A batalha pelas nossas contas bancárias - como o aprendizado de máquina e o monitoramento contínuo podem impedir ataques de fraude

Greg Hancell, 25 de Junho de 2020
The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

O prêmio final para os cibercriminosos é obter acesso ao dinheiro de outras pessoas - portanto, não é de admirar que os ataques de controle de contas estejam aumentando. Neste artigo, publicado originalmente por Fraud Intelligence , Greg Hancell, gerente de consultoria global de fraudes da OneSpan, explica como os bancos podem aplicar monitoramento contínuo e aprendizado de máquina para se defender de ataques de controle de contas.  

A batalha por nossas contas bancárias - monitoramento contínuo

A fraude de controle de contas (ATO) é uma das principais ameaças às instituições financeiras e seus clientes. Em uma pesquisa da indústria pelo Aite Group, 89% dos executivos de instituições financeiras apontaram fraude de controle de conta como a causa mais comum de perdas no canal digital. Hoje, os cibercriminosos continuam focados na ATO, em fraudes em novas contas e em fraudes que não estão presentes no cartão. O relatório 2020 Identity Fraud da Javelin Strategy & Research constatou que as aquisições de contas registram tendências com a maior taxa de perdas até o momento, um aumento impressionante de 72% em 2019 [1], para US $ 5,1 bilhões e um aumento de 120% em 2016. [2] À medida que os fraudadores se tornam mais agressivos, eles continuam a utilizar phishing, spear phishing e roubo de identidade para perpetrar novas fraudes em novas contas. De fato, 1,5 milhão de vítimas de fraudes em contas existentes tinham uma conta intermediária aberta em seu nome - um aumento de 200% em relação ao ano anterior.

Nossas identidades digitais não são mais privadas. Em 2018, cerca de 3,2 bilhões de registros de dados pessoais foram comprometidos [3]; isso é quase metade da população do mundo. As violações de dados de hoje estão sendo publicadas on-line nos mercados da dark web, onde há muito lucro.

Como o crime de rua, que historicamente cresceu em relação ao crescimento populacional, estamos testemunhando uma evolução do cibercrime com aquisição de conta. No passado, para que os criminosos roubassem dinheiro, eles precisariam observar o comportamento ou os hábitos diários de uma pessoa, levar a carteira de alguém, surfar no ombro (ou seja, espionar um usuário para obter um PIN ou senha) ou talvez aplicar uma tática de descartar o cartão. (onde um dispositivo fraudulento é aplicado a um leitor de cartão para extrair os detalhes do pagador). Agora, os cibercriminosos são mais avançados e sofisticados. Por exemplo, um invasor pode ficar on-line e obter acesso instantâneo a milhares ou milhões de detalhes da conta - nomes de usuários, credenciais, endereços de email e números de telefone. Além disso, um invasor pode realizar uma campanha de phishing enviando milhares de e-mails que pretendem vir de uma instituição financeira. O email conterá malware ou um link para uma página da web de phishing criada para se passar por um site do banco, a fim de capturar os detalhes de acesso do usuário.

Infelizmente, muitos desses elementos são estáticos e, uma vez comprometidos, podem resultar em uma aquisição da conta. Além disso, existem ferramentas mais avançadas disponíveis para atacantes, como Muraena e NecroBrowser, projetadas para contornar a autenticação de segundo fator executando um seqüestro de sessão. A facilidade de disponibilidade de tais ferramentas e a menor barreira de entrada significa que os fraudadores têm uma variedade de armas e métodos de coleta de dados pessoais para causar sérios danos - tornando a proteção eficaz um desafio.

Aplicar monitoramento contínuo

Uma maneira eficaz de reconhecer e se defender contra ataques de controle de contas é implementar monitoramento contínuo em plataformas digitais.

