Как обойти сессионный антифрод и почему защита должна быть комплексной

Импровизированный CTF от BSS показал, как легко можно «взломать» один фактор защиты.

Кибермошенничество продолжает оставаться для банковской сферы одной из самых болезненных тем. Использование канала ДБО для кражи денежных средств излюбленное направление для киберпреступников. Банки и вендоры предпринимают все усилия, чтобы противодействовать мошенничеству, в том числе внедряя и совершенствуя антифрод системы.

О современных средствах защиты приложений ДБО от киберпреступников говорит в своем выступлении директор департамента систем безопасности компании BSS Виктор Гулевич. Чтобы показать, как легко можно использовать несовершенство антифрода в мошеннических целях, спикер предложил участникам сессии небольшой импровизированный Capture the flag (CTF) – игру на перехват учетной записи.

Эксперт объяснил, как работают программы сессионного антифрода, анализирующие паттерны действий пользователя. Они отслеживают все действия владельца и запоминают их характеристики и особенности. Если мошенник попытается воспользоваться его банковским аккаунтом, чтобы завладеть денежными средствами, антифрод это определит и транзакцию заблокирует.

Виктор Гулевич подчеркнул, что злоумышленники с легкостью могут обмануть приложение, если используется только один фактор идентификации — и для наглядности предложил аудитории «взломать» собственный банковский аккаунт.

Обмануть сессионный антифрод получилось с помощью фотографии. Это сделал один из участников мероприятия. Для подтверждения транзакции всего лишь необходимо было со второго телефона показать фотографию владельца аккаунта и транзакция была одобрена. Это наглядно демонстрирует, как легко обойти один включенный фактор.

«Но на самом деле поведенческих факторов очень много. Где вы находитесь, как вы держите телефон, какой рукой и как перемещаетесь по приложению. Все паттерны владельца, как и характерные паттерны мошенников записаны и это позволяет противостоять преступлениям, - отметил Виктор Гулевич. – Учитывая это, мы предоставляем комплексные услуги по информационной безопасности, в том числе и систему эшелонированной защиты от мошенничества, как внешнего, так и внутреннего».

Комплекс базируется на собственной антифрод-платформе «FRAUD-Анализ» куда дополнительно могут быть внедрены технические и биометрические способы идентификации плательщика и его устройства. Это позволяет не только с большой вероятностью защититься от мошенников, но и обеспечить легкую аутентификацию пользователя в приложении ДБО, даже без ввода пароля, отпечатка пальца, или Face ID (так называемая frictionless authentication), что сильно повышает частоту использования приложения ДБО банка для получения дополнительных услуг.

Как все происходило - смотрите видео выступления Виктора Гулевича: https://youtu.be/YvLbfIeE8eQ.