评论:IB组欺诈狩猎平台

当今的互联网忙得不可开交。许多不同的Web技术和服务被“融合在一起”,并帮助用户在慢跑时在线购物,观看最新电影或播放最新流行歌曲。

但是,这些(收费)服务也不断受到攻击者的威胁-无论规模多大,任何公司都无法完全幸免。以最近的Twitter妥协为例:攻击者 被劫持 许多有影响力的Twitter帐户,包括属于Joe Biden,Jeff Bezos,Apple和其他人的帐户,并使用这些帐户试图进行比特币骗局。攻击者 占便宜 在整个远程工作情况中,通过电话鱼叉式网络钓鱼攻击将目标对准了Twitter支持团队,并成功地窃取了VPN凭据,使他们能够访问公司的内部工具。

由于成功利用了诸如信用卡号,用户帐户凭据和身份验证令牌之类的被盗信息,公司如何保护其服务免受类似攻击以及身份接管?

在这篇评论中,我们将仔细研究由以下人员开发的欺诈狩猎平台(FHP) IB组,它可以帮助网络和移动服务所有者监视用户的使用情况并调查潜在的滥用行为。除了检测到服务的异常使用,Group-IB的FHP还允许服务所有者检测用户何时感染了可以执行“浏览器”攻击或更改页面的恶意软件,远程访问用户设备的事实以及自动化的功能。希望访问服务和虹吸数据(例如,电子商务应用程序中的产品价格)的漫游器。

测试方法

我们使用了预先配置的欺诈搜索平台测试实例,该实例监视了两个演示站点,这些演示站点要求用户创建一个帐户并登录以浏览产品,订购产品并发送付款。

我们尝试了反欺诈工具应该能够检测到的标准和非标准攻击策略和技术。这些包括:

  • 使用代理更改IP /位置。 VPN跳跃
  • 一些木马使用远程访问工具(Teamviewer,RDP,VPN)
  • 通过TOR出口节点进行访问
  • 仿真器和虚拟机的使用
  • 欺骗用户代理
  • 使用Selenium和脚本僵尸程序尝试暴力登录表单
  • 网页操作(JavaScript注入)
  • 移动访问测试

在经历了每个测试案例或一系列测试案例之后,我们根据以下标准评估了欺诈狩猎平台的有效性:

  • 是否检测到相关事件?
  • 它为事件分配了什么威胁级别?威胁级别是否与测试案例所代表的潜在风险相关?
  • FHP检测是否对威胁/欺诈分析师有帮助? FHP是否可以改善发现欺诈和潜在滥用的过程?
  • FHP Web界面的可用性和易用性

IB组欺诈狩猎平台

IB组欺诈狩猎平台是一个数字身份保护和欺诈预防系统,旨在保护最终用户免受各种类型的在线欺诈。

欺诈或漫游器活动检测基于指纹用户会话和身份(通过使用设备和网络相关信息)和用户行为模式(鼠标移动和点击,击键动态)来进行指纹识别,这意味着无需编写特定的规则来检测异常/欺诈行为。

FHP使服务所有者能够跨其资源或跨渠道分析(如果提供了所需的权限)对欺诈活动进行全局分析。这意味着他们在利用各种服务时可以跟随攻击者,这对于调查更大的事件可能很有用。

FHP可以检测到僵尸程序和其他攻击方式:恶意注入,利用远程访问工具的尝试,受感染的设备,SIM卡更换等。它可以检测对金融和电子商务站点,加密货币交易所,社交网络和其他在线服务的威胁。

FHP可以通过阻止请求身份验证令牌的恶意用户,同时尝试通过目标服务暴力破解帐户,从而为客户带来价值。如果服务所有者通过SMS传递身份验证令牌,则此类攻击可能会导致成本增加。其他用例包括检测利用盗用的支付卡数据或执行与用户声誉有关的欺诈活动的用户(例如,在电子商务网站上提高作为假卖家的声誉)。

该平台还使服务所有者可以更好地管理用户,防止锁定错误的帐户并更好地管理交易限制。根据IB组的统计,由于有更多数据和FHP判决,最多可以自动接受多达85%的需要进行额外分析的会话。 FHP对检测正在访问服务资源的受感染系统也很有用。–欧盟付款服务指令2(PSD2)。

IB组欺诈狩猎平台如何工作?

