(ただしこれらに限定されない)階層化された多層防御アプローチです。

  1. Strong Customer Authentication(確実な本人認証)
  2. 不正防止のためのクライアント側およびサーバー側のリスク分析
  3. ランタイム保護を備えたモバイルアプリのシールド

認証の最新化によるアカウント乗っ取りとの戦い

最近、金融サービスアナリスト企業であるAite Groupは、 「認証制御フレームワークの再検討」 「金融機関、フィンテック企業、および加盟店は、一歩下がって認証制御フレームワークを確認する必要があります。 そのフレームワークが最後にレビューされてから数年が経過し、その時間枠での技術の進歩により、更新が必要になる可能性があります。」

ユーザーと支払いを認証するために使用されるユーザー名とパスワードの盗難は、このモバイル詐欺の舞台を設定します。 これらの静的な「単一要素」の資格情報は、他のデータセキュリティ違反の一部としてまだ侵害されていない場合、フィッシングに対して脆弱です。 動的なワンタイム認証コードを使用する多要素認証(MFA)を実装すると、アカウントの乗っ取りのリスクが大幅に軽減されます。 攻撃者は、ユーザーの既存のデバイスになりすますだけでなく、被害者のアカウントを使用して新しいデバイスをアクティブ化できる場合もありました。

銀行はまた、動的認証/認証コードを軽く送信するためにどのチャネルを使用するかを決定するべきではありません。 SMSコードは、フィッシングや傍受に対しても脆弱であることが知られています。 この場合、スキームの背後にある首謀者は、偽装されたデバイスでSMSコードを受信することができ、銀行口座の保護の観点からコードを役に立たなくしました。 SMSワンタイムパスワード/パスコード(OTP)に対する一般的な攻撃は、被害者を銀行のようなフィッシングWebページに誘導することから始まります。 そこで、ユーザーはSMSを介したOTPの送信をトリガーする詳細を入力します。 被害者のデバイスに存在するマルウェアは、SMSコードを取得して攻撃者に転送します。つまり、被害者はフィッシングページを操作しているため、銀行に接続することはありません。

暗号化されたチャネルを介してアクティブ化中にユーザーのデバイスに強くバインドされているモバイルアプリに送信されるプッシュ通知は、攻撃者がSMSワンタイムパスコードを収集して使用してアカウントにアクセスしたり、支払いを承認したりするのを阻止した可能性があります。 さらに、モバイルデバイスのハードウェア機能(iOSデバイスのSecureEnclaveやAndroidデバイスのTrustedExecution Environment / Secure Elementなど)を活用すると、デバイス識別子を盗むことがはるかに困難になります。 プッシュ通知の確認とともに生体認証を要求することは、これらの攻撃者を妨害した可能性のある別の防御層を提供するでしょう。

金融機関が高度な改ざん防止テクノロジー(下記のランタイム保護を備えたモバイルアプリのシールドを参照)をモバイルバンキングアプリに適用することも重要です。これにより、エミュレートされたデバイス上で正当なユーザーによるモバイルバンキングアプリの反復を複製するために、攻撃者がデバイスバインディングプロセスを改ざんまたはリバースエンジニアリングするリスクが軽減されます。

クライアント側およびサーバー側のリスク分析を使用して、高度なデジタル詐欺に対抗する

ガートナーは、以下から構成されるオンライン不正検出フレームワークを提案しています。 5つの予防層–エンドポイント中心、ナビゲーションおよびネットワーク中心、ユーザーおよびエンティティ中心、クロスチャネルユーザーおよびエンティティ中心、ビッグデータユーザーおよびエンティティ分析–オンライン詐欺を検出します。 詐欺師はエミュレーターを使用したため、予防の第1層の特定の側面を克服することができました。 デバイス、場所、時刻などのクライアント側のデータをシミュレートできる高度な詐欺師の例がますます増えています。

このモバイル詐欺事件、および一般的なオンライン詐欺リングの成熟度の高まりは、適切に構成された追加のレイヤーを備えた、より完全な詐欺防止ソリューションの必要性を物語っています。 現時点では、攻撃者が後続の防止レイヤーを克服することははるかに困難です。

  • レイヤー1:エンドポイント中心–エンドポイントの動作と場所の相関関係の分析。このレイヤーには、マルウェアの検出とデバイスのフィンガープリントも含まれます
  • レイヤー2:ナビゲーション中心およびネットワーク中心–セッション、ネットワーク、ナビゲーションの動作と疑わしいパターンの分析
  • レイヤー3:ユーザー中心およびエンティティ中心(単一チャネル) –チャネルごとのユーザー/エンティティの行動の分析(例:オンラインバンキング、モバイルバンキングなど)
  • レイヤー4:チャネルおよび製品全体のユーザー中心およびエンティティ中心–チャネル間で相関する異常動作の分析
  • レイヤー5:ビッグデータのユーザーとエンティティのリンク–組織犯罪と共謀を検出するための関係の分析

ご想像のとおり、これらの領域全体でリスク信号を収集して相関させることは、「人間の速度で」ほぼ不可能になります。完全なオンライン不正検出システムは、ここに影響を与えるために、サーバー側の機械学習とコンテキスト自動化ルールを活用する必要があります。

