ICFraud

ICFraud – это система мониторинга состояния клиентского окружения, выполняющая сбор необходимой для её работы информации с последующим анализом и выявлением нежелательной активности.

Что понимается под окружением пользователя? Представим себе привычную картину работы клиента с системой ДБО: пользователь открывает в окне браузера страницу интернет-банкинга, вбивает туда логин и пароль и начинает работу. Браузер клиента и то, что происходит на данный момент на странице пользователя, – все это является окружением пользователя.

Как только пользователь открывает страницу защищаемого системой ICFraud банка, последняя приступает к сбору необходимой информации и выявлению подозрительной активности.

Таким образом, система ICFraud решает сразу две основные задачи:

• выявляет мошенническую активность на ранней стадии;
• снижает количество ложных срабатываний основной антифрод-системы.

В основу разработки системы заложены принципы обнаружения мошеннических действий, выработанные исследователями со всего мира совместно с собственными проведенными исследованиями. Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 15.1 т

Как работает ICFraud?

Мониторинг осуществляется за счет собранных js-скриптом данных из пользовательского окружения.

Полученные данные частично обрабатываются скриптом и пересылаются на сервер для дальнейшего анализа. В случае выявления мошеннической активности формируется событие, информация о котором может быть получена либо по запросу через API предоставляемое системой ICFraud, либо средствами PUSH-уведомлений.

Поэтапно это выглядит следующим образом:

• Клиент начинает взаимодействовать с системой ДБО банка.
• На страницу клиента подгружается js-скрипт системы ICFraud.
• Происходит сбор необходимой информации на стороне клиента с последующим мониторингом. Полученная информация пересылается на сервер ICFraud.
• Сформированное платежное поручение обрабатывается антифрод-системой банка.
• Антифрод-система банка обращается к ICFraud, используя API, и получает информацию о подозрительной активности на стороне клиента. (Также имеется возможность настройки PUSH-уведомлений.)
• Используя полученную информацию, антифрод-система принимает окончательное решение, является ли данная операция клиентской или мошеннической.

Сразу стоит заметить, что никакая персональная информация о клиенте банка не собирается. ICFraud работает только с данными, которые js-скрипт получает из окружения пользователя. К таким данным, например, относятся: список плагинов, информация о временной зоне, дополнительная информация, позволяющая определять тип браузера по косвенным признакам.

Возможности системы ICFraud

Формирование уникального отпечатка пользователя Формирование уникального отпечатка окружения пользователя позволит отличать одно окружение от другого и собирать статистику по действиям для каждого из них. Также благодаря этому система может выполнять дополнительные аналитические проверки, оперативно выявлять изменения и «узнавать» «хорошее» и «плохое» клиентское окружение.

Выявление кражи cookie

Кража cookie, как правило, приводит к получению злоумышленником авторизованного доступа к онлайн-банкингу жертвы без знания логина и пароля. Способов получения cookie большое количество, но конечная цель одна и та же. ICFraud способен выявить, является ли текущая сессия «угнанной» или нет.

Выявление удаленного управления

Согласно статистике одним из излюбленных способов выполнения мошеннических действий на компьютерах жертв является удаленное подключение. Подобное подключение может быть осуществлено как под предлогом «помощи» доверчивой жертве в решении какой-либо проблемы, так и троянскими программами, включающими в свой арсенал средства удаленного управления. При подобной атаке в окружении пользователя не происходит значительных изменений, и может показаться, что действия совершаются самим клиентом. ICFraud способен выявлять подобные подключения и информировать об этом банк.

Выявление использования анонимайзеров

Использование анонимайзеров, как правило, может указывать на мошенническое намерение пользователя. При подобном поведении есть вероятность, что логин и пароль были получены злоумышленником, который старается скрыть свое настоящее местоположение. Это может также означать, что кто-то проводит разведку для дальнего выявления уязвимостей системы. Подобное поведение является подозрительным при работе с ДБО, и ICFraud способен выявлять такие подключения.

Выявление ботов

Как правило, боты используют как для автоматизации поиска уязвимостей, так и для подбора комбинаций логина и пароля. В любом случае работа бота с системой онлайн-банкинга недопустима.

Выявление внедрения постороннего кода в страницу клиента

Внедрение постороннего кода в страницу может быть как следствием успешной XSS атаки или инжекта кода в трафик, так и работой вируса на компьютере пользователя. Распространенным последствием внедрения подобной формы является отображение дополнительной формы для ввода персональных данных пользователя, в том числе логина и пароля. Также возможно добавление дополнительных тегов <script> или <iframe>, подгружающих дополнительный вредоносный код с серверов злоумышленников. Система способна обнаруживать подобные аномалии.

Выявление сторонних запросов со страницы пользователя

Такие запросы также могут свидетельствовать об успешно внедренном стороннем коде, который старается взаимодействовать с серверами злоумышленников для, например, передачи пользовательские данных или загрузки вредоносного кода.

Определение разного рода спуфинга

Зачастую, чтобы внешне быть похожим на реального пользователя, мошенники стараются выбрать и использовать то же программное обеспечение, что и у жертвы. Попытка подделать окружение пользователя может свидетельствовать о мошеннической или вирусной активности на стороне клиента, и система ICFraud осуществляет анализ на выявление подобных действий.