Рассмотрим на примере атаки Credential Stuffing. Это использование уже скомпрометированной учетной записи со стороннего ресурса для несанкционированного доступа к множеству личных кабинетов одного и того же пользователя. Бот написан таким образом, что по статическим параметрам выявить его довольно сложно, например, скрыты признаки использования headless-бразуеров (Selenium).

Задача данного бота - войти в личный кабинет пользователя и дальше убедиться в наличии бонусных баллов.

В Интерфейсе FHP мы видим сразу несколько алертов, по которым можно классифицировать данную активность, как бота:

1- Использование Hosting провайдера

2- Выявлено правило «Bot activity detected»

3- «Keystroke dynamics score» - поведенческий маркер, который говорит об аномалии в клавиатурном почерке.

Наиболее интересное правило - «Keystroke dynamics score». Благодаря ему, в рассматриваемой ситуации удалось обнаружить, что клавиатурный почерк при новой авторизации очень сильно изменился. Красная линия показывает, что скорость печати достигала 400 CPM(characters per minute) в пике, тогда как в обычных случаях значение было до 200 CPM.

Подобного рода аномалия может свидетельствовать о том, что учетная запись пользователя скомпрометирована.

Group-IB Fraud Hunting Platform в настоящее время анализирует каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении. Продукт создает уникальный цифровой отпечаток устройства активного пользователя, помогая выявлять подозрительную активность и блокирует мошеннические действия.

Новое решение Group-IB включает нескольких функциональных блоков. Web Snippet или Mobile SDK с момента загрузки первой страницы веб-ресурса или запуска мобильного приложения собирают и передают в серверную часть системы поведенческие характеристики пользователя и окружения, в котором исполняется мобильное или веб-приложение. Processing Hub системы Group-IB Fraud Hunting Platform в ответ на полученные данные каждый раз формирует новый серверный файл cookie с вердиктом о наличии признаков бот-активности. При запросе из мобильного или веб-приложения Mobile SDK или Web Snippet дополнительно формируют и передают клиентский файл cookiе на базе серверного.

Внедрение Web Snippet в страницы интернет-порталов и Mobile SDK в мобильные приложения банков, платежных систем, компаний электронной коммерции, государственных и коммерческих организаций позволяет собирать параметры используемых для доступа устройств конечных пользователей, наличие индикаторов компрометации, поведение юзера и другие неконфиденциальные данные для профилирования каждого сеанса его работы. Аккумулированные данные передаются в серверную часть Fraud Hunting Platform - Processing Hub, где они обрабатываются и коррелируются в режиме реального времени с использованием алгоритмов машинного обучения и правил выявления мошенничества.

Preventive Proxy проверяет наличие, корректность и уникальность файлов cookie на запросах с устройства пользователя, и на их основе принимает решение о наличии бот-активности.

Preventive Proxy является ключевым функциональным модулем нового решения и предназначен для выявления и блокирования вредоносных программ в режиме реального времени. Мы подробно рассказывали о нем в прошлом выпуске «Вестника»: https://portal.group-ib.net/preventiveproxy.

Group-IB Fraud Hunting Platform использует следующие технологии:

• Поведенческий анализ: Индивидуальный поведенческий профиль для каждого пользователя;
• Косвенная идентификация по поведению пользователя;
• Анализ схожести поведения пользователя с мошенником;
• Выявление аномалий в поведении пользователя.
• Анализ устройства:Индивидуальный профиль устройства;
• Стойкий цифровой отпечаток устройства (device fingerprinting);
• Выявление эмуляторов устройств, подмены параметров устройства;
• Анализ защищенности.
• Безагентское выявление зловредного кода:Выявление веб-инъекций;
• Выявление мобильных троянов сигнатурным и поведенческим способами;
• Выявление несанкционированного удаленного доступа.
• Анализ связей:Выявление кросс-канального и кросс-банковского мошенничества;
• Глобальная идентификация устройства;
• Построение связей между устройствами и учетными записями;
• Визуализация связей.
• Выявление и блокирование бот-активности:Выявление и блокирование прямого обращения к веб- и мобильному API;
• Выявление и блокирование интеллектуальных ботов;
• Маркирование и блокирование бота как на уровне сессии, так и отдельных запросов.
• Правила и модели выявления мошенничества:Гибкий язык конструктора правил;
• Индивидуальные правила и модели под заказчика;
• Возможность предоставления обратной связи для переобучения моделей.
• Интеграция с Group-IB Threat Intelligence:Индикаторы зловредного программного обеспечения;
• Скомпрометированные учетные записи;
• Скомпрометированные платежные карты;
• IP Intelligence: TOR, прокси, хостинги;
• Подложные и зловредные домены.