自動化された非人間的相互作用の検出

邪悪なエミュレーションファームは被害者のデバイスをシミュレートしました。これにより、IDまたはSMS経由で送信されたワンタイムコードによるモバイルデバイスの識別/信頼のみに依存する銀行は危険にさらされます。 ターゲットバンキングアプリがエンドポイントの動作と場所の相関関係とともにセッション分析を有効にした場合、「人間のような」対話動作(つまり、タイピングケイデンスなどの人間がデバイスと対話する方法)がないため、デバイスはエミュレートされていると識別できます、角度、高さ、その他の行動特性)。

ユーザーがセッションを操作する方法とタイミングは、通常のセッションの動作に関する洞察を提供します。 これは、自動エミュレーターが人間の犠牲者の相互作用の速度などを一貫して模倣する必要があるため、攻撃者の仕事を困難にする可能性のある追加の防止レイヤーです。

ログインイベント以外の監視:継続的なセッション監視

レイヤー3と4に進むと、最初のログイン以降のバンキングセッションアクティビティを考慮することが重要です。 最終的に、攻撃者はユーザーの請求書を支払うことはなく、彼らの目的は資金を引き出すことです。 したがって、銀行が継続的な監視を適用して、新しいデバイス、受益者、およびトランザクションを確認することが重要です。 このレビューの目的は、デバイス、受益者、またはトランザクションが新しいかどうか、および/または銀行の他の消費者または商業顧客に知られている(つまり使用されている)かどうかを識別することです。

機械学習の力で不正の検出/防止を自動化

すべてのユーザーとデバイスの一般的なアクティビティに関する分析を理解すると、大量のデバイスのアクティブ化、大量の受益者の作成、大量のトランザクションなど、規模の大きい攻撃のすべてのシグナルを特定するのに役立ちます。 この場合、後知恵は、銀行が攻撃の多くの段階のいずれかについて警告を受けた可能性があることを示唆しています。 これには、攻撃者が多数の新しいデバイスをアクティブ化する、デバイスをエミュレートする、新しい受益者を作成する、大量に送金する、アカウントの残高を使い果たす、以前は不明だったアカウントに送金するなどが含まれます。

このような指標は、人間のそれをはるかに超える高次元の空間で動作し、リアルタイムで予測(異常/リスクスコア)を提供できる機械学習モデルに提供できます。 。 したがって、銀行がそのトラックで攻撃を停止できるようにすることで、銀行の伝播を防ぎ、自動化された反応を可能にします。

ランタイム保護を含むアプリシールドを使用したエミュレーターやその他のモバイル脅威との戦い

攻撃者が被害者の銀行のモバイルアプリと不正検出システムの弱点をどのように特定したかについての詳細はありますが、モバイルアプリの特定の側面をリバースエンジニアリングできたのは当然のことです。攻撃者は、公式のアプリストアから正規のアプリをダウンロードし、エミュレーターでアプリを突っついたり、突っ込んだりして、実行中のアプリを調べ始めた可能性があります。

ランタイム保護を備えたモバイルアプリシールドは、このようなアクティビティを検出し、この悪意のあるアクティビティを防ぐためにアプリを迅速にシャットダウンします。 高度なモバイルアプリシールドは、エミュレーターでのアプリの実行を停止するだけでなく、攻撃者がアプリをリバースエンジニアリングしてアプリの動作を理解するために使用するいくつかのツールを検出してブロックします。

この脅威は高度であるため、攻撃者がアプリをリバースエンジニアリングして、ユーザーのデバイスにどのようにバインドされているか(あるとしても)、銀行のサーバー側APIとどのように通信しているかを理解できたと考えるのは不合理ではありません。 ランタイム保護を備えたモバイルアプリのシールドは、セキュリティ制御のさらに別のレイヤーを追加し、詐欺師の仕事をはるかに時間と費用のかかるものにしました。

リバースエンジニアリングの緩和に加えて、ランタイム保護を備えたアプリシールドは、攻撃者がモバイルバンキングアプリやユーザーに対して攻撃を実行することをより困難にするいくつかの機能を提供します。

  • アプリの再パッケージ化(つまり、悪意を持ってアプリを変更および再公開する)を検出することにより、アプリのなりすましを防止します
  • コードの変更や悪意のあるランタイムライブラリのアプリへの挿入を特定する
  • スクリーンショットや悪意のあるキーボードを停止することにより、データ漏洩のリスクを軽減します
  • ジェイルブレイクされたデバイスまたはルート化されたデバイスを認識することにより、特権の昇格を検出する
  • Androidデバイスでフォアグラウンドオーバーライドを防止することにより、UIオーバーレイ攻撃を軽減します

概要

結局、金融機関は、攻撃者の継続的な進化と革新から顧客と機関を保護するために、強力な顧客認証、サーバー側のリスク分析、およびモバイルアプリのシールドを含む高度なモバイルアプリのセキュリティで構成されるオンラインバンキング詐欺に対して階層的なアプローチをとる必要があります。ランタイム保護付き。

サムは、OneSpanモバイルアプリのセキュリティポートフォリオを担当するシニアプロダクトマーケティングマネージャーであり、情報セキュリティの分野で10年近くの経験があります。