18 мая, 2018
Фичи невидимого фронта против плацебо.
В вещах меня всегда и в первую очередь интересует их сущность и функциональность. Мне безразлична упаковка, рекламные слоганы, статусность и прочая суррогатная мишура, которая заслоняет сущность продукта. «Шашечки» — второстепенное, главное – «ехать», причём ехать быстро, комфортно, оптимально, в рамках закона, морали и этики.
Бывает берёшь потестировать новый гламурный «антивирус нового поколения», а там под капотом фейковый артифишл интелидженс, краденый детект и дырявая защита. Одним словом, плацебо. А чтобы не стать жертвой развесистой маркетинговой клюквы нужно самому поднять капот и разобраться, как оно работает и работает ли вообще.
Разумеется, не каждый осилит техническую документацию, чтобы понять особенности киберзащиты. Случается, что разработчик и там умудряется вешать лапшу на уши. Нам же опасаться нечего, наоборот – мы годимся своими технологиями, открыто публикуем их подробности и считаем, что понять их может каждый. Поэтому 7 лет назад здесь в блоге появился специальный тэг для постов, где простым языком рассказывается о сложных технических фичах. Фичах, которые не видно «невооружённым глазом», но именно они и есть настоящая сущность киберзащиты.
Сегодня в прицеле рубрики – загадка: каким образом банки распознают взлом вашего банковского счёта?
Итак, вам поступает уведомление из банка: «с вашим счётом обнаружена подозрительная активность …». Вы вспоминаете свою траекторию передвижения и действия за последние дни — где и сколько снимали кэша, что покупали в онлайне и прочие операции.
Ага: (i) расплатился за такси в Калининграде (ii) снял рубли в банкомате аэропорта Храброво, (iii) купил вискарь минералку и салат в Шереметьево, (iv) не сдержался и купил жене подарок в дьютифри Дубая, а потом снова купил минералку и салат, (v) где-то в районе Индийского океана купил самолётный Интернет, (vi) снял сингапурские доллары в банкомате аэропорта Чанги, (vii) оплатил такси и отель в Сингапуре. А что – вполне себе вероятный день из жизни условного человека на линии «Калининград-Сингапур». Но, согласитесь, география и разнообразие операций может свидетельствовать и о криминальной схеме. Особенно, если ранее этот условный человек не был замечен в подобного рода прыжках во времени и пространстве.
Но как? Ведь у банка миллионы клиентов? Это ж сколько сотрудников надо, чтобы за всеми уследить?!
На самом деле в банке работает умная автоматизированная система (вроде Kaspersky Fraud Prevention, далее KFP) с технологией распознавания мошенничества. Давайте посмотрим, что у неё под капотом и как она защищает ваши деньги.
У каждого клиента банка есть модель поведения: математический граф, который содержит устройства (компьютеры, смартфоны, планшеты) и аккаунты пользователя, банковские сервисы (например, интернет-банкинг), а также правила взаимодействия между ними. Модель строится на основании накопленной информации о специфической активности клиента в Интернет и в мобильном банке. При этом, система не интересуется конкретными транзакциями, суммами, подробностями инвойсов и пр. – банковская тайна остаётся банковской тайной. Угрозы вычисляются исключительно на основании мета-данных и анализа обезличенных действий.
Такой подход позволяет автоматически вычислять множество вариантов кибер-мошенничества.
Например-1: гражданин Икс на домашнем компьютере работает с Интернет-банкингом. Для удостоверения транзакций у него есть выданный банком USB-токен. Но поскольку для защиты используется антивирус нового поколения с передовой системой искусственного интеллекта, на компьютер однажды проникает зловредный троян. С его помощью (а также с помощью забытого в USB-порте токена) кибер-негодяи начали незаметно перечислять налево деньги со счёта гражданина Икс. Банковская система быстро уловила аномальное отклонение от стандартных действий гражданина Икс, заблокировала операции и оповестила службу безопасности.
Панель управления системой банковского анти-фрода KFP
Действительно, любая активность, выходящая за пределы стандартной модели поведения пользователя расценивается как подозрительная. Более того, чем старше модель («стаж» клиента в данном банке), тем отклонения от модели имеют большую подозрительность. При достижении некоего порога подозрительности или обнаружении критического события система передает в банк информацию для последующего принятия банком решения: запрос клиенту на подтверждение операции, блокировка карты, привлечение эксперта к расследованию и т.д.
Например-2: гражданин Игрек из города Немухина имел неосторожность хранить логин-пароли доступа к Интернет-банку под магнитом на холодильнике. Неизвестным образом неизвестные злоумышленники считали эти параметры доступа и попытались получить доступ к счёту гражданина Игрек при помощи неизвестного мобильного устройства из города Мухина, находящегося за 3тыс.км от Немухина. Учитывая, что за 5 минут до инцидента гражданин Игрек перевёл своей бабушке 5тыс.руб. с IP-адреса своего немухинского провайдера, банковская система приняла решение о высокой вероятности мошенничества и заблокировала счёт.
Система принятия решений для защиты от банковского мошенничества
Логику системы защиты описывают правила взаимодействия между устройствами, аккаунтами пользователя и банковскими сервисами. Правила бывают предустановленные (созданные экспертами компании-разработчика на основании изучения кибермошеннических схем), облачные (создаваемые пользователями сервиса совместно в процессе эксплуатации системы), и настроенные банком в соответствии с уровнем параноидальности политикой безопасности.
Вот вкратце что происходит за кулисами системы, которая защищает ваш банковский счёт. Разумеется, у этой технологии много других технических особенностей, достойных не только отдельного патента, но и увесистой докторской диссертации. Но совсем не хочется ими перегружать мозг уважаемого читателя :) Но если остались вопросы – задавайте в камментах.
На самом деле знание технологий – это не только полезно для снимания лапши в эру плацебо и для приобретения продуктов, которые реально работают и работают лучше всех. Это ещё и чертовски любопытно!
Что делает каждый ребёнок с новой игрушкой? Правильно – он хочет посмотреть что внутри. Любопытство – часть природы человека. Никогда не поздно вернуться к началу координат, чтобы исправить ошибки и стать умнее, а оттого и сильнее.
До новых встреч под тэгом!