A batalha por nossas contas bancárias - Como o aprendizado de máquina e o monitoramento contínuo podem evitar ataques de fraude

Greg Hancell, 25 de Junho de 2020

The Battle For Our Bank Accounts – How Machine Learning and Continuous Monitoring Can Prevent Fraud Attacks

O prêmio final para os cibercriminosos é obter acesso ao dinheiro de outras pessoas - portanto, não é de admirar que os ataques de controle de contas estejam aumentando. Neste artigo, publicado originalmente por Fraud Intelligence , Greg Hancell, gerente de consultoria de fraude global da OneSpan, explica como os bancos podem aplicar monitoramento contínuo e aprendizado de máquina para se defender contra ataques de controle de contas.

A batalha por nossas contas bancárias - monitoramento contínuo

A fraude de aquisição de conta (ATO) é uma das principais ameaças às instituições financeiras e seus clientes. Em uma pesquisa do setor pelo Aite Group, 89 por cento dos executivos de instituições financeiras apontaram para fraude de controle de conta como a causa mais comum de perdas no canal digital. Hoje, os cibercriminosos continuam focados em ATO, fraude de nova conta e fraude com cartão ausente. O relatório de Fraude de Identidade de 2020 da Javelin Strategy & Research encontrou a tendência de aquisições de contas na maior taxa de perda até agora, um aumento impressionante de 72 por cento em 2019 [1], para $ 5,1 bilhões, e um aumento de 120 por cento em 2016. [2] À medida que os fraudadores ficam mais agressivos, eles continuam a aproveitar o phishing, spear phishing e roubo de identidade para perpetrar novas fraudes em contas. Na verdade, 1,5 milhão de vítimas de fraudes em contas existentes tiveram uma conta intermediária aberta em seu nome - um aumento de 200% em relação ao ano anterior.

Nossas identidades digitais não são mais privadas. Em 2018, cerca de 3,2 bilhões de registros de dados pessoais foram comprometidos [3]; isso é quase metade da população mundial. As violações de dados atuais estão sendo publicadas online em mercados da dark web, onde há muito lucro sendo obtido.

Assim como o crime de rua, que historicamente cresceu em relação ao crescimento populacional, estamos testemunhando uma situação semelhante evolução do cibercrime com o controle da conta. No passado, para que os criminosos roubassem dinheiro, eles precisariam observar o comportamento ou hábitos diários de uma pessoa, pegar a carteira de alguém, navegar pelo ombro (ou seja, espionar um usuário para obter um PIN ou senha) ou talvez aplicar uma tática de roubo de cartão (onde um dispositivo fraudulento é aplicado a um leitor de cartão para extrair os detalhes do pagador). Agora, os cibercriminosos estão mais avançados e sofisticados. Por exemplo, um invasor pode ficar online e obter acesso instantâneo a milhares ou milhões de detalhes de contas - nomes de usuário, credenciais, endereços de e-mail e números de telefone. Além disso, um invasor pode conduzir uma campanha de phishing enviando milhares de e-mails que parecem vir de uma instituição financeira. O e-mail conterá malware ou um link para uma página da web de phishing projetada para se passar pelo site de um banco a fim de capturar os detalhes de acesso do usuário.

Infelizmente, muitos desses elementos são estáticos e, uma vez comprometidos, podem resultar no controle da conta. Além disso, existem ferramentas mais avançadas disponíveis para invasores, como Muraena e NecroBrowser, que são projetadas para contornar a autenticação de segundo fator executando um sequestro de sessão. A facilidade de disponibilidade de tais ferramentas e a menor barreira de entrada significam que os fraudadores têm uma variedade de armas e métodos de coleta de dados pessoais para causar sérios danos - tornando a proteção eficaz um desafio.

Aplicar monitoramento contínuo

Uma maneira eficaz de reconhecer e se defender contra ataques de controle de conta é implementar monitoramento contínuo em plataformas digitais.

