点评:Group-IB欺诈狩猎平台

今天的互联网是一个忙碌的地方。许多不同的Web技术和服务是“粘在一起”,帮助用户在线购物,观看最新的电影,或在慢跑时划分最新的击中。

但是这些(已付)的服务也因攻击者而不断威胁 - 无论多大,都是完全免疫的。以最近的Twitter妥协为例:攻击者 劫持 一些有影响力的推特账户,包括那些属于乔贝登,杰夫贝斯,苹果和其他人的人,并用它们试图拉出比特币诈骗。攻击者 占便宜 在整个遥控器件中,通过电话矛网络钓鱼攻击针对Twitter支持团队,并成功验证了VPN凭据,使他们能够访问该公司的内部工具。

如何保护他们的服务免受类似攻击的保护,以及由于诸如信用卡号,用户帐户凭据和身份验证令牌等被盗信息而导致的身份收纳?

在这篇综述中,我们将仔细研究由此开发的欺诈狩猎平台(FHP) Group-IB.,这有助于网络和移动服务所有者监控用户的使用情况并调查潜在的滥用。除了检测服务的异常使用时,Group-IB的FHP允许服务所有者检测用户何时被恶意软件感染,可以执行浏览器攻击或更改页面,远程访问用户设备的事实以及自动访问BOTS希望访问服务和SIPHON数据(例如,电子商务应用程序中的产品价格)。

测试方法

我们使用了一个欺诈狩猎平台的预先配置的测试实例,该平台监控了两个演示网站,要求用户创建帐户并登录以浏览产品,订购并发送付款。

我们尝试了防欺诈工具应该能够检测到的标准和非标准攻击策略和技术。那些包括:

  • 使用代理更改IP /位置。 VPN跳跃
  • 使用一些特洛伊木马的远程访问工具(TeamViewer,RDP,VPN)的使用
  • 通过TOR出口节点访问
  • 使用仿真器和虚拟机
  • 用户代理的欺骗
  • 使用硒和脚本的机器人试图蛮力登录表格
  • 操纵网页(JavaScript注射)
  • 移动访问测试

经过这些测试用例或一系列的每个测试案例或,我们根据以下标准评估欺诈狩猎平台的有效性:

  • 它检测到相关活动吗?
  • 它将其分配给活动是什么威胁级别?威胁水平与测试用例所代表的潜在风险有关吗?
  • FHP检测有助于威胁/欺诈分析师吗? FHP是否可以改善检测欺诈和潜在滥用的过程?
  • 可用性和易用性FHP Web界面

Group-IB.欺诈狩猎平台

Group-IB.欺诈狩猎平台是一种数字身份保护和欺诈预防系统,旨在保护来自各种类型的在线欺诈的最终用户。

欺诈或机器人活动检测是基于指纹用户会话和标识(通过使用设备和网络相关信息)和用户行为模式(鼠标移动和点击,击键动态),这意味着不需要编写检测的特定规则异常/欺诈行为。

FHP使服务所有者能够在其资源或跨通道分析中执行欺诈活动的全球分析(如果提供所需的权限)。这意味着他们可以追随攻击者,因为他们正在利用各种服务,这可能对调查更大的事件有用。

FHP可以检测机器人和其他攻击模式:恶意注入,试图利用远程访问工具,受损设备,SIM卡更改等。它可以检测对金融和电子商务网站,加密货币交换,社交网络和其他在线服务的威胁。

FHP可以通过阻止请求身份验证令牌的恶意用户来为客户提供价值,同时尝试使用目标服务的强力帐户。如果服务所有者通过SMS提供身份验证令牌,则此类攻击可能会提高成本。其他用例包括检测利用被盗支付卡数据或执行与用户声誉相关的欺诈活动的用户(例如,在电子商务站点上推动声誉的欺诈活动)。

该平台还使服务主能够更好地管理用户用户,防止锁定错误的帐户,并更好地管理事务限制。根据Group-IB统计数据,由于额外的数据和FHP判决,可自动接受高达85%的会话额外分析。 FHP对检测正在访问服务资源的受损系统也很有用–欧盟支付服务指令2要求的能力2(PSD2)。

Group-IB.欺诈狩猎平台如何工作?