No passado, geralmente autenticávamos usuários durante o login ou uma transação. Agora, no entanto, temos uma abundância de dados porque os usuários acessam suas contas pela web ou pelo banco móvel, e há eventos constantemente sendo transmitidos para a instituição financeira à medida que o usuário avança na sessão. Esse movimento para o banco digital presta-se bem ao monitoramento contínuo da capacidade de acompanhar todos os eventos à medida que ocorrem - não apenas o login e a transação, mas também solicitando um saldo, criando um novo beneficiário, adicionando um novo dispositivo ou alterando um endereço. A partir do momento em que um usuário acessa uma página da Web, o monitoramento contínuo permite a compreensão comportamental, pois identifica sua jornada on-line normal e as interações com suas contas e dispositivos. Além disso, um perfil pode ser criado em todos os dispositivos usados em uma sessão específica.

Isso combina perfeitamente com outras proteções, como autenticação de dois fatores ou vinculação dinâmica, porque permite que o banco utilize o contexto também desses métodos de autenticação. ( Ligação dinâmica , um requisito da segunda diretiva serviços de pagamento (PSD2) , garante que exista um código de autenticação exclusivo para cada transação que seja específico ao valor e ao destinatário da transação). O monitoramento contínuo prevê que, à medida que o comportamento do usuário se torne conhecido, um novo comportamento possa ser identificado, indicando uma nova pessoa (ou seja, um invasor) ou um bot. Indicadores típicos de ataques, como dispositivos nefastos novos ou conhecidos, cookies, cabeçalhos, referenciadores, localizações, bots, beneficiários ou outros, podem ser monitorados em tempo real e distinguidos do comportamento normal do cliente.

Essa abordagem estabelece um perfil de risco contínuo para a sessão, que pode mudar a cada ação realizada pelo usuário final ou seu dispositivo. Isso não apenas permite à instituição financeira executar ações automatizadas em tempo real quando são detectadas anomalias, como também permite ao banco reduzir o atrito por sessões legítimas, diminuindo o número de autenticações necessárias para interações genuínas. Em última análise, diminui a propagação de ataques e as perdas, além de aprimorar a experiência do usuário.

O aprendizado de máquina reduz o risco de fraude

O aprendizado de máquina reduz o viés humano, como disponibilidade e confirmação, porque, ao contrário dos humanos, é capaz de ver todos os eventos e aprender com eles, analisando grandes volumes de dados díspares e de alta dimensão (uma combinação de muitos pontos de dados diferentes) em tempo real.

Com o aprendizado de máquina, existem dois tipos principais de algoritmos aplicados à detecção de fraude: supervisionado e não supervisionado.

Aprendizado de máquina não supervisionado e supervisionado

O aprendizado de máquina não supervisionado tende a usar modelos que identificam anomalias entre o que é usual e o que é incomum com base na distância entre os recursos (pontos de dados).

Com o aprendizado de máquina supervisionado, o modelo é treinado usando dados rotulados (fraude ou genuíno) e prevê a probabilidade de fraude (pontuação de fraude). Um modelo de aprendizado de máquina pode se aplicar, em tempo real, a todos os eventos que estão ocorrendo e enviar uma pontuação de volta. Isso pode permitir que uma solução ou um usuário execute uma ação com base nesses eventos.

Um dos desafios para uma instituição financeira é como mudar para o aprendizado de máquina supervisionado. O conjunto de dados que eles possuem é desequilibrado, pois há uma maioria de eventos genuínos contra uma minoria de fraude. Os cientistas de dados estão usando técnicas mais avançadas, como dados sintéticos, para gerar mais pontos de dados e permitir o treinamento de um modelo supervisionado. Algumas instituições financeiras estão migrando para o aprendizado de máquina semi-supervisionado, que combina uma pequena quantidade de dados rotulados com uma grande quantidade de dados não rotulados durante o treinamento. Essa abordagem pode melhorar consideravelmente a precisão do aprendizado.

O que é uma dimensão no aprendizado de máquina?

