Il software intelligente che protegge Il software intelligente che protegge consumatori e banche dagli attacchi consumatori e banche dagli attacchi più sofisticati degli hacker più sofisticati degli hacker

TheThe e-banking antifraud solutione-banking antifraud solution

SCENARIO

L’aumentare delle transazioni bancarie on-line e il conseguente movimento di denaro che passa attraverso la rete hanno spostato l’obiettivo della criminalità organizzata dalle rapine nelle banche alle frodi on-line ugualmente lucrative ma a più basso rischio.

Frodi on - line

1

SCENARIO

I meccanismi con cui viene attuata la frode sono i seguenti:

Accesso illecito al conto corrente on-line attraverso:

Furto di Credenziali e successivo utilizzo Web-in-the-Middle

E successivo trasferimento di denaro attraverso tre tipologie di comportamento:

– Trasferimento su una catena di conti civetta fino al definitivo accredito su banche estere (spesso attraverso reclutamento on-line dei correntisti, non sempre in buona fede).

– Ricariche telefoniche multiple e immediato riversamento delle stesse attraverso numeri telefonici ad alta fatturazione.

– Ricarica di Carte di Credito prepagate e immediato utilizzo per l’acquisto di beni facilmente rivendibili (oreficeria, elettronica).

Meccanismi di frode

2

SCENARIO

Furto di dati di accesso attraverso il cracking dei Database posseduti dalle Banche

È il meccanismo più brutale, ma spesso più efficace, permette di ottenere migliaia di dati di autenticazione in un solo tentativo.(Ultimo evento noto, 12 Dicembre 2008, 450.000 Account, Germania)

Phishing basato su e-mail È il primo meccanismo di spionaggio e raccolta delle credenziali di autenticazione nell’ambito delle Banche on line.

Trojans bancariIntegrano diversi meccanismi per l’acquisizione e l’invio dei dati di accesso: dai keylogger alla generazione di filmati del movimento del mouse sullo schermo.La loro diffusione iniziata quattro anni fa negli ultimi tempi ha raggiunto un livello critico di penetrazione. (Circa il 1 % dei PC degli end-user ne è affetto, secondo una valutazione empirica effettuata nel novembre 2008)

Furto di Credenziali e successivo utilizzo

3

SCENARIO

I Trojans agiscono trasferendo Utenze, Password e Certificati di Firma Digitale, ma anche schermate e tutti i caratteri digitati a siti pirati creati per accumulare questo genere di informazioni.

La lista di questi trojans è lunga e ben documentata anche se la massa dei navigatori Internet ne è poco informata e gli strumenti antivirus spesso non li individuano.

Il loro principio di funzionamento non si discosta di molto da quello inaugurato da Bancos.NL, il primo Trojans fra quelli documentati.

Nelle loro varianti più diffuse rimangono in standby finché il navigatore non si collega ad uno degli indirizzi elencati all’interno del codice. A questo punto, quando l’utente naviga su un sito di internet banking, i Trojans si attivano inviando Utenza e Password e altre informazioni riservate, ai siti pirata che le raccolgono.

Trojans bancari

4

SCENARIO

I Trojan.silentbanker e tutte le successive varianti, colpiscono gli ignari utenti dei servizi dell’on-line banking; agiscono intercettando le informazioni sul conto corrente dei clienti prima che vengano codificate e le inviano a un database di attacco centrale.

Possono intercettare le transazioni bancarie on-line che normalmente sono ben protette da procedure di autenticazione a due livelli.

Durante una transazione bancaria, Silentbanker sostituisce l'account utente con l'account dell'hacker, mentre l'utente continua a percepire una normalissima transazione bancaria.

Poiché gli utenti non sospettano che i loro dati siano stati manipolati, inconsapevolmente inviano denaro all'account dell'hacker dopo aver avuto accesso al secondo livello di autenticazione.

Web-in-the-middle

5

SCENARIO

La banca non dispone di strumenti per contrastare questo fenomeno.L’infezione infatti, colpisce i computer dei loro clienti senza che si registri alcuna anomalia sul server di Internet Banking.

