Automatizace útoků a využití umělé inteligence k úrokům

Online fraud je důsledek kybernetických incidentů. V principu se vždy jedná o krádež identity, jíž je dosaženo jakýmkoliv způsobem, který je útočníky proveditelný – phishingem, sociálním inženýrstvím, finančním a mobilním malwarem, zcizením session atp. Zatímco v minulosti byly útoky prováděny většinou „manuálně“, rok 2016 prokázal efektivní používání automatizace útočných nástrojů a model jejich provozu prostřednictvím modelu FaaS (Fraud as a Service). Těžký automatizovaný útok zaznamenala v roce 2016 například britská Tesco Bank, kde útočníci během víkendu narušili přes 20 000 zákaznických online účtů a iniciovali transfer finančních prostředků z 9 000 online účtů ve výši 2,5 milionu liber (téměř 80 milionů Kč). Postižená banka musela dočasně uzavřít provoz online bankovnictví. S následky tohoto útoku se přitom bude ještě potýkat v budoucnosti, a to např. pravděpodobnými útoky na další online účty doposud nezasažené, tak i například prostřednictvím podvodných kampaní, ve kterých se útočníci budou vydávat za zaměstnance této banky a zdánlivě nabízet obětem pomoc. V skutečnosti budou mít samozřejmě políčeno na jejich peníze.

Trendy fraudulentních online útoků pro rok 2017 zahrnují vedle zmíněného modelu fraud as a service (ten umožňuje i netechnicky zdatným útočníkům provádět fraudulentní útoky) rovněž využití mobilního malwaru (infekce přes infikované odkazy či SMS, případně phishingem), sofistikované útoky na vícekanálovou architekturu a využití umělé inteligence útočníky. Útočníci mají po letech aktivity k dispozici velké datasety odcizených autentizačních, osobních a dalších údajů, které jim umožňují postupně erodovat identitu uživatelů až k jejímu částečnému či plnému převzetí jejich identity za účelem monetizace. V té je preferována krádež finančních prostředků a dalších digitálně směnitelných aktiv. Zbytkovou strategií pro získání peněz je pak ransomware, který bývá někdy distribuován jako součást finančního malwaru.

S lidským faktorem je třeba počítat a pracovat

Sami uživatelé často napomáhají útočníkům tím, že bez ohledu na varování zanedbávají digitální hygienu, rutinně porušují bezpečnostní předpisy a ignorují varování. Čest těm, kteří jsou výjimkou z tohoto pravidla a budou i nadále. Častým prohřeškem je tzv. komoditizace hesla – uživatel používá stále stejné heslo, a to se stává spíše něčím, co již útočník má (namísto toho, že nezná heslo). V delším období to pak vede k ohrožení přístupu a účtu klienta, protože čím déle je používáno stejné heslo či PIN, tím větší je pravděpodobnost, že jej získá i útočník. Jako bonus bude mít útočník dostatek času toto heslo či PIN zneužít, jelikož heslo či PIN nebudou v budoucnosti pravděpodobně také změněny.

Klienti online a digitálních organizací si přejí, a v rámci digitální strategie je potřeba jim zajistit, „co nejjednodušší a bezpečnou cestu za svými penězi a službami v online bankovnictví a i dalších poskytovaných digitálních službách“. Většina běžné populace by nejraději žádné heslo či jiný autentizační prostředek nepoužívala. Toto zajistit v praxi zatím není možné (už například kvůli legislativním požadavkům na vícefaktorovou autentizaci), avšak nabízí se způsob, jak dosáhnout dlouhodobě udržitelného řešení, které zvyšuje celkovou sílu autentizačního schématu a posiluje existující autentizační mechanismy, které časem erodují (technologicky, procesně, lidsky – neměněné heslo/PIN).

Využití behaviorálních faktorů pro posílení autentizačního mixu

Posílení autentizačního mixu o behaviorální faktory je možným způsobem, jak zvýšit kompozitní sílu bezpečnosti autentizačního schématu. V současné době se s úspěchem využívá posílení autentizačního mixu pomocí behaviorálního profilování uživatele u klientů onlinového bankovnictví.

