Руководитель направления по развитию продукта Group-IB Secure Bank
Специалисты Group-IB обнаружили новую волну мошенничества, направленного на пользователей приложений для мобильного банкинга. В мошеннической схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет подключиться постороннему лицу к смартфону жертвы. В течение полугода ежемесячно системой Group-IB Secure Bank, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн. рублей.
Согласно данным Group-IB Secure Bank, основной пик мошенничества с использованием мобильного приложения и программы TeamViewer для удаленного управления пришелся на весну: в апреле и мае в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, второй пик пришелся на июль. Основная опасность схемы с использованием программ типа TeamViewer заключается в том, что мошенники, осуществляя удаленное управление мобильным устройством клиента, могут совершить хищение денежных средств гораздо быстрее и в большем объеме. Достаточно лишь убедить клиента банка установить и настроить TeamViewer, после чего все операции можно осуществлять удаленно с устройства клиента.
Как работает мошенническая схема с использованием TeamViewer?
С незначительными отличиями мошеннический сценарий выглядит так:
1
Злоумышленник звонит от имени банка и традиционно сообщает клиенту, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета.
2
Службе безопасности банка якобы требуется его помощь: нужно решить техническую проблему для противодействия мошенничеству для чего необходимо срочно установить программу для удаленного управления смартфоном, чтобы получить доступ к устройству и обезопасить пользователя.
3
После установки такой программы, мошенник имеет возможность действовать от имени пользователя и, получив доступ к приложению для мобильному банкинга, выводит средства со счета.
В ходе звонка мошенники пытаются за короткое время создать максимально доверительные отношения с «жертвой». Ситуацию осложняет то, что мошенники могут звонить с банковских номеров, используя IP-телефонию, подменяя номер телефона через специальные программы, что работает как дополнительный фактор доверия. Могут сообщить историю транзакций, полную информацию о клиенте, например, где проживает (базы с такой информацией продаются на форумах в даркнете).
Отзывы о приложении TeamViewer из Google Play:
Почему транзакционного антифрода недостаточно?
Злоумышленник действует от имени и фактически «рукой» легального пользователя c его «типичного» устройства. Именно пользователь «наделяет» злоумышленника такими правами, санкционируя установку ПО для удаленного доступа на свой смартфон. При этом сама установка TeamViewer не может являться доказательством реализации мошеннической схемы. Единственный вариант обнаружить данную схему – фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии. Транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае не справляется и нуждается в дополнительной информации, которую можно получить посредством сессионного анализа.
Как работает сессионный анализ?
Метрики во время пользовательской сессии анализируются на сигнатурном уровне и с помощью поведенческого анализа. Наличие установленных на устройстве приложений удаленного доступа анализируется постоянно обновляемым списком сигнатур.
Поведенческий анализ, который составляет так называемый цифровой портрет пользователя, основывается на данных о скорости его действий в приложении, их последовательности, паттерну навигации в приложении и нажатиях на тачскрин. Сессионный анализ позволяет выявлять мошеннические действия еще до того, как свою работу начнут традиционные системы банковской защиты, опирающиеся по большей части на транзакционный анализ.
Как Group-IB Secure Bank помогает детектировать новый вид мошенничества?
По последним данным, количество приложений удаленного доступа для системы Android, на которую по всему миру приходится более 75% процентов пользователей, превышает 140. Group-IB Secure Bank позволяет детектировать появление ПО для удаленного управления на устройстве пользователя сразу после перехода клиентского устройства на защищаемый веб-ресурс или при запуске мобильного приложения. Дополнительно Secure Bank так же умеет выявлять, что это ПО используется, а не просто установлено на устройстве. Это существенно повышает совокупную точность выявления мошенничества.
Но этого не всегда достаточно. Например, на iOS нельзя явно понять, стоит ПО удаленного доступа или нет. Есть и другие нюансы, поэтому нужны дополнительные факторы, которые будут подтверждать совершение мошенничества. И вот тут на помощь приходит поведенческая аналитика.
В Secure Bank реализованы алгоритмы составления и анализа поведенческого профиля мошенника и индивидуальных профилей пользователей. Они строятся на следующих данных:
что пользователь делает в приложении - какие разделы посещает, их последовательность, какие нажимает кнопки и т.д.;
как пользователь совершает эти действия, как водит курсором мышки или кликает на устройстве (так называемый курсорный почерк), как быстро печатает, какие использует служебные комбинации клавиш.
Когда пользователь в своем банковском приложении вводит какие-то данные, все это логируется Secure Bank. При этом Secure Bank не собирает информацию о том, какие данные ввел пользователь, только мета-информацию о том, как он это делал.
На рисунке ниже можно увидеть информацию о том, какие вкладки открывал пользователь, какие элементы интерфейса он кликал и в какое время. Все эти данные создают некий сценарий пользовательского поведения в приложении.
Схожесть сценария работы пользователя со сценарием работы мошенника и аномальность его поведения относительно ранее накопленного поведенческого профиля пользователя являются дополнительными признаками совершения мошенничества.
Эти поведенческие данные и признаки наличия и использования ПО удаленного доступа отправляются через API реального времени в транзакционную антифрод-систему банка, где они учитываются при принятии решения о легитимности транзакции.
Только в одном из банков с помощью Group-IB Secure Bank удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 млн рублей за 2 месяца.
Рекомендации пользователям:
Если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета – кладите трубку, независимо от того, с какого номера поступил звонок.
Для проверки информации – перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.
Не давайте никому (в том числе сотрудникам банка) удаленный доступ к своему устройству и не сообщайте одноразовые пароли.
Group-IB Secure Bank
Group-IB Secure Bank– система проактивного обнаружения банковского мошенничества на всех устройствах клиента в режиме реального времени. Secure Bank успешно защищает более 70 миллионов клиентов крупнейших банков и онлайн-порталов в мире. Эффективность продукта Group-IB достигается за счет применения «умной» поведенческой аналитики, выявления аномалий, ежедневных обновлений правил и сигнатур на основе данных системы мониторинга и прогнозирования киберугроз Group-IB Threat Intelligence, аналитики Лаборатории компьютерной криминалистики Group-IB и исследований вредоносного кода. Этот комплексный подход позволяет банкам и eCommerce-организациям повысить уровень защиты пользователей, одновременно помогая соблюдать требования законодательства по защите средств физических и юридических лиц от мошенников. Gartner, одна из ведущих мировых исследовательских и консалтинговых компаний, включила решение Group-IB Secure Bank/Secure Portal в отчет Market Guide for Online Fraud Detection 2019, присвоив Group-IB статус надежного поставщика в категории «Решения по выявлению онлайн-мошенничества».