Solamente in alcuni casi da parte della banca viene percepita a livello di file di log la presenza del malware sul computer dei clienti. Questo avviene quando il Trojan modifica le pagine del sito per richiedere informazioni aggiuntive e al server web arrivano campi POST che non sono presenti nelle transazioni “pulite”. L’analisi di questi campi POST consente di individuare quale cliente abbia il PC infettato, anche se resta difficile capire quali azioni successive intraprendere:

a) Avvisare l’utente: c’è il rischio che questa operazione venga da lui percepita come una lesione alla sua privacy. Potrebbe pensare che la banca per disporre di questa informazione sia penetrata nel suo PC.

b) Monitorare manualmente l’account in questione per evidenziare eventuali azioni fraudolente.

Contromisure

6

ANALISI

Valutando la presenza di questi campi POST aggiuntivi è possibile avere una stima della percentuale di computer infetti tra i clienti delle banche.

In particolare dal settembre al novembre 2008 analizzando i file di log di alcune banche nostre clienti, abbiamo stimato che :

Circa lo 0,5% degli utenti è infetto da Trojan.silentbanker.0,5% delle transazioni possono potenzialmente diventare fraudolente.Un restante 0,5% sembra affetto da altri Trojans che modificano le pagine di accesso ma che non siamo riusciti a identificare.

Ampliando la valutazione allo scenario nazionale possiamo calcolare:

• Il numero degli account di on-line banking in Italia è fra i 5 e i 10 milioni e questo porta a 50.000 potenziali computer infetti.

• Le frodi normalmente vengono effettuate disponendo tre o più bonifici con importi variabili tra i 2.000 e 5.000 €.

• Il giro di affari di questo tipo di frodi è pari a 300.000.000 di euro.

Analisi di casi reali

7

RAKE

Rake consente di individuare comportamenti anomali dell’utenza attraverso metodologie di clustering e classificazione proprie del Data Mining, come avviene per i prodotti di fraud detection implementati dai principali gestori di carte di credito

Monitoraggio automatico dei conti correnti e segnalazione di tutti i movimenti anomali sulla base di procedimenti di data mining rivolti all’individuazione del profilo di comportamento di ogni singolo utente;Clusterizzazione automatica del comportamento degli utenti: permette di identificarne le abitudini e di riconoscere tutto ciò che si discosta da queste;Analisi storica dei parametri tipici dell’utente per diminuire la presenza di falsi positivi aumentando l’efficacia dello strumento stesso.

Questa metodologia ha successo anche nei confronti di nuove tipologie di malversazione, proprio perché basata sull’analisi del comportamento dell’utente e non sulla conoscenza del procedimento con cui viene effettuata la frode.

Le frodi già avvenute di cui si conoscono i pattern di comportamento, possono essere inserite in un secondo step di valutazione per una ulteriore verifica.

La soluzione vincente

8

RAKE

Fase di raccolta dati

Caricamento e mantenimento di un numero di settimane di operazioni atte a garantire un numero minimo di transazioni.

Come funziona

Raccolta datiRaccolta dati Processi di ClusteringProcessi di Clustering

I Cluster sono calcolati impiegando solamente i movimenti relativi agli ultimi 6 mesi per tenere conto delle abitudini “recenti”.

Su questi movimenti sono valutati i cluster statistici con l’algoritmo di E.M. (Expectation Maximization) dopo aver escluso gli Outliers (gli eventi estranei ai clusters) mediante altri algoritmi di clustering (OPTICS LOF o DENCLUE).

Il processo di clustering è effettuato giornalmente dopo l’acquisizione e l’elaborazione dei log e i risultati sono salvati su un secondo DB per migliorare le prestazioni del sistema

I risultati del clustering sono inseriti nel Db in modo da effettuare facilmente i confronti tra le nuove disposizioni e i cluster precalcolati per dare un peso alle transazioni.

