El software inteligente que protege a bancos y consumidores de los más sofisticados ataques informáticos La Solución Antifraude para la Banca Online Zane Ryan Dot Force Tel Web:

Agenda 2 Problemática actual del fraude en la banca electrónica Retos para atajarlo Solución de prevención del fraude a través de operaciones bancarias Online Beneficios

El fraude Online es una realidad 3 Es muy rentable robar dinero por medios electrónicos Los titulares reducen la confianza del público

Las técnicas de fraude 4 Acceso ilícito a cuentas corrientes Online a través de: –El robo de credenciales del usuario –Phishing –Web-in-the-Middle (troyanos) Transferencias de dinero –Desplazar el dinero a través de una cadena de cuentas que actúan como tapadera hasta la cuenta final en bancos extranjeros (a menudo a través de la contratación en línea de las cuentas corrientes). –Conseguir múltiples núm. de teléfono para utilizarlos y recaudar dinero a través de llamadas a líneas de alta facturación (tipo Premium). –Recarga de tarjetas de prepago y su uso inmediato para la compra de bienes de fácil adquisición (joyas, aparatos electrónicos, etc.).

5 Transmiten nombres de usuario, contraseñas y certificados de firma digital, capturas de pantalla y de teclado Los Antivirus no suelen detectarlos La variante más difundida actúa en modo de espera hasta que el usuario se conecta a una de las URL que figuran en el troyano El troyano capta los datos confidenciales y los envía a un destino pirata Troyanos Bancarios

Web-in-the-middle 6 Trojan.silentbanker y sus variantes afectan a usuarios de los servicios de la banca Online sin que lo sepan Interceptan la información de la cuenta del cliente, antes de que esta se codifique, enviándola a una base de datos de ataque centralizada Durante la operación bancaria, Silentbanker sustituye la cuenta del usuario por la cuenta del Hacker, mientras el usuario sigue pensando que se trata de una transacción bancaria normal Ya que el usuario no sospecha que sus datos están siendo interceptados, envía dinero a la cuenta del Hacker tras haber pasado por el sistema de autenticación de la transacción

Contramedidas limitadas 7 La banca no dispone de medios específicos para contrarrestar infecciones que afectan al PC del cliente Sólo en algún caso el banco percibe, a nivel de archivos de registro, la presencia de Malware en el ordenador de su cliente, p. ej. cuando el troyano cambia la página para solicitar información de algún campo POST al servidor Web, lo que no ocurre en operaciones "limpias". Es complicado decidir qué medida tomar: –Advertir al cliente: existe el riesgo de que esto sea percibido como una lesión a su intimidad. Podría pensar que el banco, para poder facilitar esta información, se introduce en su PC –Controlar manualmente la cuenta en cuestión para destacar un posible fraude

Estimación del riesgo 8 A raíz de un análisis de archivos de registro de nuestros clientes bancarios que llevamos a cabo en el 2008 en Italia, calculamos que: –Aproximadamente el 0,5% de los usuarios están infectados con Trojan.Silentbanker –El 0,5% de las transacciones pueden ser potencialmente fraudulentas –Un 0,5% restante está afectado por otros troyanos que modifican el acceso a las páginas Ampliando la evaluación a la escena nacional podemos calcular que: –El número de cuentas bancarias en línea en Italia es alrededor de 10 millones, lo que da lugar a posibles infectados –El fraude se realiza normalmente mediante tres o más transferencias de cantidades que oscilan entre los y –El volumen de negocio con este tipo de fraude asciende a

RAKE – Previene el fraude Online 9 Rake detecta el comportamiento anómalo de los usuarios mediante una metodología de clustering (agrupación) y clasificación propia del Data Mining (minería de datos), parecido a las programas de detección de fraude utilizados por los principales gestores de tarjetas de crédito: –Monitorización automática de cuentas corrientes y señalización de todos los movimientos irregulares en base a los procesos de Data Mining –Dirigidos a la identificación del perfil de comportamiento de cada usuario –Clustering automatizado del comportamiento de los usuarios: permite identificar y reconocer los patrones que se desvían del modo usual de operar –Análisis histórico de los parámetros típicos de los usuarios para disminuir la presencia de falsos positivos aumentando la eficacia del instrumento en sí Esta metodología es exitosa aun con nuevos tipos de fraude ya que se basa en el análisis del comportamiento y no en el conocimiento del procedimiento mediante el que se lleva a cabo la estafa

10 Detección de anomalías Desviaciones de comportamiento a través de la agrupación de operaciones Anomalía Agrupación de comportamientos normales

Clustering – La agrupación del comportamiento de las transacciones de los usuarios Fase di raccolta dati El sistema está configurado para cargar y mantener un número de transacciones que garantice una base estadística que valide las operaciones de clasificación y agrupación Recogida de datos Procesos de agrupación Los Clusters se calculan utilizando los movimientos relativos a los últimos 6 meses para englobar sólo los hábitos más recientes Utilizando estos movimientos, los clusters estadísticos son examinados con el algoritmo EM (Expectation Maximization) después de excluir los valores atípicos (eventos no vinculados a los grupos) con otros algoritmos de clustering (Óptics LOF o DENCLUE) El proceso de clustering se realiza a diario, después de obtener y procesar los logs (registros) y los resultados se guardan en una segunda base de datos para mejorar y perfeccionar el rendimiento del sistema Los resultados del clustering se incluyen en una base de datos para facilitar las comparaciones entre las nuevas peticiones y los clusters pre- calculados del nuevo grupo para dar una valoración a las transacciones 11