Um modelo de aprendizado de máquina funcionará nos recursos de elementos de dados, como um dispositivo, o endereço IP do usuário e o provedor de serviços de Internet do usuário. Se tomarmos um dispositivo como exemplo, os recursos podem ser:

  • Como esse dispositivo é usado?
  • Qual a idade desse dispositivo?
  • Esse dispositivo é novo para o usuário?
  • É novo para a instituição financeira?
  • É compartilhado com outros usuários?
  • Quais parâmetros de segurança estão nesse dispositivo?
  • Quais métodos biométricos e métodos de autenticação estão inscritos nesse dispositivo?
  • Que método de comunicação está usando?
  • Que modelo é esse?
  • Qual sistema operacional?
  • Há algo malicioso em execução (keylogger, depurador, sobreposição de teclado, etc)?
  • Alguma coisa mudou?

Todas essas são perguntas que você pode fazer somente no dispositivo.

Instituições financeiras que alavancam o aprendizado de máquina podem tomar decisões em tempo real sobre os eventos. Eles coletam dados e fazem milhares de perguntas em tempo real. A saída é a inteligência que é modelada em um espaço de alta dimensão, ou seja, a capacidade de modelar muitos pontos de dados diferentes, geralmente em milhares de dimensões, o que está muito além da capacidade humana. O modelo fornece uma saída de inteligência acionável - ou seja, informa à instituição financeira a probabilidade de uma ação ser anômala ou a probabilidade de fraude, à medida que ela ocorre.

É impossível ter um especialista em fraudes 24 horas por dia, todos os eventos. Portanto, o aprendizado de máquina está removendo esse viés de disponibilidade a que nós, humanos, estamos sujeitos. Além disso, ele pode reduzir a fadiga de alerta, apresentando apenas eventos e transações altamente incomuns a um especialista em fraudes. Dessa maneira, o aprendizado de máquina permite a tomada de decisões sobre eventos em tempo real, de forma automatizada.

O aprendizado de máquina também pode tomar decisões para outros fluxos de trabalho - como que tipo de autenticação uma instituição financeira deve aplicar a uma transação, de acordo com o risco. Isso pode ser usado para melhorar a experiência do cliente, porque onde as instituições financeiras podem determinar que o risco é baixo, não há necessidade de solicitar autenticação do usuário naquele momento. Se as instituições financeiras estiverem usando monitoramento contínuo, se o risco mudar, elas podem servir para medidas de autenticação mais fortes. O aprendizado de máquina é excepcionalmente adequado para estabelecer o nível de risco / fraude potencial nos canais bancários por meio de dados de usuário, dispositivo e transação. Essas pontuações de risco permitem que alterações dinâmicas nos fluxos de trabalho de autenticação correspondam ao nível de risco. Portanto, transações de baixo risco (ou seja, uma verificação de saldo de um dispositivo conhecido) não exigiriam autenticação adicional, e transações de alto risco (ou seja, uma grande transferência, de um dispositivo 'jailbroken' em um novo local) acionariam autenticação adicional passos. (Um dispositivo jailbroken foi modificado para que possam ser feitas alterações que não são suportadas pelo software em seu estado padrão).

É provável que a fraude na aquisição de contas continue a crescer, pois é uma fonte de lucro relativamente fácil para os maus atores que continuarão a explorar todas as fraquezas disponíveis no sistema bancário financeiro. No entanto, uma abordagem de segurança em várias camadas pode ajudar significativamente a mitigar os ataques que levam à aquisição da conta. A tecnologia que protege o usuário, o dispositivo, o aplicativo e o canal de comunicação, combinada com um mecanismo abrangente de análise de risco e uma estrutura de autenticação inteligente, são essenciais para avançar na luta contra a fraude de controle de contas.

capa do ebook
eBook

Fraude de sequestro de conta: como proteger seu negócio e seus clientes

Como prevenir a fraude de sequestro de conta e proteger os clientes em cada estágio de sua jornada digital.

Baixar Agora

Notas:
1 https://www.javelinstrategy.com/press-release/identity-fraud-losses-increase-15-percent-consumer-out-pocket-costs-more-double
2) www.javelinstrategy.com/press-release/identity-fraud-hits-all-time-high-167-million-us-victims-2017-according-new-javelin
3) https://securityboulevard.com/2019/09/2019-could-be-a-record-breaking-year-for-data-breaches