9

RAKE

Meccanismi di Pattern RecognitionPer l’individuare le successioni di eventi che in passato hanno condotto a malversazioni

Una serie di malversazioni sono avvenute attraverso una serie di bonifici effettuati in giorni consecutivi e con importi crescenti di 1.000 € l’uno dall’altro. E’ possibile integrare questa conoscenza nei meccanismi di ricerca delle frodi, ma è necessario prima di tutto effettuare una ricerca degli eventi di quella natura nella storia pregressa allo scopo di accertarne la reale “pericolosità”.Se, infatti, risultasse che la predetta successione è un evento molto diffuso e non legato a intenti fraudolenti, sarebbe inutile ricercarlo tra le nuove operazioni.

Meccanismi di Georeferenziazione IPPer individuare le variazioni repentine delle località (o dei provider) di accesso all’Internet Banking.

Questa feature è integrata con l’analisi dei beneficiari (ed eventualmente degli userAgents) per selezionare i falsi positivi.Il sistema prevede il controllo dell’IP di provenienza dell’utente verso una blacklist contenente indirizzi utilizzati dal servizio TOR di anonimizzazione (in fase successiva l’inserimento di altri anonymizer).

Come funziona

10

RAKE

Meccanismi di ricerca anonymizer

Per l’individuare delle transazioni originate da servizi di oscuramento dell’indirizzo IP

Intelligrate raccoglie gli indirizzi IP dei più importanti servizi di anonimizzazione, come TOR per esempio, aggiornando RAKE su base giornaliera. In questo modo è possibile valutare la provenienza delle diverse transazioni, bloccando o valutando negativamente quelle provenientidai suddetti servizi.

Come funziona

11

Whitelist e Blacklist

Per una eventuale gestione distinta di conti correnti particolari

RAKE supporta l’inserimento in whitelist di particolari account che non si vogliono controllare in alcun modo e l’inserimento in blacklist di coordinate bancarie, numeri telefonici o numeri di carte ricaricabili particolarmente sospetti..

RAKE

Per la valutazione della “distanza” tra il singolo movimento e il comportamento usuale sono implementati diversi meccanismi:

Come funziona

Cluster EM

(Expectation Maximization)

Cluster EM

(Expectation Maximization)Cluster 2D-GridClusteringCluster 2D-GridClustering OPTICS Local Outlier

DetectionOPTICS Local Outlier

Detection

Valutazione dell’appartenenza alla combinazione di distribuzioni normali individuata dal clustering E.M. (con pesi diversi a seconda della distanza dalla media e dai bordi del cluster).

Questa valutazione viene effettuata senza effettuare alcuna rivalutazione dei cluster.

Valutazione geometrica della distanza dai cluster esistenti utilizzando una versione bi-dimensionale di algoritmi di GridClustering.

Anche questa valutazione viene effettuata senza un ricalcolo dei cluster.

Calcolo delle distanze dai cluster con OPTICS per valutare l’appartenenza del singolo evento ai cluster o l’identificazione come Outlier.

Dall’applicazione dei tre meccanismi si può adottare una politica di “Rapporto di minoranza” per segnalare l’anomalia e eventualmente, solo nel caso si abbiano tre positivi, chiamare l’utente.

12

RAKE

Rake è disponibile in due diverse modalità di applicazione che possono essere scelte insieme alla banca in base alla caratteristiche tecniche del e-banking, alla modalità di interazione con i clienti e alla effettiva necessità di tempestività nelle operazioni.

Modalità di applicazione On-LineRAKE è direttamente collegato all’applicativo di e-banking. Ad ogni transazione viene inviata a RAKE una stringa contenente tutti i dati della transazione stessa e viene restituito un peso variabile da 0 (transazione OK) a 10 (transazione con una altissima probabilità di essere una frode). L’applicativo di e-banking può proporre al cliente una domanda aggiuntiva per verificarne l’autenticità o inviare un SMS di conferma.

Modalità di applicazione Off-Line Ogni sera vengono valutate le transazioni della giornata con la produzione di un

report contenente le segnalazioni degli eventi probabilmente fraudolenti che può essere inoltrato all’help-desk per una verifica telefonica dei più sospetti.

