La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il software intelligente che protegge consumatori e banche dagli attacchi più sofisticati degli hacker Thee-banking antifraud solution The e-banking antifraud.

Presentazioni simili


Presentazione sul tema: "Il software intelligente che protegge consumatori e banche dagli attacchi più sofisticati degli hacker Thee-banking antifraud solution The e-banking antifraud."— Transcript della presentazione:

1 Il software intelligente che protegge consumatori e banche dagli attacchi più sofisticati degli hacker Thee-banking antifraud solution The e-banking antifraud solution

2 SCENARIO Laumentare delle transazioni bancarie on-line e il conseguente movimento di denaro che passa attraverso la rete hanno spostato lobiettivo della criminalità organizzata dalle rapine nelle banche alle frodi on-line ugualmente lucrative ma a più basso rischio. Frodi on - line 1

3 SCENARIO I meccanismi con cui viene attuata la frode sono i seguenti: Accesso illecito al conto corrente on-line attraverso: Furto di Credenziali e successivo utilizzo Web-in-the-Middle E successivo trasferimento di denaro attraverso tre tipologie di comportamento: –Trasferimento su una catena di conti civetta fino al definitivo accredito su banche estere (spesso attraverso reclutamento on-line dei correntisti, non sempre in buona fede). –Ricariche telefoniche multiple e immediato riversamento delle stesse attraverso numeri telefonici ad alta fatturazione. –Ricarica di Carte di Credito prepagate e immediato utilizzo per lacquisto di beni facilmente rivendibili (oreficeria, elettronica). Meccanismi di frode 2

4 SCENARIO Furto di dati di accesso attraverso il cracking dei Database posseduti dalle Banche È il meccanismo più brutale, ma spesso più efficace, permette di ottenere migliaia di dati di autenticazione in un solo tentativo. (Ultimo evento noto, 12 Dicembre 2008, Account, Germania) Phishing basato su È il primo meccanismo di spionaggio e raccolta delle credenziali di autenticazione nellambito delle Banche on line. Trojans bancari Integrano diversi meccanismi per lacquisizione e linvio dei dati di accesso: dai keylogger alla generazione di filmati del movimento del mouse sullo schermo. La loro diffusione iniziata quattro anni fa negli ultimi tempi ha raggiunto un livello critico di penetrazione. (Circa il 1 % dei PC degli end-user ne è affetto, secondo una valutazione empirica effettuata nel novembre 2008) Furto di Credenziali e successivo utilizzo 3

5 SCENARIO I Trojans agiscono trasferendo Utenze, Password e Certificati di Firma Digitale, ma anche schermate e tutti i caratteri digitati a siti pirati creati per accumulare questo genere di informazioni. La lista di questi trojans è lunga e ben documentata anche se la massa dei navigatori Internet ne è poco informata e gli strumenti antivirus spesso non li individuano. Il loro principio di funzionamento non si discosta di molto da quello inaugurato da Bancos.NL, il primo Trojans fra quelli documentati. Nelle loro varianti più diffuse rimangono in standby finché il navigatore non si collega ad uno degli indirizzi elencati allinterno del codice. A questo punto, quando lutente naviga su un sito di internet banking, i Trojans si attivano inviando Utenza e Password e altre informazioni riservate, ai siti pirata che le raccolgono. Trojans bancari 4

6 SCENARIO I Trojan.silentbanker e tutte le successive varianti, colpiscono gli ignari utenti dei servizi dellon-line banking; agiscono intercettando le informazioni sul conto corrente dei clienti prima che vengano codificate e le inviano a un database di attacco centrale. Possono intercettare le transazioni bancarie on-line che normalmente sono ben protette da procedure di autenticazione a due livelli. Durante una transazione bancaria, Silentbanker sostituisce l'account utente con l'account dell'hacker, mentre l'utente continua a percepire una normalissima transazione bancaria. Poiché gli utenti non sospettano che i loro dati siano stati manipolati, inconsapevolmente inviano denaro all'account dell'hacker dopo aver avuto accesso al secondo livello di autenticazione. Web-in-the-middle 5