No passado, geralmente autenticávamos os usuários durante o login ou uma transação. Agora, no entanto, temos uma abundância de dados porque os usuários acessam suas contas por meio da web ou do mobile banking, e há eventos transmitidos constantemente para a instituição financeira à medida que o usuário avança na sessão. Esse movimento para o banco digital se presta bem ao monitoramento contínuo da capacidade de monitorar todos os eventos conforme eles acontecem - não apenas o login e a transação, mas também solicitar um saldo, criar um novo beneficiário, adicionar um novo dispositivo ou trocar um Morada. A partir do momento em que um usuário acessa uma página da web, o monitoramento contínuo permite a compreensão do comportamento, pois identifica sua jornada online normal e as interações com suas contas e dispositivos. Além disso, um perfil pode ser criado em todos os dispositivos usados em uma determinada sessão.

Isso combina perfeitamente com outras proteções, como autenticação de dois fatores ou vinculação dinâmica, porque permite ao banco utilizar o contexto desses métodos de autenticação também. ( Link dinâmico , um requisito da segunda diretiva relativa aos serviços de pagamento (PSD2) , garante que haja um código de autenticação exclusivo para cada transação, que é específico para o valor da transação e o destinatário). O monitoramento contínuo fornece que, conforme o comportamento do usuário se torna conhecido, um novo comportamento pode ser identificado, o que pode indicar uma nova pessoa (ou seja, um invasor) ou um bot. Indicadores típicos de ataques, como dispositivos nefastos novos ou conhecidos, cookies, cabeçalhos, referenciadores, locais, bots, beneficiários ou outros, podem ser monitorados em tempo real e diferenciados do comportamento normal do cliente.

Essa abordagem estabelece um perfil de risco contínuo para a sessão, que pode mudar a cada ação realizada pelo usuário final ou seu dispositivo. Isso não apenas permite que a instituição financeira execute ações automatizadas em tempo real quando anomalias são detectadas, mas também permite que o banco reduza o atrito por sessões legítimas, diminuindo o número de autenticações necessárias para interações genuínas. Em última análise, isso diminui a propagação de ataques, bem como as perdas, e melhora a experiência do usuário.

O aprendizado de máquina reduz o risco de fraude

O aprendizado de máquina reduz o preconceito humano, como disponibilidade e confirmação, porque, ao contrário dos humanos, é capaz de ver todos os eventos e aprender com eles, analisando grandes volumes de dados díspares e de alta dimensão (uma combinação de muitos pontos de dados diferentes) em tempo real.

Com o aprendizado de máquina, existem dois tipos principais de algoritmo aplicados à detecção de fraude: supervisionado e não supervisionado.

Aprendizado de máquina supervisionado e não supervisionado

O aprendizado de máquina não supervisionado tende a usar modelos que identificam anomalias entre o que é usual e o que é incomum com base na distância entre os recursos (pontos de dados).

Com o aprendizado de máquina supervisionado, o modelo é treinado usando dados rotulados (fraude ou genuínos) e prevê a probabilidade de fraude (pontuação de fraude). Um modelo de aprendizado de máquina pode ser aplicado, em tempo real, a cada evento que está ocorrendo e enviar uma pontuação de volta. Isso pode permitir que uma solução, ou um usuário, execute uma ação com base nesses eventos.

Um dos desafios de uma instituição financeira é como passar para o aprendizado de máquina supervisionado. O conjunto de dados que possuem é desequilibrado, pois há uma maioria de eventos genuínos contra uma minoria de fraude. Os cientistas de dados estão usando técnicas mais avançadas, como dados sintéticos, para gerar mais pontos de dados e permitir o treinamento de um modelo supervisionado. Algumas instituições financeiras estão mudando para o aprendizado de máquina semissupervisionado, que combina uma pequena quantidade de dados rotulados com uma grande quantidade de dados não rotulados durante o treinamento. Essa abordagem pode melhorar consideravelmente a precisão do aprendizado.

