Wideo

Dlaczego ataki związane z przejęciem konta są największym zagrożeniem dla banków?

Greg Hancell, ekspert ds. Oszustw w OneSpan, rozmawia z Finextra TV o tym, jak banki mogą zapobiec oszustwom związanym z przejęciem konta

Ten zasób jest dostępny tylko w języku angielskim

Greg Hancell, menedżer ds. Globalnego doradztwa w OneSpan, rozmawia z Finextra TV o tym, dlaczego ataki związane z przejęciem konta są jednym z największych wyzwań stojących przed instytucjami finansowymi oraz w jaki sposób mogą lepiej wykrywać i łagodzić tego rodzaju ataki.

Obejrzyj wywiad w całości lub przeczytaj zapis poniżej.  

Hannah Wallace: Witaj Greg, dziękuję bardzo za dołączenie do nas dzisiaj.

Greg Hancell: Dziękuję Hannah, miło tu być.

Hanna: Jakie są główne wyzwania stojące przed instytucjami finansowymi w związku z oszustwami?

Greg: Uważam, że głównym wyzwaniem jest oszustwo związane z przejęciem konta. Powodem tego jest fakt, że z roku na rok rośnie. Według nowych danych od 2017 do 2018 r. Nastąpił wzrost o 162% i spodziewamy się, że znów wzrośnie.

Możesz zapytać, dlaczego tak bardzo rośnie? W przeszłości, jeśli chciałeś złośliwie uzyskać lub ukraść czyjeś dane, być może będziesz musiał wykonywać ręczne zadania, takie jak rozpoznanie, stanie na ulicy lub kradzież ich portfela. Byłoby to bardzo ręczne zadanie i zajęłoby sporo czasu. Podczas gdy teraz możesz wykonać atak phishingowy, w którym wyślesz wiadomość e-mail lub dołączasz złośliwe oprogramowanie, które może zainfekować urządzenie i uzyskać dane. Jeśli jest to atak phishingowy, mogą kliknąć link i podać swoją tożsamość oraz poświadczenia. Przejęcie konta rośnie, ponieważ sposób, w jaki szkodliwi aktorzy mogą dotrzeć do danych osobowych, jest teraz znacznie szybszy, a sposób, w jaki mogą oni następnie wykorzystać te dane, może zostać zautomatyzowany.

W ubiegłym roku i poprzednim roku około 3,2 miliarda danych osobowych zostało naruszonych. Nasza tożsamość nie jest nasza i istnieją złośliwi aktorzy, którzy popełniają przestępstwa jako usługę i sprzedają tożsamość online. Jeśli jesteś napastnikiem, możesz bardzo łatwo uzyskać dane osobowe, a następnie przeprowadzić atak polegający na przejęciu konta.

Przejęcie konta się nie kończy. Jeśli zastanowimy się, w jaki sposób można to propagować - jeśli jesteś klientem, przejęcie konta może spowodować utworzenie nowego beneficjenta lub wniosek o nowy produkt, lub może nastąpić pełne przejęcie konta, w którym faktycznie usuną Twoje urządzenie i zablokować Cię i / lub potencjalnie narazić twój pomocniczy adres e-mail i numery telefonów. Instytucje finansowe muszą myśleć nie tylko o tym, jakie jest ryzyko pobrania danych klienta (nazwa użytkownika i hasło), ale także o procesie odzyskiwania, który jest wykorzystywany. Dla mnie przejęcie konta to duży problem dla instytucji finansowych.

Hanna: W jaki sposób instytucje finansowe stają się coraz lepsze w wykrywaniu i ograniczaniu ataków związanych z przejęciem konta?

Greg: Uważam, że musimy zastanowić się i zastanowić się nad tym, co to jest zaufanie, oraz co instytucje finansowe myślą o użytkownikach, ich danych i urządzeniach. Należy wziąć pod uwagę, że zaufanie nie jest statyczne, jest dynamiczne. To się ciągle zmienia.

W przeszłości sposób, w jaki uwierzytelniamy użytkowników, może być podczas logowania lub transakcji. Podczas gdy teraz mamy mnóstwo danych, ponieważ użytkownicy uzyskują dostęp do swojego konta za pośrednictwem bankowości internetowej lub mobilnej, a zdarzają się zdarzenia, które są stale przesyłane do instytucji finansowych, gdy użytkownik przechodzi przez swoją podróż użytkownika. Przejście do bankowości cyfrowej dobrze nadaje się do ciągłego monitorowania, możliwości monitorowania wszystkich zachodzących zdarzeń - nie tylko logowania i transakcji, ale także żądania salda lub utworzenia nowego beneficjenta i / lub utworzenia użytkownika lub zmiana użytkowników.

Musimy również pomyśleć o sesji, ponieważ może to być nie tylko jedno urządzenie używane do logowania i uwierzytelniania. Użytkownik może zalogować się z urządzenia internetowego, a następnie uwierzytelnić się z urządzenia mobilnego. Ryzyko na obu urządzeniach jest różne, ale sesja jest taka sama, więc wymaga ujednolicenia i coś musi określić, w jaki sposób ryzyko dla obu tych urządzeń i jak koreluje z tym zachowaniem.

