Слайд 1 - Фродекс
advertisement
Эффективные технологии противодействия мошенничеству Фрод в ДБО Докладчик: Хафизов Артем Фоелевич, к.т.н. технический директор компании Фродекс Москва, 2011 Эффективные технологии противодействия мошенничеству Эволюция использования IP адресов злоумышленниками Фрод в ДБО: Эволюция использования IP адресов злоумышленниками Работа с IP адресов других стран Значительно распространены в настоящее время. Позволяют совершить мошеннический платеж даже если банк настроил ограничение Работа с IP по адресов и доступу ссотовых IP адресов операторов «чужих» провайдеров.в г.Москва провайдеров Интернет Были наиболее распространены в 2007 – 2008 гг. В настоящее время практически не встречаются, т.к. Наблюдается ростчасто мошеннических банки на лавинообразный межсетевых экранах ограничивают платежей такого типа, функция создания проксидоступ в ДБО с IPт.к. адресов «чужих» провайдеров сервера из компьютера клиента является штатным сети Интернет Довольно распространены в настоящее время, хотя их Работа с IP адресов провайдера функционалом современных троянов число постоянно уменьшается - банки на межсетевых клиента Банка экранах блокируют доступ к ДБО с IP адресов «чужих» провайдеров Работа с компьютера клиента Банка Эффективные технологии противодействия мошенничеству Эволюция реквизитов мошеннических платежей Фрод в ДБО: Эволюция реквизитов мошеннических платежей Платежные шлюзы (Yandex.Деньги и др.) Борьба с такими платежами невозможна с помощью «черных списков». В настоящее время мало распространены, но с увеличением Платежи в пользу физического лица межбанковского обмена информацией о В настоящее время практически не встречаются списках получателей» возможен из-за«черных ограничений, устанавливаемых платежными лавинообразный шлюзами рост числа мошеннических платежей такого типа Платежи в пользу фирм - однодневок Широко распространены в настоящее время. Как правило, счет получателя зарегистрирован на подставных лиц, что значительно затрудняет поимку злоумышленников правохранительными органами. Широко распространены в настоящее время. Как Платежи в пользу юридического лица – другой Характерная платежей – до 600 000 правило, такиесумма фирмы зарегистрированы наруб. жертвы – слиц. дальнейшим перечислением подставных Сумма мошеннических платежей в может достигать нескольких миллионов рублей пользу мошенника Эффективные технологии противодействия мошенничеству Эволюция способа совершения мошеннического платежа Фрод в ДБО: Эволюция способа совершения мошеннического платежа Т.к. многиеот банки перешли на платежей, отчуждаемые носители (токены), с Простая кража паролей и ключевой информации В отличие мошеннических созданных в режиме которых трудно украсть ключевую информацию клиента, удаленного управления компьютером клиента, злоумышленнику злоумышленники тактику – мошеннический платеж не требуется ожидать,изменили когда клиент подключит токен и отвлечется совершается– вэту момент, клиент подключил токен к от компьютера работукогда выполнит троян. Когда клиент Практически не встречаются в настоящее время, Дублирование компьютера мошенника и компьютеру, нонастроек отвлекся на некоторое время (например, подключится к ДБО и создаст документ, троян автоматически т.к. современные трояны позволяют красть не бухгалтера вызвали к директору организации). жертвы (пути к файлам UserAgent и т.д.) заменит реквизиты указанные клиентом, только пароли и получателя, ключевуюключей, информацию, но еще на Первые случаи были зарегистрированы начале 2010 г., и в мошенника. в и копировать реквизиты полную конфигурацию компьютера настоящее время наблюдается их значительный рост.вНаиболее Первые случаи таких платежей были зафиксированы конце клиента сложны дляг. обнаружения, т.к. платеж фактически создается с 2010 и сраспространены тех пор их число растет. Довольно в непрерывно настоящее время. Как Компьютер клиента как proxy-сервер компьютера Наиболее сложны для обнаружения, т.к. мошеннический платеж правило, злоумышленники под клиента. каждого клиента создают фактическивиртуальную создается с компьютера клиента. отдельную машину с настройками, аналогичными компьютеру клиента Получили широкое распространение с 2010 г. Удаленное управление компьютером клиента благодаря реализации функционала прокси-сервера как одна из возможностей банковских троянов Подмена реквизитов платежа «на лету» Эффективные технологии противодействия мошенничеству Управление фродом: параметры наблюдения и реакция Докладчик: Хафизов Артем Фоелевич, к.т.н. технический директор компании Фродекс Москва, 2011 Эффективные технологии противодействия мошенничеству Основные источники информации, доступные системе обнаружения мошеннических платежей Источникиинформации информации Фрод в ДБО: Основные источники для анализа Реквизиты платежа История платежей Анализатор IP адрес Сетевой трафик UserAgent данных Фрод в ДБО: Основные источникиАнализ информации только в АБС АБС работает непосредственно с реквизитами платежей клиентов, и не хранит техническую Реквизитыобплатежа История информацию IP адресе клиента ДБО, а тем более, в АБС недоступен сетевой трафик клиента. Поэтому, система обнаружения мошеннических платежей, основанная только на информации из АБС, будет обладать заведомо худшими показателями, т.