FHP的主要组件是客户端模块,处理中心,预防代理和分析Web界面。

服务所有者首先需要在客户端上嵌入轻量级数据收集脚本:

  • 网站中嵌入了一个简单的JavaScript代码段,以收集与用户的设备和浏览器设置以及应用程序中的用户行为有关的数据
  • 如果服务是独立的移动应用程序,则FHP提供一个移动SDK,该SDK执行用户操作和上下文数据的收集

移动SDK和代码段都对移动电话或计算机资源使用(网络流量,CPU / RAM使用)和应用程序功能的影响最小。

收集的数据由FHP处理中心发送和分析,该中心提取相关信息(会话和身份,用户操作)并检测使机器人具有指纹特征的异常行为。僵尸程序被预防性代理阻止。

可以通过方便的Web界面查看处理后的数据,该界面提供了所监视站点的清晰概览。该界面允许服务所有者执行以下操作:

  • 查看按风险分类的欺诈警报
  • 按身份,设备和会话浏览所有事件
  • 查看检测到并被阻止的机器人
  • 通过图形分析从更高层次调查事件
  • 搜索各个领域的事件,等等

FHP的模块化设计可实现与阻止漫游器相关的各种配置,但也可与公司用于监视财务交易的其他交易欺诈检测系统集成。目前,可以通过SAS,Bottomline(Intellinx),RSA事务监视和GBG与系统集成。

IB组欺诈狩猎平台

图1.欺诈搜寻平台–显示已记录事件的仪表板

FHP通过设备和会话跟踪受监视站点的访客。根据这些信息,它会创建用户的“身份”。它捕获可用于Web浏览器上下文的数据(平台规范,浏览器插件,鼠标和键盘移动,选项卡有效/无效),以及与网络有关的数据(用户代理,IP等)。

该数据将被分析并用于生成警报,以识别机器人和恶意事件。每个警报都标有0到100的分数(分数越高表示风险越高)。事件检测不是基于签名,而是通过机器学习算法来实现的,该算法对先前收集的数据和适当的情报源进行了训练。

IB组欺诈狩猎平台

图2.欺诈搜寻平台– mouse pattern

IB组欺诈狩猎平台

图3.在欺诈狩猎平台中检测到的会话和事件摘要

FHP不需要用户登录到受监视的站点即可“识别”他们。用户的身份基于用户的设备指纹,即他们访问网站的上下文。设备指纹是从各种数据点派生的:用户代理,操作系统,时区,使用的字体,浏览器插件,语言,支持的MIME类型,Canvas指纹,仿真器用法,cookie参数,媒体设备,DirectX和WebGL参数。

IB组欺诈狩猎平台

图4.显示击键动态的图表

如前所述,用户的行为是一个信号,也有助于确定用户的身份。行为分析基于用户的速度和导航,鼠标移动方式,键入节奏以及与表单字段的交互。

IB组欺诈狩猎平台

图5.会话详细信息显示了触发的警报。在此示例中,可疑访客在更改其设备和IP地址后使用多个帐户登录。 FHP还检测到登录是通过从剪贴板复制的密码执行的

FHP在访问受监视的站点时会检测到异常的用户事件,例如IP和位置更改,VPN / TOR使用,代理使用以及User-Agent和OS更改。 FHP还检测自动化技术,例如PhantomJS和Selenium,它们模仿用户行为和网页交互。

IB组欺诈狩猎平台

图6.检测RDP(远程桌面)会话

FHP可以检测到恶意注入和远程会话。攻击者或恶意软件可以将恶意JavaScript代码注入网站中,以更改其结构或启用“浏览器中的攻击”,其最终目的是窃取用户信息。在“ FHP脚本”部分中,服务所有者可以配置将哪个脚本视为危险脚本,将哪个脚本误判为假脚本(例如,如果他们使用更改站点结构的第三方服务)。

IB组欺诈狩猎平台

图7.检测JavaScript注入

有些攻击涉及使用远程访问工具,例如RDP,VNC,TeamViewer等。FHP可以检测到它们。

IB组欺诈狩猎平台

图8.可以对检测到的脚本注入进行审核并将其分类为良性,以防止误报检测

IB组欺诈狩猎平台

图9.使用移动SDK时,FHP可以检测到植根设备以及不安全的权限和设置

Mobile SDK还可以检测是否使用了远程访问工具,使用Accessibility Service的特洛伊木马(当前由EventBot,Ghimob,Gustoff等特洛伊木马使用)和覆盖。

预防性代理

FHP使用名为“预防性代理”的组件对检测到的机器人活动做出反应。预防性代理是基于策略的模块,用于检测流量类型并定义与特定漫游器检测相关的操作。它可以处理所有传入流量,也可以处理单个请求。

在分析了设备数据和用户行为之后,FHP可以检测到对应用程序API的特定请求是由漫游器生成的还是合法用户活动的结果。

根据FHP的裁决,预防代理可以实时:

  • 通过合法要求
  • 标记可疑请求
  • 阻止恶意机器人请求

IB组欺诈狩猎平台

图10. Bots部分包含与Preventive Proxy相关的检测

预防性代理作为阻止技术有用的一些方案是:

  • 以不道德的方式抓取和使用自动化工具(例如Selenium)来模仿用户
  • 暴力登录攻击
  • 凭证填充
  • 应用级DDoS
  • Cookie盗窃
  • 未经授权使用API

预防代理可以与为网站提供服务的负载均衡器紧密集成。两种实现方案是可能的:

  • 在第一种方法中,“预防性代理”用作顾问程序,该消息向负载均衡器发送有关应被阻止的机器人事件的消息(顾问程序模式)。这些事件在HTTP标头中传输,并且应将平衡器配置为根据这些事件进行操作。
  • 第二种情况是经典的嵌入式安装,其中,预防性代理充当真正的代理并阻止检测到的恶意流量。出于测试目的,可以将预防性代理设置为监视模式(以传播事件而不阻止流量)。