7 SCENARIO La banca non dispone di strumenti per contrastare questo fenomeno. Linfezione infatti, colpisce i computer dei loro clienti senza che si registri alcuna anomalia sul server di Internet Banking. Solamente in alcuni casi da parte della banca viene percepita a livello di file di log la presenza del malware sul computer dei clienti. Questo avviene quando il Trojan modifica le pagine del sito per richiedere informazioni aggiuntive e al server web arrivano campi POST che non sono presenti nelle transazioni pulite. Lanalisi di questi campi POST consente di individuare quale cliente abbia il PC infettato, anche se resta difficile capire quali azioni successive intraprendere: a)Avvisare lutente: cè il rischio che questa operazione venga da lui percepita come una lesione alla sua privacy. Potrebbe pensare che la banca per disporre di questa informazione sia penetrata nel suo PC. b)Monitorare manualmente laccount in questione per evidenziare eventuali azioni fraudolente. Contromisure 6

8 ANALISI Valutando la presenza di questi campi POST aggiuntivi è possibile avere una stima della percentuale di computer infetti tra i clienti delle banche. In particolare dal settembre al novembre 2008 analizzando i file di log di alcune banche nostre clienti, abbiamo stimato che : Circa lo 0,5% degli utenti è infetto da Trojan.silentbanker. 0,5% delle transazioni possono potenzialmente diventare fraudolente. Un restante 0,5% sembra affetto da altri Trojans che modificano le pagine di accesso ma che non siamo riusciti a identificare. Ampliando la valutazione allo scenario nazionale possiamo calcolare: Il numero degli account di on-line banking in Italia è fra i 5 e i 10 milioni e questo porta a potenziali computer infetti. Le frodi normalmente vengono effettuate disponendo tre o più bonifici con importi variabili tra i e Il giro di affari di questo tipo di frodi è pari a di euro. Analisi di casi reali 7

9 RAKE Rake consente di individuare comportamenti anomali dellutenza attraverso metodologie di clustering e classificazione proprie del Data Mining, come avviene per i prodotti di fraud detection implementati dai principali gestori di carte di credito Monitoraggio automatico dei conti correnti e segnalazione di tutti i movimenti anomali sulla base di procedimenti di data mining rivolti allindividuazione del profilo di comportamento di ogni singolo utente; Clusterizzazione automatica del comportamento degli utenti: permette di identificarne le abitudini e di riconoscere tutto ciò che si discosta da queste; Analisi storica dei parametri tipici dellutente per diminuire la presenza di falsi positivi aumentando lefficacia dello strumento stesso. Questa metodologia ha successo anche nei confronti di nuove tipologie di malversazione, proprio perché basata sullanalisi del comportamento dellutente e non sulla conoscenza del procedimento con cui viene effettuata la frode. Le frodi già avvenute di cui si conoscono i pattern di comportamento, possono essere inserite in un secondo step di valutazione per una ulteriore verifica. La soluzione vincente 8

10 RAKE Fase di raccolta dati Caricamento e mantenimento di un numero di settimane di operazioni atte a garantire un numero minimo di transazioni. Come funziona Raccolta dati Processi di Clustering I Cluster sono calcolati impiegando solamente i movimenti relativi agli ultimi 6 mesi per tenere conto delle abitudini recenti. Su questi movimenti sono valutati i cluster statistici con lalgoritmo di E.M. (Expectation Maximization) dopo aver escluso gli Outliers (gli eventi estranei ai clusters) mediante altri algoritmi di clustering (OPTICS LOF o DENCLUE). Il processo di clustering è effettuato giornalmente dopo lacquisizione e lelaborazione dei log e i risultati sono salvati su un secondo DB per migliorare le prestazioni del sistema I risultati del clustering sono inseriti nel Db in modo da effettuare facilmente i confronti tra le nuove disposizioni e i cluster precalcolati per dare un peso alle transazioni. 9

