ビデオ

アカウント乗っ取り攻撃が銀行にとって最大の脅威である理由

OneSpanの詐欺専門家であるGreg Hancellが、銀行が口座乗っ取り詐欺を防ぐ方法についてFinextra TVに語ります

Ícone de vídeo

OneSpanのグローバルコンサルティングマネージャーであるGreg HancellがFinextra TVに、アカウント乗っ取り攻撃が金融機関が直面する最大の課題の1つである理由と、これらの種類の攻撃を検出および軽減する方法を説明します。

インタビュー全体を見るか、以下の筆記録を読んでください。 

ハンナウォレス: こんにちは、グレッグ、今日はご参加いただきありがとうございます。

グレッグ・ハンセル: ハンナ、ありがとう。ここにいられてうれしい。

ハンナ: 詐欺に関して金融機関が直面している主な課題は何ですか?

グレッグ: 私たちが直面している主な課題は、アカウント乗っ取り詐欺です。その理由は、年々増加しているからです。新しいデータによると、2017年から2018年にかけて162%の増加があり、それは再び増加すると予想しています。

あなたは尋ねるかもしれません、なぜそれがそんなに増えているのですか?以前は、誰かの詳細を悪意を持って取得または盗む場合、偵察、路上での立ったり、財布を盗んだりするなどの手動タスクを実行する必要があったかもしれません。これは非常に手動のタスクであり、かなり時間がかかります。一方、フィッシング攻撃を実行すると、電子メールを送信したり、デバイスに感染してデータを取得したりするマルウェアを含めることができます。フィッシング攻撃の場合は、リンクをクリックして、身元と資格情報を提供する可能性があります。悪意のあるアクターが個人情報に到達する方法がはるかに速くなり、そのデータを使用する方法も自動化できるため、アカウントの乗っ取りが増加しています。

昨年とその前の年に、約32億の個人データ記録が侵害されました。私たちのアイデンティティは私たち自身のものではなく、サービスとして犯罪を実行し、アイデンティティをオンラインで販売する悪意のある行為者がいます。攻撃者であれば、非常に簡単に個人情報を入手して、アカウント乗っ取り攻撃を実行できます。

アカウントの乗っ取りはそこで止まりません。それがどのように伝播するかを考えた場合-あなたが顧客の場合、アカウントの乗っ取りにより、新しい受益者が作成されたり、新製品の申請が行われたり、実際にデバイスを削除したりする完全なアカウントの乗っ取りが発生したりする可能性がありますロックアウトしたり、予備のメールアドレスや電話番号を侵害したりする可能性があります。金融機関は、顧客のデータが取得されるリスク(ユーザー名とパスワード)だけでなく、使用される回復プロセスについても考慮する必要があります。私にとって、口座の乗っ取りは金融機関にとって大きな問題です。

ハンナ: 金融機関はどのようにしてアカウント乗っ取り詐欺攻撃の検出と緩和を改善していますか?

グレッグ: 信頼とは何か、金融機関はユーザー、ユーザーのデータ、デバイスについてどのように考えているかを考え、考える必要があると思います。私たちが考慮する必要があるのは、信頼は静的ではなく動的であるということです。それは常に変化しています。

以前は、ユーザーを認証する方法は、ログイン時またはトランザクション時でした。一方、ユーザーはWebバンキングまたはモバイルバンキングを介して自分のアカウントにアクセスするため、データが豊富にあり、ユーザーがユーザージャーニーを進むにつれて金融機関に常にストリーミングされるイベントがあります。このデジタルバンキングへの移行は、継続的な監視、つまり発生しているすべてのイベント(ログインとトランザクションだけでなく、残高の要求や新しい受益者の作成やユーザーの作成、あるいはその両方)を監視する機能にも役立ちます。ユーザーの変更。

ログインと認証に使用されるデバイスが1つだけではない可能性があるため、セッションについても考慮する必要があります。ユーザーは、Webデバイスからログインし、モバイルデバイスから認証できます。両方のデバイスのリスクは異なりますが、セッションは同じであるため、統合する必要があり、これらのデバイスの両方のリスクとその動作との相関関係を決定する必要があります。