Zachowanie jest ważną kwestią i nadaje się do uczenia maszynowego. Instytucje finansowe muszą być w stanie odpowiedzieć:

  • Jakie jest normalne zachowanie użytkownika?
  • Jak współdziałają z urządzeniami pod względem pisania, przeciągania, przeciągania, szybkości na różnych stronach?
  • Jak współdziałają z sesjami?
  • Kiedy ustanawiają sesję internetową lub sesję bankowości mobilnej?
  • Jak poruszają się po tych stronach?
  • Jakie strony odwiedzają, w jakiej kolejności?

Zadając te pytania, uczenie maszynowe może profilować szybkość użytkownika i jego zachowanie, a następnie bardzo szybko kontrastować na przykład z botem. Uczenie maszynowe może również profilować zachowanie pod względem wydatków.

Jest to dość trudne wyzwanie dla banków. Zazwyczaj mają wiele rozwiązań w zakresie oszustw, ale mają tam lukę pod względem ryzyka związanego z produktem w bankowości cyfrowej i mobilnej. Wiele instytucji finansowych chce obecnie wprowadzić rozwiązanie, które zapewnia ciągłe monitorowanie w swoich sesjach internetowych, ale na świecie brakuje również ekspertów. Myślę, że szacuje się, że do 2021 r. Zabraknie 1,1 miliona ekspertów od cyberprzestępczości finansowej. Instytucje finansowe przechodzą proces wiedzy, w którym zdobywają informacje na temat wskaźników kompromisu w sesjach internetowych, a także ewolucji procesu.

Hanna: W jaki sposób organy regulacyjne rozwiązują te problemy?

Greg: Organy nadzoru były naprawdę obecne w ostatnich latach. Widzimy to głównie w dyrektywie o usługach płatniczych 2 (PSD2) i RODO. Dzięki dyrektywie w sprawie usług płatniczych 2 to, co robią organy regulacyjne, stanowi wyzwanie - czym jest silne uwierzytelnienie klienta? Moim zdaniem użytkownik uwierzytelniający się przy użyciu hasła jednorazowego niekoniecznie wystarczy. Dyrektywa w sprawie usług płatniczych 2 również odnosi się do tego i wyjaśnia, że musi istnieć możliwość dynamicznego łączenia z powrotem. To przynosi kontekst. Instytucje finansowe muszą zapytać:

  • Dlaczego ktoś się uwierzytelnia?
  • Na czym się uwierzytelniają?

Podpis lub hasło jednorazowe można następnie uzyskać na podstawie kontekstu (np. Beneficjenta, kwot i daty). Korzystając z tej metody, użytkownicy nie przychodzą po prostu do hasła jednorazowego, o którym nie wiedzą. Wywodzi się z ich danych, więc mają kontekst, a także kontekst finansowy instytucji.

Ponadto istnieje również wymóg zastosowania identyfikacji złośliwego oprogramowania w procesie uwierzytelniania. Tak więc banki lub instytucje finansowe szukają złośliwego oprogramowania, co stanowi nie lada wyzwanie. Jeśli myślimy o atakach typu phishing, ataki typu phishing są stosunkowo łatwe do zidentyfikowania, ponieważ użytkownik końcowy nie ma sesji z bankiem. W scenariuszu złośliwego oprogramowania używane jest urządzenie użytkownika końcowego. W tym sensie organy regulacyjne wprowadzają kolejną innowację w kierunku uczenia maszynowego, ponieważ ostatecznie reguły nie zidentyfikują złośliwego oprogramowania. Tak naprawdę musisz wziąć wiele punktów danych, profil i zrozumieć:

  • Czy to użytkownik?
  • Czy to bot, który wchodzi w interakcję w tej sesji i na tym urządzeniu?
  • W jakiej są prędkości?
  • Czy istnieją inne wskaźniki kompromisu, które można zidentyfikować?

RODO zmienia także sposób, w jaki myślimy o prywatności i danych. W przeszłości powiedzielibyśmy, że dane osobowe byłyby czymkolwiek, co odnosi się do mnie jako osoby, ale obecnie rzeczywistość jest taka, że ze względu na możliwość identyfikacji ludzi na podstawie ich urządzeń i ich lokalizacji, dane urządzeń i lokalizacji są obecnie kwestionowane i klasyfikowane jak również PII. Wpływa to na sposób gromadzenia informacji wokół urządzenia, sposób gromadzenia informacji wokół adresu IP i sposób, w jaki może się odnosić do użytkownika. W ostatecznym rozrachunku powoduje to zmianę bezpieczeństwa w tym, co aplikacje robią z tymi danymi. Aplikacje stosują teraz szyfrowanie od samego początku - szyfrując swoje bazy danych i gwarantując, że tego typu danych nie można uzyskać, powąchać ani odbierać w środku. Więc tak, myślę, że organy regulacyjne mają również duży wpływ na zapobieganie oszustwom związanym z przejęciem kont.