调查中

分析部分是Group-IB欺诈狩猎平台真正发挥作用的地方。 Web界面中的“调查”部分提供了基于图分析的有用的可视化功能。图形视图使调查人员可以更深入地挖掘潜在事件的详细信息,并在攻击受监视网站的多个威胁参与者之间建立联系。

调查部分允许服务所有者搜索和分析IP地址,设备和用户身份之间的连接。他们可以根据“欺诈”部分中的数据(例如IP地址,子网,身份,设备标识符或全局ID)构建图表,(我们将在下一部分中讨论该标识符)。

IB组欺诈狩猎平台

图11.调查–图形视图显示了互连的设备和从不同位置访问受监视站点的多个标识

“调查”部分提供了一个很好的摘要,用于检测不太明显的攻击模式,并涉及大量数据和相互依赖性。 “调查”视图在调查特定案件以及更快解决攻击者使用的各种技术时可能会很有用。例如,在攻击者使用窃取的信息来执行付款欺诈,访问私人数据或进行洗钱的情况下,他们试图通过旋转其原始IP地址来隐藏其踪迹,或者欺骗其访问详细信息。使用可用图形进行调查可以帮助欺诈分析人员发现这些模式,并减少检测事件和执行补救措施的时间。

IB组欺诈狩猎平台

图12.调查部分显示了用户触发的事件的摘要

全局ID

全局ID技术提供了在全球范围内分布的用户标识,因此,如果服务所有者监视不同的站点,则他们可以将访问所有受监视资源的已标识用户关联起来。

默认情况下,网络浏览器(Chrome,Mozilla Firefox)最近已停止存储第三方cookie。即使启用了此浏览器策略,全局ID技术也可以使用,并且无论用户如何限制,都可以识别用户。全局ID通常用于调查事件,它有助于在所有服务资源中使用的设备和事件之间建立链接。

全局ID不需要收集用户’个人信息,除了其识别号以外不会透露任何有关用户的信息,并且可以记录在不同的权限级别(全球,国家,地区和组织级别)上。这使得可以在使用相同级别的FHP用户之间交换全局ID,以便在具有先前已知全局ID的攻击者开始探查其服务时向其发出警报。

在不同的受保护资源之间交换的全局ID标识符可以帮助进行调查,以更大规模地分析欺诈活动(例如,在多个金融机构或分支机构参与洗钱或付款欺诈的情况下)。

IB组欺诈狩猎平台

图13.全局ID连接同一威胁参与者对不同资源的使用

最终的想法和结论

IB组欺诈狩猎平台是一种创新产品,可以很好地执行漫游器和欺诈检测。客户端的FHP集成非常简单。根据所选的实现类型(云或内部部署),后端集成可能会或多或少地变得困难。本地安装以及与其他系统的紧密集成可能需要更多时间和计划。在测试过程中,我们使用的演示网站上没有显示任何速度下降。

FHP不仅提供普通事件日志记录,还提供更多信息,因为它收集与检测欺诈活动有关的用户信号。从原始数据中提取的创新功能会触发警报,这些警报可以帮助消除您不知道的盲点。

它也可以在某些用例中与SIEM竞争,但是它不仅具有日志关联功能,而且更具专业性,并且可以更好地洞悉欺诈活动。换句话说,FHP将比SIEM更快地帮助您检测欺诈和恶意活动。

与流行的验证码相比,FHP的僵尸程序检测功能和由预防代理执行的阻止可以提供更好的阻止僵尸程序的机制。当检测到连续的漫游器请求时,预防性代理不需要任何监督,而验证码– when broken –使攻击者可以通过会话重用访问所有资源。

我们尝试刮试演示网站,但未成功。预防性代理将所有对我们的抓取请求的响应标记为“ 403禁止”。 FHP还利用Group-IB威胁情报数据库,因此可以在杀伤链的早期发现对服务的一些定向攻击。

我们喜欢使用该平台。由于它非常直观,优雅且精巧(默认为深色模式),因此无需进行任何培训。柔和的学习曲线意味着您可以让威胁和欺诈分析人员随时随地使用FHP,并就基本概念进行指导。 FHP不会为他们提供很多细节,但可以让他们根据他们的调查兴趣进行搜索。根据风险因素,需要采取其他措施的事件是可见的并以颜色突出显示。

我们最喜欢的部分是调查功能。该调查基于图(网络)分析,可以在分析访问模式时为分析师节省很多时间。它提供了事件的良好摘要以及调查的其他相关详细信息(例如地理位置,身份,设备信息等)。全局ID是一个很好的附加组件,它可以帮助在服务之间桥接各种访问模式,并可以帮助发现可能针对某个服务的特定攻击者组模式。

根据所进行的测试和调查功能,我们可以向那些正在寻求有关其Web服务或移动应用程序用户的更多见解的人或想要改善公司的欺诈检测流程。

分享这个