11 RAKE Meccanismi di Pattern Recognition Per lindividuare le successioni di eventi che in passato hanno condotto a malversazioni Una serie di malversazioni sono avvenute attraverso una serie di bonifici effettuati in giorni consecutivi e con importi crescenti di luno dallaltro. E possibile integrare questa conoscenza nei meccanismi di ricerca delle frodi, ma è necessario prima di tutto effettuare una ricerca degli eventi di quella natura nella storia pregressa allo scopo di accertarne la reale pericolosità. Se, infatti, risultasse che la predetta successione è un evento molto diffuso e non legato a intenti fraudolenti, sarebbe inutile ricercarlo tra le nuove operazioni. Meccanismi di Georeferenziazione IP Per individuare le variazioni repentine delle località (o dei provider) di accesso allInternet Banking. Questa feature è integrata con lanalisi dei beneficiari (ed eventualmente degli userAgents) per selezionare i falsi positivi. Il sistema prevede il controllo dellIP di provenienza dellutente verso una blacklist contenente indirizzi utilizzati dal servizio TOR di anonimizzazione (in fase successiva linserimento di altri anonymizer). Come funziona 10

12 RAKE Meccanismi di ricerca anonymizer Per lindividuare delle transazioni originate da servizi di oscuramento dellindirizzo IP Intelligrate raccoglie gli indirizzi IP dei più importanti servizi di anonimizzazione, come TOR per esempio, aggiornando RAKE su base giornaliera. In questo modo è possibile valutare la provenienza delle diverse transazioni, bloccando o valutando negativamente quelle provenientidai suddetti servizi. Come funziona 11 Whitelist e Blacklist Per una eventuale gestione distinta di conti correnti particolari RAKE supporta linserimento in whitelist di particolari account che non si vogliono controllare in alcun modo e linserimento in blacklist di coordinate bancarie, numeri telefonici o numeri di carte ricaricabili particolarmente sospetti..

13 RAKE Per la valutazione della distanza tra il singolo movimento e il comportamento usuale sono implementati diversi meccanismi: Come funziona Cluster EM (Expectation Maximization) Cluster EM (Expectation Maximization) Cluster 2D-GridClustering OPTICS Local Outlier Detection OPTICS Local Outlier Detection Valutazione dellappartenenza alla combinazione di distribuzioni normali individuata dal clustering E.M. (con pesi diversi a seconda della distanza dalla media e dai bordi del cluster). Questa valutazione viene effettuata senza effettuare alcuna rivalutazione dei cluster. Valutazione geometrica della distanza dai cluster esistenti utilizzando una versione bi- dimensionale di algoritmi di GridClustering. Anche questa valutazione viene effettuata senza un ricalcolo dei cluster. Calcolo delle distanze dai cluster con OPTICS per valutare lappartenenza del singolo evento ai cluster o lidentificazione come Outlier. Dallapplicazione dei tre meccanismi si può adottare una politica di Rapporto di minoranza per segnalare lanomalia e eventualmente, solo nel caso si abbiano tre positivi, chiamare lutente. 12

14 RAKE Rake è disponibile in due diverse modalità di applicazione che possono essere scelte insieme alla banca in base alla caratteristiche tecniche del e-banking, alla modalità di interazione con i clienti e alla effettiva necessità di tempestività nelle operazioni. Modalità di applicazione On-Line RAKE è direttamente collegato allapplicativo di e-banking. Ad ogni transazione viene inviata a RAKE una stringa contenente tutti i dati della transazione stessa e viene restituito un peso variabile da 0 (transazione OK) a 10 (transazione con una altissima probabilità di essere una frode). Lapplicativo di e-banking può proporre al cliente una domanda aggiuntiva per verificarne lautenticità o inviare un SMS di conferma. Modalità di applicazione Off-Line Ogni sera vengono valutate le transazioni della giornata con la produzione di un report contenente le segnalazioni degli eventi probabilmente fraudolenti che può essere inoltrato allhelp-desk per una verifica telefonica dei più sospetti. Modalità di Applicazione 13