Fraud Hunting Platform позволяет решить следующие задачи:

Анализ связей между устройствами и пользователями

Новое решение Group-IB выявляет использование скомпрометированных устройств и учетных записей пользователей. Для каждого параметра, характеризующего взаимодействие юзера с защищаемым ресурсом, можно найти другие связанные параметры, зафиксированные платформой. На их основе, а также при исследовании связей можно обнаружить:

• доступ в приложение из одной учетной записи со многих устройств;
• доступ в приложение из многих учетных записей с одного устройства;
• использование украденных/скомпрометированных учетных записей
• связанные устройства, которые использовались для совершения мошеннических действий в других приложениях

Безагентное обнаружение вредоносных программ

Fraud Hunting Platform «ловит» банковские трояны (включая поддельные веб-страницы и мобильные приложения), фиксирует несанкционированный удаленный доступ, веб-инъекции (атаки «Человек-в-браузере»), кросс-канальные атаки, применение социальной инженерии, активность ботов, брутфорс, сбор личных данных. В решении Group-IB реализованы запатентованные алгоритмы, которые позволяют детектировать зараженные устройства без участия клиента и без установки дополнительного ПО.



Данные Group-IB Threat Intelligence

Fraud Hunting Platform позволяет обнаружить новейшие типы мошенничества, подготовку фишинга и других типов атак. В платформу интегрированы данные системы Group-IB Threat Intelligence, которая входит в число лучших по версии международных агентств IDC, Gartner и Forrester. Уникальная информация о киберпреступниках, вредоносных программах, IP-адресах злоумышленников и скомпрометированных данных (логины, пароли, банковские карты) обогащает антифрод-системы и команды кибербезопасности, позволяя выявить действия злоумышленников и установить их.



Глобальный профиль пользователя

Новое решение Group-IB выявляет мошенничество с открытием счета, отмывание средств, применение социальной инженерии. Сопоставляя обезличенную информацию из различных источников, Group-IB Fraud Hunting Platform создает глобальный профиль пользователя, охватывающий все онлайн-каналы. Понимание связей между юзерами, аккаунтами и устройствами позволяет с большей точностью отличить легитимных клиентов от мошенников, а сочетание Group-IB Fraud Hunting Platform с уникальными данными Threat Intelligence дает возможность выявить скрытые угрозы и подозрительные связи.



Кросс-канальная защита

Fraud Hunting Platform обнаруживает и блокирует кросс-канальные атаки, мошенничество с операциями без карты (CNP). Web Snippet и Mobile позволяют осуществлять корреляцию данных о поведении пользователя на его устройствах при работе через различные каналы взаимодействия с банком и выявлять широкий спектр кросс-канальных атак, в том числе атаки на сторонние платформы, наиболее уязвимые для мошенничества с операциями без карты, например интернет-магазины. Скрипт Group-IB Fraud Hunting Platform можно интегрировать в код страниц системы 3-D Secure для выявления обналичивания средств с украденных мошенником карт или использовании им поддельных сайтов для приема платежей.

Group-IB Fraud Hunting Platform позволяет сократить издержки, благодаря:

• Адаптивной аутентификация, ликвидация лишних проверок при входе
• Адаптивному подтверждение операций;
• Снижению затрат на СМС-рассылку и других средств двухфакторной аутентификации;
• Уменьшению количества звонков клиентам для подтверждения их операций;
• Ликвидации лишних шагов при аутентификации пользователя;
• Повышению лимитов при проведении операций.

