Изначально мошенник был обнаружен на мобильном устройстве. Он использовал мобильный троян для сбора логинов и паролей, реквизитов платежных карт и перехвата SMS-подтверждений от банка для проведения несанкционированных платежей. Анализ связей между учетными записями и используемыми ими устройствами позволил обнаружить мобильное устройство мошенника, которое изображено в центре и внизу рисунка в облаке учетных записей. Как вы можете видеть, только часть скомпрометированных учетных записей ранее работала через мобильное приложение. Другая существенная часть выявленных учетных записей ранее использовалась в интернет-банкинге. Позже выяснилось, что для их компрометации этот же мошенник применял методы социальной инженерии. Также идентифицировано и устройство мошенника, которое он использовал для доступа в интернет-банк жертв. Их группа выделяется в верхней левой части рисунка.
Мошенник стирал историю браузера после последовательного использования от 3 до 8 учетных записей, пытаясь замести следы своей работы. Но все устройства имели один и тот же цифровой отпечаток (вспоминаем уровень 1). Именно через это устройство мошенника были выявлены и другие жертвы. Более того, через этот анализ связей всплыл случай, когда мошенник, применяя методы социальной инженерии, «развел» жертву на получение экспресс-кредита с последующей кражей выданных кредитных средств.
На этом примере можно подвести следующие итоги:
- во-первых, кросс-канальный анализ попыток хищений с использованием мобильных троянов позволил выявить и предотвратить попытки хищений, которые никак не связаны со зловредным кодом, а совершаются с использованием социальной инженерии;
- во-вторых, он же помог построить полную картину работы мошенника и предупредить хищения у всей клиентской базы независимо от канала дистанционного банковского обслуживания;
- в-третьих, мы получили больше данных для дальнейшего расследования.
Именно поэтому, если сейчас банковских троянов под десктопные компьютеры или iOS крайне мало или они даже отсутствуют, необходимо протоколировать и коррелировать работу пользователей через эти каналы, так как это позволяет на порядок шире видеть общую картину работы пользователей и, как следствие, повышать эффективность противодействия мошенничеству.