FHP的主要组成部分是客户端模块,处理集线器,预防性代理和分析Web界面。

服务所有者首先需要在客户端嵌入轻量级数据收集脚本:

  • 简单的JavaScript代码片段嵌入到网站中,以收集与用户设备和浏览器设置相关的数据以及应用程序中的用户的行为
  • 如果服务是独立移动应用程序的情况下,FHP提供了一种执行用户操作和上下文数据集合的移动SDK

移动SDK和代码片段都对移动电话或计算机资源使用(网络流量,CPU / RAM使用)和应用程序功能具有最小的影响。

由FHP处理集线器发送和分析所收集的数据,其提取相关信息(会话和标识,用户操作)并检测启用机器人指纹的异常行为。机器人被预防性代理阻止。

可以通过方便的Web界面查看处理的数据,该界面提供了监视站点的清晰概述。该接口允许服务所有者:

  • 查看风险分类的欺诈警报
  • 通过身份,设备和会话枢彻
  • 请参阅检测到和阻塞机器人
  • 使用图分析调查从更高级别的事件
  • 搜索各种字段的活动,以及更多

FHP的模块化设计使各种与阻塞机器人相关的配置,但它还能够与公司用于监控金融交易的其他事务欺诈检测系统集成。目前,可以使用SAS,下线(IntellinX),RSA事务监控和GBG与系统集成。

Group-IB.欺诈狩猎平台

图1.欺诈狩猎平台–显示录制事件的仪表板

FHP通过其设备和会话跟踪受监控网站的访问者。根据该信息,它创建了用户的“身份”。它捕获了Web浏览器上下文(平台规范,浏览器插件,鼠标和键盘移动,选项卡活动/非活动)的数据,也捕获了网络相关数据(用户 - 代理,IP等)。

分析此数据并用于生成识别机器人和恶意事件的警报。每个警报都标记为0到100的分数(较高的分数代表更高的风险)。事件检测不是基于签名 - 通过在先前收集的数据和适当的智能馈送上培训的机器学习算法来实现。

Group-IB.欺诈狩猎平台

图2.欺诈狩猎平台– mouse pattern

Group-IB.欺诈狩猎平台

图3.欺诈狩猎平台中检测到的会话和事件摘要

FHP不需要用户登录受监控站点以“识别”它们。用户的身份基于用户的设备指纹,即它们在其访问该站点的上下文。设备指纹源自各种数据点:用户代理,操作系统,时区,使用中的字体,浏览器插件,语言,MIME类型支持,Canvas指纹,模拟器使用,Cookie参数,媒体设备,DirectX和WebGL参数。

Group-IB.欺诈狩猎平台

图4.图显示了击键动态的图

如前所述,用户的行为是一个信号,也有助于确定用户的身份。行为分析基于用户的速度和导航,鼠标移动模式,键入Cadence和与表单字段的交互。

Group-IB.欺诈狩猎平台

图5.会话详细信息显示触发的警报。在此示例中,在更改设备和IP地址后,可疑访问者使用多个帐户登录。 FHP还检测到登录由从剪贴板复制的密码执行

FHP检测异常用户事件(如IP和位置)更改,使用VPN / TOR,代理使用以及用户代理和OS在访问受监视站点时的更改。 FHP还检测幻灯化技术,如Phantomjs和Selenium,模拟用户行为和网页交互。

Group-IB.欺诈狩猎平台

图6.检测RDP(远程桌面)会话

FHP可以检测恶意注射和远程会话。攻击者或恶意软件可以将恶意JavaScript代码注入一个网站以改变其结构或启用浏览器攻击,具有窃取用户信息的最终目的。在FHP脚本部分中,服务所有者可以配置哪个脚本将被视为危险,并且作为假阳性(例如,如果它们使用改变其网站结构的第三方服务)。

Group-IB.欺诈狩猎平台

图7.检测JavaScript注入

一些攻击涉及使用RDP,VNC,TeamViewer等远程访问工具等。FHP可以检测到它们。

Group-IB.欺诈狩猎平台

图8.检测到的脚本注入可以审核并归类为良性以防止误报检测

Group-IB.欺诈狩猎平台

图9.使用移动SDK时,FHP可以检测rooted设备和不安全的权限和设置

移动SDK还可以检测使用远程访问工具,使用辅助性服务的特洛伊木马(目前由此类特洛伊木马作为EventBot,Ghimob,Gustoff)和叠加。

预防性代理

FHP使用名为预防性代理的组件来对检测到的机器人活动作出反应。预防性代理是基于策略的模块,用于检测流量类型并定义与特定机器人检测相关的动作。它要么适用于所有传入流量或单个请求。

在分析设备数据和用户行为之后,FHP可以检测对应用API的特定请求是否由BOT生成,或者是合法用户活动的结果。

根据FHP的判决,预防性代理可以实时地:

  • 通过合法要求
  • 标记可疑请求
  • 阻止恶意机BOT请求

Group-IB.欺诈狩猎平台

图10.机器人部分包含与预防性代理有关的检测

预防性代理作为阻塞技术有用的一些情景是:

  • 不道德的刮擦和使用自动化工具(例如,硒)以模仿用户
  • 蛮力登录攻击
  • 凭证填充
  • 应用级DDOS
  • 饼干盗窃
  • 未经授权的API使用

预防性代理可以与服务提供网站的负载均衡器密切集成。两个实现方案是可能的:

  • 首先,预防性代理用作消息在应该被阻止的机器人事件上的负载均衡器(Advisor模式)的顾问。事件在HTTP标头中传输,均衡器应配置为根据这些事件进行操作。
  • 第二种情况是一个经典的内联安装,其中预防性代理作为实际代理和块检测到恶意流量。出于测试目的,可以在监视模式下设置预防性代理(以传播事件而不是阻止流量)。