15 RAKE Nella Modalità On-Line è necessario restituire il peso della transazione in tempi dellordine di un massimo di 1 secondo. In questa condizione non è possibile effettuare il clustering con tutti gli strumenti a disposizione, ma è necessario basarsi sui cluster di tipo EM che permettono una rappresentazione geometrica del risultato e su cluster di tipo GridBased che permettono un veloce riconoscimento dellappartenenza ai cluster di ogni nuovo evento. Con il clustering EM le nuove operazioni dispositive vengono confrontate quindi con le ellissi che rappresentano i cluster e ricevono un peso tanto più negativo quanto sono distanti dal centro dei cluster. Con il clustering 2D-GC viene valutato se le nuove disposizioni cascano nelle celle già appartenenti a un cluster o se la loro presenza fa diventare cluster gruppi di operazioni che non lo erano Modalità di Applicazione On-Line 14

16 RAKE Clustering EM – Prima della Ricerca degli Outlier 15

17 RAKE Clustering EM esclusi gli Outlier 16

18 RAKE Clustering 2D-GC con 2 punti per cluster 17

19 RAKE Clustering 2D-GC con 3 punti per cluster 18

20 RAKE Clustering EM – Prima della Ricerca degli Outlier 19

21 RAKE Clustering EM esclusi gli Outlier 20

22 RAKE Clustering 2D-GC con 2 punti per cluster 21

23 RAKE Clustering 2D-GC con 3 punti per cluster 22

24 RAKE Nella Modalità Off-Line non è necessario rispettare tempi di calcolo ridotti. E possibile quindi effettuare lanalisi completa utilizzando i tre metodi descritti in precedenza, restituendo dei valori di probabilità di evento fraudolento più precisi. Il risultato è un report giornaliero che permette agli uffici preposti di indagare sugli eventi particolarmente sospetti. Modalità di Applicazione OFFLINE 23

25 RAKE Ricerca degli Outlier 24

26 RAKE Outlier individuati 25

27 RAKE Ricerca degli Outlier 26

28 RAKE Outlier individuati 27

29 RAKE Rake è composto da tre moduli: Il clusterizzatore, che tiene conto della storia di ogni account, con la lista dei movimenti, dei beneficiari, degli user-agent e degli IP/provider di collegamento Il Database che, oltre a mantenere i movimenti e i clusters, attraverso Stored Procedures produce ogni giorno i report di sospette malversazioni Il client che fornisce in tempo reale le risposte sul grado di affidabilità di ogni transazione. I tre moduli possono essere consolidati su ununica macchina o distribuiti su diverse macchine per migliorare le performance. La componente client può essere replicata e integrata con apparati di load sharing. Il prodotto supporta nativamente sia MySQL sia Oracle 11g ma può essere integrato con DB forniti dal cliente. Installazione e configurazione 28

30 RAKE Rake è fornito sia come applicativo da installare su macchine Unix sia Solaris sia Linux RedHat, sia come Virtual Appliance per VMware: CentOS + MySQL CentOS + Oracle Solaris 10 + Oracle Solaris 10 + MySQL Rake può essere integrato con gli applicativi del cliente e fornito di moduli di comunicazione ad hoc nel caso sia necessario adattarlo ad ambienti di Internet Banking particolari. Installazione e configurazione 29

31 RAKE Rake è facilmente amministrabile via interfaccia Web. La reportistica può essere visualizzata via web o scaricata in formato CSV o XLS. Su richiesta del cliente può essere esposta da un Web Service. Di seguito alcune schermate dellinterfaccia di amministrazione e dei report. Installazione e configurazione 30

32 RAKE Configurazione 31

33 RAKE Configurazione 32

34 RAKE Configurazione 33

35 RAKE Configurazione 34

36 RAKE Reportistica 35

37 RAKE Reportistica 36

38 RAKE GRAZIE! INTELLIGRATE srl Via XII OTTOBRE 2/ GENOVA ITALY Phone: Fax: Web: 37


Scaricare ppt "Il software intelligente che protegge consumatori e banche dagli attacchi più sofisticati degli hacker Thee-banking antifraud solution The e-banking antifraud."

Presentazioni simili


Annunci Google