Identificación de patrones 12 Mecanismos de identificación de patrones para determinar la sucesión de eventos en el pasado que han dado lugar a fraude –Es posible importar las operaciones de los últimos seis meses de los clientes de la banca Online al programa para crear un historial de comportamiento y que RAKE pueda detectar anomalías desde su instalación. –También se pueden integrar los casos conocidos de fraude dentro de la base de datos como eventos anómalos para mejorar la exactitud de la detección. Mecanismos de geo-IP que registran cualquier cambio brusco de ubicación del usuario al acceder a la Banca por Internet –Esta función se integra con el análisis de destinatarios (y con los agentes de usuario) para seleccionar los falsos positivos –El sistema permite la comparación de la dirección IP del usuario con un lista negra que contiene direcciones utilizadas por los servicios de anonimización (lista que se va actualizando con nuevos Anonymisers)

13 Las listas y los Anonymizers Mecanismos de búsqueda de los Anonymizers para identificar las operaciones derivadas de los servicios de enmascaramiento de direcciones IP –RAKE recoge las direcciones IP de los principales servicios de Anonimización, como TOR, actualizándose diariamente. Esto permite el análisis del origen de múltiples transacciones desde dichos servicios para bloquearlas o añadirlas a las listas negras Listas Blancas y Listas Negras para permitir la gestión separada (independiente) de ciertas cuentas corrientes si fuese necesario –RAKE permite la inclusión de cuentas nominadas en la lista blanca, para excluirlas de cualquier chequeo, mientras permite, al mismo tiempo, la adición a la lista negra de datos bancarios, números de teléfono, o números de tarjetas recargables sospechosas

Tres técnicas de clustering para maximizar la exactitud del análisis Cluster EM (Expectation Maximization) Cluster EM (Expectation Maximization) Cluster 2D-GridClustering OPTICS Local Outlier Detection OPTICS Local Outlier Detection Evaluación geométrica de la distancia de las agrupaciones existentes utilizando una de dos dimensiones GridClustering algoritmos. Una vez más, esta evaluación se hace sin un cálculo de la agrupación. Cálculo de las desviaciones desde las agrupaciones con OPTICS para determinar si los eventos individuales entran dentro de la agrupación o si se puede identificar como un Outlier (fuera del umbral). La aplicación de tres diferentes técnicas facilita la definición de los procedimientos para alertar las anomalías y contactar con el cliente para verificar la transacción 14 Se evalúa si las operaciones encajan dentro de las distribuciones normales clasificadas por el E.M. Clustering. Esta evaluación se realiza sin ningún tipo de reevaluación de los Clusters.

Modos de configuración de la aplicación RAKE 15 Modo de Aplicación Online –RAKE se relaciona directamente con la aplicación de la banca electrónica. –Recibe todos los datos de la transacción y devuelve una valoración de 0 (operación limpia) a 10 (operación con una alta probabilidad de ser fraudulenta) –La aplicación bancaria puede realizar una petición adicional al cliente para verificar la autenticidad de la operación o enviar un SMS para su confirmación Modo de Aplicación Off-Line –Se evalúan diariamente las operaciones y se presenta un informe con todos los eventos sospechosos registrados –Se pueden remitir estos informes al departamento pertinente para contactar con el cliente y verificar la autenticidad de las transacciones.

Instalación y configuración de RAKE 16 RAKE se basa en tres módulos: –El clustering que tiene en cuenta el historial de cada cuenta con la lista de los beneficiarios, el "user-agent" y las Direcciones IP de sus proveedores habituales de Internet –La base de datos que, además de mantener los movimientos y agrupaciones, a través de procedimientos almacenados produce informes diarios de sospecha de fraude –El client que marca en tiempo real el grado de integridad de cada operación Los tres módulos se pueden instalar en una sola máquina o dividirse en diferentes máquinas para perfeccionar el rendimiento de la aplicación El componente client puede ser replicado e integrado con balanceadores de carga El módulo Base de Datos es ejecutable tanto en MySQL y Oracle 11g y se puede integrar con las bases de datos ya existentes de la entidad

17 Administración RAKE es fácilmente manejable a través de interfaz Web Los informes se visualizan a través de Web o se descargan en formato CSV o XLS A petición del cliente se pueden mostrar los informes a través de un servicio Web Se muestran a continuación un par capturas de pantalla de la interfaz administrativa e informes

18 Configuración - General

Configuración – Listas negras 19

20 Implantación y resultados en un cliente Más de empleados oficinas en Italia Más de usuarios de la banca Online En los últimos seis meses RAKE interceptó entre 5 y 10 operaciones fraudulentas al mes RAKE previno el 70% de los intentos de fraude a la banca electrónica El restante 30% son principalmente incidencias cometidas por personas con conocimiento intimo del usuario o de la cuenta El beneficio más importante ha sido el aumento de la confianza de los clientes en el servicio de banca electrónica.

21 Resumen sobre RAKE Rake es un software eficazmente probado para la prevención de fraudes procedentes de aplicaciones maliciosas instaladas en los equipos de los usuarios y que los bancos no pueden controlar Rake es una medida de prevención de fraude que aumenta la confianza de los clientes en la banca Online Con Rake la reducción del fraude es inmediata ¿Cuánto dinero pueden ahorrar Ustedes?

RAKE Gracias ! Dot Force, S.L. Tel. (+34) URL: 22