к. для принятия Анализатор решения о подозрительности платежа она будет оперировать гораздо меньшей исходной информацией для анализа. IP адрес Сетевой трафик НЕ ЭФФЕКТИВНО! платежей UserAgent Особенность Фрод в ДБО: Основные источники информации «толстого» клиента Технология толстого клиента подразумевает, что весь интерфейс ДБО реализован только на стороне клиента. В банк поступает информация фактически толькоплатежей о реквизитах Реквизиты платежа История платежного поручения – аналогично тому, если бы система обнаружения мошеннических платежей работала только с информацией из АБС. Если ДБО интегрирована с АТС банка и может получить Номеринформацию о номере телефона (при работе через dialupАнализатор то мошеннические платежи можно телефона соединение), обнаруживать по номеру телефона (при условии, что мошеннический платеж не был создан в режиме удаленного управления компьютером клиента). Поэтому технология тонкого клиента более безопасна с точки зрения борьбы с мошенническими платежами IP адрес Сетевой трафик МАЛО ИНФОРМАЦИИ! UserAgent Эффективные технологии противодействия мошенничеству Системы выявления инцидентов. Реакция на инциденты. Докладчик: Хафизов Артем Фоелевич, к.т.н. технический директор компании Фродекс Москва, 2011 Эффективные технологии противодействия мошенничеству Информирование о факте мошенничества ответственного сотрудника банка Фрод в ДБО: Возможности FraudWall по информированию сотрудников банка Штатный интерфейс системы Специальный интерфейс в АБС Мошеннический платеж! SMS Почтовое сообщение Эффективные технологии противодействия мошенничеству Проблема обратной связи с клиентом Фрод в ДБО: Проблема обратной связи с клиентом - юридическое лицо:лицом, банк, как правило, знает В Клиент случае с клиентом - юридическим контактный телефон для связи с клиентом – это обычная процедура − платеж могут создать людей организации обслуживания клиентов. Еслинесколько меняются контактные телефоны клиента, − то есть актуальный номер телефона для сообщить связи клиент сам заинтересован в том, чтобы их в банк. бухгалтер может не знать платеже, созданном лицо менее В−отличие от юридического лица,о клиент – физическое директором дисциплинирован, может часто менять номера мобильного телефона. Даже если дляможет работы клиента в ДБО необходим актуальный − директор быть не доступен (в другой стране) номер телефона, клиент может не пользоваться системой ДБО продолжительное время. Поэтому, БАНК при поступлении в банк подозрительного платежа, банк может не дозвониться до клиента по номеру, указанному в заявлении на обслуживание в ДБО. Несмотря на Клиент - физическое лицо: отсутствие каких-либо технических ограничений со стороны системы мошеннических платежей, актуального − обнаружения платеж создает, как правило, только отсутствие один человек номера значительно- усложняет интеграцию −контактного число клиентов физических лиц гораздо больше,системы чем обнаружения мошеннических платежей с системой ДБО. клиентов – юридических лиц − актуального номера телефона для связи НЕТ СЛОЖНО ПОДТВЕРДИТЬ ПОДОЗРИТЕЛЬНЫЙ ПЛАТЕЖ!!! Эффективные технологии противодействия мошенничеству Красный предел системы обнаружения мошеннических платежей Фрод в ДБО: Красный предел системы обнаружения Ограничение Клиент может быть По опыту эксплуатации системы обнаружения мошеннических платежей, Подтверждение рабочего времени не доступен значение красного предела составляет не более 20 подозрительных занимает платежей на 10 000 платежей. Т.е. если в филиале ежесуточно сотрудников по контактному много филиала времени формируется 5000 платежей, то сотрудники этого небольшого бэк - офиса телефону смогут обзвонить не более 10 клиентов Красный предел – система обнаружения не должна формировать подозрительных платежей больше, чем их может обработать бэк - офис Максимально допустимое время исполнения перевода (не более 3 рабочих дней - ФЗ №161 "О национальной платежной системе") Эффективные технологии противодействия мошенничеству Решение FraudWall - система обнаружения мошеннических платежей третьего поколения Фрод в ДБО: Красный предел: Характеристики FraudWall: исходные ограничения не более 15 ложных срабатываний на 10 000 платежей Обнаруживаемая сумма мошеннического платежа* : в пользу физических лиц – от 15 000 руб. в пользу платежных шлюзов – 10 000 руб. в пользу юридических лиц – 50 000 руб. * - снижение минимальной суммы обнаруживаемого платежа увеличивает вероятность ложного срабатывания Фрод в ДБО: Характеристики FraudWall: наблюдаемые показатели Мошеннические платежи с другого IP адреса: в пользу физических лиц: 98 % в пользу платежных шлюзов: 95 % в пользу юридических лиц: 95 % Мошеннические платежи в proxy-режиме: в пользу физических лиц: в пользу платежных шлюзов: в пользу юридических лиц: 95 % 90 % 90 % Мошеннические платежи в режиме RADMIN: в пользу физических лиц: 70 ÷ 80 % в пользу платежных шлюзов: 50 ÷ 70 % в пользу юридических лиц: 60 ÷ 70 %