動作は大きなポイントであり、機械学習に適しています。金融機関は、以下に回答できる必要があります。

  • ユーザーの通常の動作は何ですか?
  • 入力、スワイプ、ドラッグ、ページ間の速度の点で、デバイスとどのように相互作用しますか?
  • 彼らはどのようにセッションと対話しますか?
  • 彼らはいつウェブセッションまたはモバイルバンキングセッションを確立しますか?
  • これらのページをどのように移動しますか?
  • ユーザーはどのページにどの順序でアクセスしますか?

これらの質問をすることで、機械学習はユーザーの速度とユーザーの行動のプロファイルを作成し、たとえばボットと非常に速く対比することができます。機械学習は、支出の観点から行動をプロファイルすることもできます。

これは銀行にとってかなりの挑戦です。彼らは通常、多くの詐欺ソリューションを備えていますが、デジタルバンキングやモバイルバンキングにおける製品リスクの点でそこにギャップがあります。現在、多くの金融機関がWebセッションで継続的な監視を行うソリューションを取り入れようとしていますが、世界的に専門家も不足しています。2021年までに110万人の金融サイバー犯罪専門家が不足すると推定されています。金融機関は、プロセスの進化だけでなく、Webセッションの侵害の指標に関する情報を取得している知識プロセスを通過しています。

ハンナ: 規制当局はこれらの問題にどのように対処していますか?

グレッグ: 規制当局はこれらの最後の年に本当に存在しています。これは主に支払いサービス指令2(PSD2)とGDPRで見られます。決済サービス指令2では、規制当局が行っていることは実際に困難です-強力な顧客認証とは何ですか?私の考えでは、ワンタイムパスワードで認証するユーザーは、必ずしも十分ではありません。支払いサービス指令2もこれを参照し、動的にリンクバックする機能が必要であると説明しています。それは文脈をもたらします。金融機関は次のことを尋ねる必要があります。

  • なぜ誰かが認証するのですか?
  • 彼らは何を認証していますか?

署名またはワンタイムパスワードベースは、コンテキスト(受益者、金額、日付など)に基づいて導出できます。この方法を使用すると、ユーザーは知らないワンタイムパスワードに到達するだけではありません。それは彼らのデータから導き出されているので、彼らには文脈があり、また金融機関にも同様に文脈があります。

その上、認証プロセスでマルウェアの識別を適用する要件もあります。ですから、銀行や金融機関はマルウェアを特定しようとしていますが、それは非常に困難です。フィッシング攻撃について考えると、エンドユーザーが銀行とのセッションを持っていないため、フィッシング攻撃を特定するのは比較的簡単です。マルウェアのシナリオでは、実際には、エンドユーザーのデバイスが使用されています。つまり、その意味では、最終的にルールはマルウェアを特定しないため、規制当局は機械学習に向けて別のイノベーションを推進しています。したがって、実際には、多くのデータポイントを取り込み、プロファイルを作成して理解する必要があります。

  • ユーザーですか?
  • そのセッションとそのデバイスで相互作用しているボットですか?
  • 彼らの速度はどのくらいですか?
  • 識別できる他の妥協の指標はありますか?

GDPRは、プライバシーとデータについての考え方も変えています。以前は、PIIは個人として私に関係するものであると言っていましたが、実際には、デバイスと場所から人々を識別する機能のために、デバイスと場所のデータがチャレンジされ、分類されていますPIIとしても。これは、デバイスに関する情報を収集する方法、IPに関する情報を収集する方法、およびユーザーに関係する方法に影響します。最終的には、これにより、アプリケーションがそのデータを使用して実行している処理のセキュリティが変化します。現在、アプリケーションは完全に暗号化を適用しています-データベースを暗号化し、このタイプのデータを途中で取得または傍受または受信できないようにします。ですから、規制当局はアカウント乗っ取り詐欺の防止にも大きな影響を与えていると思います。