调查

分析部分是Group-IB欺诈狩猎平台真正闪耀的地方。 Web界面中的调查部分基于图形分析提供有用的可视化功能。图形视图允许调查器更深入地挖掘潜在事件的细节,并在攻击被监视的网站的多个威胁演员之间连接点。

调查部分允许服务所有者在IP地址,设备和用户身份之间搜索和分析连接。它们可以根据可以在欺诈部分中找到的数据构建图形,例如IP地址,子网,身份,设备标识符或全局ID(我们将在下一节中讨论此标识符)。

Group-IB.欺诈狩猎平台

图11.调查–图表视图显示了从不同位置访问受监视站点的互连设备和多个身份

调查部分提供了一种良好的摘要,用于检测不太明显的攻击模式,涉及大量数据和相互依赖性。调查观点可以在调查特定情况的同时是有益的,并更快地解决攻击者使用的各种技术。例如,在攻击者使用被盗信息来执行付款欺诈,访问私人数据或执行洗钱时,他们尝试通过旋转原始IP地址或欺骗其访问详细信息来隐藏其迹线。使用可用图的调查可以帮助欺诈分析师发现这些模式并减少检测事件的时间并执行修复操作。

Group-IB.欺诈狩猎平台

图12.调查部分揭示了用户触发的事件摘要

全球ID

全球ID技术提供全局分布式用户标识,因此如果服务所有者监控不同的站点,它们可以关联识别的用户访问所有受监视的资源。

Web浏览器(Chrome,Mozilla Firefox)最近停止默认停止存储第三方cookie。即使启用此浏览器策略,全局ID技术也可以使用,并且无论限制如何,都允许用户才能识别。全局ID通常用于事件的调查,它有助于在所有服务资源中建立使用的设备和事件之间的链接。

全局ID不需要收集用户’个人信息,并没有向用户披露任何内容,除了其识别号码,可以记录在不同的权限级别(全球,国家,区域和组织级别)上。这使得全局ID能够在使用相同级别的FHP用户之间交换,因此当具有先前已知的全局ID的攻击者开始探测其服务时,它们将被警告。

跨不同的保护资源交换的全球ID标识符可以帮助调查分析更大规模的欺诈活动(例如,当多个金融机构或分支机构参与洗钱或支付欺诈的情况下)。

Group-IB.欺诈狩猎平台

图13.全局ID通过相同的威胁演员连接使用不同的资源

决赛和判决

Group-IB.欺诈狩猎平台是一种创新产品,可以良好地执行机器人和欺诈检测。客户端的FHP集成非常简单。取决于所选择的实现类型(云或内部部门),后端集成可能或多或少困难。安装内部安装和与其他系统的紧密集成可能需要更多的时间和规划。在测试期间,我们在我们使用的演示网站上没有注意到。

FHP提供的信息多于普通事件日志记录,因为它收集了对检测欺诈活动相关的用户信号。从原始数据触发警报中提取的创新功能可以帮助清除您未知的盲点。

它还可以在一些用例中与SIEM竞争,但它更专业,并更好地了解欺诈活动,而不是执行日志相关性。换句话说,FHP将帮助您将欺诈和恶意活动更快地检测到您的SIEM。

FHP的机器人检测能力和由预防性代理执行的阻塞可以提供比流行的CACTCHA的机器人更好的机制。在检测到时,预防性代理不需要对连续的机器人请求阻止连续的机器人请求– when broken –启用攻击者通过会话重用访问所有资源。

我们尝试刮掉演示网站,无成功。预防性代理标志着我们的刮刀请求的所有响应为“403禁止”。 FHP还利用Group-IB威胁情报数据库,因此可以在杀戮链中提前发现对服务的一些有针对性的攻击。

我们喜欢使用平台。不需要先前的培训,因为它非常直观,优雅和光滑(默认情况下也有黑暗模式)。一个温和的学习曲线意味着您可以在几分钟内船上威胁和欺诈分析师在几分钟内使用FHP,仅在必要的概念上指示它们。 FHP不会用很多细节压倒他们,但是要使他们根据他们的调查兴趣枢转他们的搜索能力。需要额外行动的事件是可见的,并根据风险因素而强调颜色。

我们最喜欢的部分是调查能力。调查基于图表(网络)分析,可以在分析访问模式的同时保存分析师。它提供了对调查的事件和其他相关细节的良好摘要(例如,地理位置,身份,设备信息等)。全局ID是一个很好的附加版,有助于在服务之间桥接各种访问模式,可以帮助发现可能针对一个人服务的特定攻击者组模式。

根据进行的测试和调查能力,我们可以向那些正在寻找更多关于他们的Web服务用户或移动应用程序的人或想要的人来推荐欺诈狩猎平台改善公司欺诈检测过程。

分享这个