Behaviorální charakteristika uživatele může být snadno využita v rámci vícefaktorové autentizace. Moderní řešení umožňují získávat dostatek dat bez nutnosti klientem si „něco“ instalovat ať již na PC, mobilní telefon či další chytré zařízení, které uživatel používá. Dalším způsob využití behaviorálního profilování je v oblasti nasazení Seamless autentizačního schématu jako součást Seamless User Experience, kdy lze klientovi za určitých podmínek a v rámci daného risk profilu „odpustit“ část bezpečnostních činností a prověrek, kterými nyní, jako uživatel online bankovnictví, musí procházet (jako je zadávání PINu, hesla, bezpečnostní SMS atp.). To je výhodné pro obě strany, jak online banku či finanční instituci, tak i pro klienta.

Ochrana autentizačního schématu vyžaduje vícekanálový přístup

Dostatečně silný mix autentizačních metod je základem pro úspěšnou prevenci online fraudulentních incidentů. Jako součást strategie prevence fraudu v online prostředí je potřeba provádět zejména dostatečně silnou ochranu autentizačního schématu, která je základní činností při prevenci kybernetických incidentů spojených zejména s krádeží identity.

Monitorování online aplikací, tedy použitých kanálů, autentizačních schémat a interakce uživatele v reálném čase a jejich vyhodnocování pomocí umělé inteligence je základem moderních přístupů prevence fraudu v online bankovnictví i dalších oblastech poskytování plateb a digitálních služeb a transakcí.

Na úrovni zařízení lze monitorovat jeho identitu (fingerprint), stav vybraných bezpečnostních a provozních parametrů zařízení, včetně indikace přímých hrozeb, jako je například projev činnosti finančního malwaru. Na úrovni sezení (session) je možno monitorovat atributy vycházející z IP adresy, geolokace, pohybu uživatele v aplikaci a jeho konkrétních aktivit.

Na úrovni uživatele lze monitorovat historii akcí uživatele, historii jím použitých zařízení, prohlížečů, vývoj jeho bezpečnostní situace. Současné moderní systémy pro behaviorální autentizaci na této úrovni monitorují detailní chování uživatele dle jeho interakce s aplikací, zařízením a obecně okolím.

Na úrovni transakce lze monitorovat jednotlivé transakce, provádět jejich skórování, aplikovat statická a dynamická pravidla a aplikovat filtry, jako např. blokace účtů využívaných pro praní špinavých peněz (money mule accounts).

Uvedený vícekanálový přístup nabývá na významu tím, že banky budou stále více umožňovat práci svých klientů prostřednictvím různých kanálů současně. Dílčí zranitelností na jednom z vícera kanálů využívaných klientem může být např. zneužití pro změnu parametrů na jiném kanále a ve finále umožnění exploitace uživatele na tomto kanálu.

Systémy založené na pravidlech jsou již překonány

V současnosti jsou již překonány systémy detekce fraudu založené na pravidlech, které nejsou schopny dostatečně rychle reagovat na sofistikovaný útok, resp. současnou vlnu několika útoků. Systémy postavené na pravidlech jsou většinou obsluhovány manuálně, což výrazně prodlužuje reakční dobu. Útočníci se také stále učí, jak lépe útočit a využívat nejmodernější technologii k dosažení svých cílů pomocí komplexnějších útoků. Do budoucna mají perspektivu systémy založené na strojovém učení (machine learning) a umělé inteligenci, které mají reakční dobu blízkou reálnému času při vysoké přesnosti detekce. Z pohledu reakce na online fraudulentní incidenty je nutné disponovat systémem, který umí kybernetické a fraudulentní incidenty detekovat, i pokud probíhají mezi různými kanály, rozložené i v čase. Pokud se na jednotlivé kanály používají separátní (siloed approach) systémy detekce, je provedení jejich integrace skutečnou výzvou, nejenom finanční.

Shrnutí

Využití systému detekce fraudu založeného na využití strojového učení, detekcích kybernetických (online) incidentů a obohacení autentizačního schématu o behaviorální profilování se jeví jako nezbytný krok směrem k bezpečnému digitálnímu bankovnictví a obecně k bezpečnému poskytování platebních a digitálních služeb moderní společnosti.

Jan Guzanič Autor článku zastává pozici VP of Business Cyber Security Strategy ve společnosti ThreatMark.