Внедрение Group-IB Fraud Hunting Platform

Для работы защиты от ботов понадобится внедрить Web Snippet (для веб-портала) или Mobile SDK (для мобильного приложения) системы Group-IB Fraud Hunting Platform.

Preventive Proxy можно внедрить в инфраструктуру приложения или в облако Group-IB и настроить проксирование запросов через Preventive Proxy или модуль auth-request в NGINX.

Варианты поставки:

• Docker-контейнер
• Бинарный исполняемый файл
• Облако Group-IB

Обработка трафика возможна через:

• проксирование запросов через Preventive Proxy
• разметку с помощью auth-request в NGINX

Проксирование запросов через Preventive Proxy

Preventive Proxy можно интегрировать в инфраструктуру приложения в виде "петли" на балансировщике запросов. В этом случае Preventive Proxy будет получать от балансировщика пользовательские запросы полностью (заголовки и тело) и в ответ передавать вердикт обратно балансировщику.

Другой способ интеграции - "в разрыв" между балансировщиком запросов и бэкэндом приложения. Тогда вердикт Preventive Proxy будет обрабатываться на бэкэнде приложения. Для запросов на статический контент можно настроить фильтрацию и перенаправление на бэкэнд приложения. Для нагрузки в 20-30 тыс. запросов/сек (исключая статический контент) минимальные ресурсы сервера:

• CPU 4 ядра, 2 потока на каждое ядро
• RAM 8 Гб

Модель лицензирования Fraud Hunting Platform

• Защита порталов (веб и мобильные каналы) – количество уникальных пользователей в год
• P2P – лицензируется по количеству транзакций
• 3DS – лицензируется по количеству транзакций

Preventive Proxy – лицензируется по количеству сессий в месяц.

Варианты развертывания Fraud Hunting Platform:

А) Облачное решение - Гибкая и быстрая интеграция с облачной инфраструктурой в стране клиента (SaaS)

Б) Автономное решение FHP в инфраструктуре клиента (On-premise). и услугу по мониторингу осуществляет GIB (SecaaS);

В) Гибридное решение - Смешанная реализация в соответствии с индивидуальными требованиями клиента.
Например, модуль Preventive Proxy разворачивается в периметре у клиента, а Processing Hub в облаке Group-IB.

В режиме реального времени Group-IB Fraud Hunting Platform анализирует каждую сессию и поведение пользователя как на веб-ресурсе, так и в мобильном приложении. Основанная на поведенческом анализе и алгоритмах машинного обучения, система создает уникальный цифровой отпечаток устройств, «связывает» с ними пользователя и его аккаунты, что позволяет с большей точностью отличить его действия от действий мошенников, даже если те, к примеру, завладели его мобильным телефоном или платежными данными.

При этом единая информационная среда для всех продуктов Group-IB позволяет системе Fraud Hunting Platform использовать уникальные данные Threat Intelligence, что дает возможность выявлять скрытые угрозы и подозрительные связи, использовать эту информацию при расследовании, а также «охотиться» за злоумышленниками, выходя на причастных к инциденту лиц.

Fraud Hunting Platform способна работать в высоконагруженном режиме, обрабатывая десятки миллионов запросов к интернет-ресурсам и мобильным приложениям одновременно блокируя на них вредоносную активность. Новую систему можно назвать эволюционным развитием семейства продуктов Group-IB для защиты от онлайн-мошенничества: она высокопроизводительна, легка в интеграции и использует запатентованные технологии обнаружения атаки до ее реализации. Глобальная миссия Fraud Hunting Platform – охота не только за угрозами, но и за злоумышленниками, которые стоят за этими атаками.

Пользователям необходимо самостоятельно определиться с тем решением, которое им будет комфортно как с точки зрения технических возможностей, так и с точки зрения удобства, близости к тем задачам, которые приходится решать.