O que é uma dimensão no aprendizado de máquina?

Um modelo de aprendizado de máquina funcionará com os recursos de elementos de dados, como um dispositivo, o endereço IP do usuário e o provedor de serviços de Internet do usuário. Se tomarmos um dispositivo como exemplo, os recursos podem ser:

Como esse dispositivo é usado?
Qual é a idade desse dispositivo?
Esse dispositivo é novo para o usuário?
É novo para a instituição financeira?
É compartilhado com outros usuários?
Quais parâmetros de segurança estão nesse dispositivo?
Quais métodos biométricos e métodos de autenticação são registrados nesse dispositivo?
Qual método de comunicação está usando?
Que modelo é?
Qual sistema operacional?
Há algo malicioso em execução (keylogger, depurador, sobreposição de teclado, etc)?
Alguma coisa mudou?

Todas essas são perguntas que você pode fazer somente com o dispositivo.

As instituições financeiras que utilizam o aprendizado de máquina podem obter decisões em tempo real sobre os eventos. Eles pegam dados e fazem milhares de perguntas em tempo real. A saída é a inteligência que é modelada em um espaço de alta dimensão, ou seja, a capacidade de modelar muitos pontos de dados diferentes, muitas vezes em milhares de dimensões, o que está muito além da capacidade humana. O modelo fornece uma saída de inteligência acionável - ou seja, informa a instituição financeira sobre a probabilidade de uma ação ser anômala ou a probabilidade de fraude quando ocorrer.

É impossível ter um especialista em fraude no local 24 horas por dia, 7 dias por semana, vendo todos os eventos. Portanto, o aprendizado de máquina está removendo o viés de disponibilidade a que nós, como humanos, estamos sujeitos. Além disso, pode reduzir a fadiga do alerta, apresentando apenas eventos e transações altamente incomuns a um especialista em fraude. Dessa forma, o aprendizado de máquina permite a tomada de decisões sobre eventos em tempo real de forma automatizada.

O aprendizado de máquina também pode tomar decisões para outros fluxos de trabalho - como o tipo de autenticação que uma instituição financeira deve aplicar a uma transação, de acordo com o risco. Isso pode ser usado para melhorar a experiência do cliente porque, onde as instituições financeiras podem determinar que o risco é baixo, não há necessidade de solicitar autenticação do usuário naquele momento. Se as instituições financeiras estiverem usando monitoramento contínuo, se o risco mudar, elas podem oferecer medidas de autenticação mais fortes. O aprendizado de máquina é excepcionalmente adequado para estabelecer o nível de risco / fraude potencial em canais bancários por meio de dados de usuários, dispositivos e transações. Essas pontuações de risco permitem mudanças dinâmicas nos fluxos de trabalho de autenticação para corresponder ao nível de risco. Portanto, as transações de baixo risco (ou seja, uma verificação de saldo de um dispositivo conhecido) não exigiriam autenticação adicional, e as transações de alto risco (ou seja, uma grande transferência, de um dispositivo 'desbloqueado' em um novo local) desencadeariam autenticação adicional degraus. (Um dispositivo desbloqueado foi modificado para que alterações possam ser feitas nele que não são suportadas pelo software em seu estado padrão).

É provável que a fraude de aquisição de conta continue a crescer, pois é uma fonte relativamente fácil de lucro para os malfeitores, que continuarão a explorar todas as fraquezas disponíveis no sistema financeiro bancário. No entanto, uma abordagem de segurança em várias camadas pode ajudar significativamente a mitigar os ataques que levam ao controle da conta. A tecnologia que protege o usuário, o dispositivo, o aplicativo e o canal de comunicação, combinada com um mecanismo de análise de risco abrangente e uma estrutura de autenticação inteligente, são essenciais para avançar na luta contra a fraude de controle de conta.