Modalità di Applicazione

13

RAKE

Nella Modalità On-Line è necessario restituire il peso della transazione in tempi dell’ordine di un massimo di 1 secondo.

In questa condizione non è possibile effettuare il clustering con tutti gli strumenti a disposizione, ma è necessario basarsi sui cluster di tipo EM che permettono una rappresentazione geometrica del risultato e su cluster di tipo GridBased che permettono un veloce riconoscimento dell’appartenenza ai cluster di ogni nuovo evento.

Con il clustering EM le nuove operazioni dispositive vengono confrontate quindi con le ellissi che rappresentano i cluster e ricevono un peso tanto più negativo quanto sono distanti dal centro dei cluster.

Con il clustering 2D-GC viene valutato se le nuove disposizioni cascano nelle celle già appartenenti a un cluster o se la loro presenza fa diventare cluster gruppi di operazioni che non lo erano

Modalità di Applicazione On-Line

14

RAKE

Clustering EM – Prima della Ricerca degli Outlier

15

RAKE

Clustering EM esclusi gli Outlier

16

RAKE

Clustering 2D-GC con 2 punti per cluster

17

RAKE

Clustering 2D-GC con 3 punti per cluster

18

RAKE

Clustering EM – Prima della Ricerca degli Outlier

19

RAKE

Clustering EM esclusi gli Outlier

20

RAKE

Clustering 2D-GC con 2 punti per cluster

21

RAKE

Clustering 2D-GC con 3 punti per cluster

22

RAKE

Nella Modalità Off-Line non è necessario rispettare tempi di calcolo ridotti.

E’ possibile quindi effettuare l’analisi completa utilizzando i tre metodi descritti in precedenza, restituendo dei valori di “probabilità di evento fraudolento” più precisi.

Il risultato è un report giornaliero che permette agli uffici preposti di indagare sugli eventi particolarmente sospetti.

Modalità di Applicazione OFFLINE

23

RAKE

Ricerca degli Outlier

24

RAKE

Outlier individuati

25

RAKE

Ricerca degli Outlier

26

RAKE

Outlier individuati

27

RAKE

Rake è composto da tre moduli:

Il clusterizzatore, che tiene conto della storia di ogni account, con la lista dei movimenti, dei beneficiari, degli user-agent e degli IP/provider di collegamento Il Database che, oltre a mantenere i movimenti e i clusters, attraverso Stored Procedures produce ogni giorno i report di sospette malversazioniIl client che fornisce in tempo reale le risposte sul grado di affidabilità di ogni transazione.

I tre moduli possono essere consolidati su un’unica macchina o distribuiti su diverse macchine per migliorare le performance. La componente client può essere replicata e integrata con apparati di load sharing.

Il prodotto supporta nativamente sia MySQL sia Oracle 11g ma può essere integrato con DB forniti dal cliente.

Installazione e configurazione

28

RAKE

Rake è fornito sia come applicativo da installare su macchine Unix sia Solaris sia Linux RedHat, sia come Virtual Appliance per VMware:

CentOS + MySQL

CentOS + Oracle

Solaris 10 + Oracle

Solaris 10 + MySQL

Rake può essere integrato con gli applicativi del cliente e fornito di moduli di comunicazione ad hoc nel caso sia necessario adattarlo ad ambienti di Internet Banking particolari.

Installazione e configurazione

29

RAKE

Rake è facilmente amministrabile via interfaccia Web.

La reportistica può essere visualizzata via web o scaricata in formato CSV o XLS.

Su richiesta del cliente può essere esposta da un Web Service.

Di seguito alcune schermate dell’interfaccia di amministrazione e dei report.

Installazione e configurazione

30

RAKE

Configurazione

31

RAKE

Configurazione

32

RAKE

Configurazione

33

RAKE

Configurazione

34

RAKE

Reportistica

35

RAKE

Reportistica

36

RAKE

GRAZIE!

INTELLIGRATE srlINTELLIGRATE srl

Via XII OTTOBRE 2/9216121 GENOVAITALYPhone: +39 0105954161Fax: +39 010586753

Email: info@intelligrate.it

Web: www.intelligrate.it

37