Por Samuel Bakken, 4 de janeiro de 2021
Este artigo foi escrito em colaboração com Greg Hancell – Gerente Sênior da Consultoria de Fraude da OneSpan e com a contribuição de Frederik Mennes – Diretor de Produto da OneSpan – e Will LaSala – Diretor Sênior de Soluções Globais.
No verão passado, o FBI alertou sobre um aumento na atividade maliciosa voltada para serviços financeiros móveis, uma vez que a atividade de banco móvel aumentou em resposta ao COVID-19 e bloqueios associados. Esse aviso se tornou realidade no final de dezembro com a descoberta de uma “ fazenda de emulação do mal ” que imitava os dispositivos móveis das vítimas para fraudar os titulares de contas bancárias nos EUA e na Europa em milhões de dólares.
O objetivo deste artigo é alertar as instituições financeiras sobre essa ameaça recém-descoberta, bem como explicar a abordagem em camadas para mitigar essa fraude cada vez mais sofisticada
Escala e velocidade de fraude móvel nunca antes vista
Os pesquisadores dizem que a escala e a velocidade desse esquema o diferenciam de incidentes anteriores de fraude móvel.
Os invasores construíram uma rede de aproximadamente 20 emuladores, simulando 16.000 dispositivos móveis, e alavancaram a automação que permitiu a drenagem de milhões de dólares de contas bancárias em apenas alguns dias. Um emulador móvel é um dispositivo móvel virtual que imita a funcionalidade de dispositivos móveis reais e representa a interação do usuário com eles. Os emuladores foram desenvolvidos originalmente para permitir o teste automatizado de software em uma ampla variedade de dispositivos.
As ações automatizadas pelos invasores incluem pelo menos o seguinte:
- Coletando os atributos do dispositivo
- Inserindo nomes de usuário e senhas
- Iniciando transações
- Receber e roubar códigos de autorização únicos enviados por SMS
- Inserir os códigos de SMS roubados para concluir as transações
Coleta de identificadores de dispositivos móveis
Em alguns casos, os fraudadores imitaram os dispositivos existentes da vítima. Em outros casos, os fraudadores simularam a vítima usando um novo dispositivo para acessar sua conta bancária. Os pesquisadores não têm certeza de como as credenciais bancárias foram comprometidas em primeiro lugar, embora seja plausível que as credenciais tenham sido roubadas por malware, coletadas por meio de ataques de phishing ou encontradas na dark web. Não está claro exatamente como os identificadores de dispositivos foram coletados, mas parece lógico que esses dados foram coletados por malware móvel presente nos dispositivos das vítimas.
O que as instituições financeiras podem fazer para mitigar ameaças móveis semelhantes
Não há uma única bala de prata que acabe com essa ameaça móvel. A melhor proteção é uma abordagem de defesa em profundidade que consiste em (mas não se limita a) o seguinte:
- Autenticação forte do cliente
- Análise de risco do lado do cliente e do servidor para prevenção de fraude
- Blindagem de aplicativos móveis com proteção de tempo de execução
Combate a tomada de conta através da modernização da autenticação
Recentemente, a empresa de análise de serviços financeiros Aite Group sugeriu em seu relatório “Revisiting Your Authentication Control Framework” que “As instituições financeiras, firmas de fintech e comerciantes precisam dar um passo para trás e revisar sua estrutura de controle de autenticação. Se já se passaram alguns anos desde que essa estrutura foi revisada pela última vez, com os avanços tecnológicos ao longo desse período, provavelmente será necessário atualizar. ”
O roubo de nomes de usuário e senhas usados para autenticar usuários e pagamentos preparou o cenário para essa fraude móvel. Essas credenciais estáticas de “fator único” são vulneráveis a phishing, se ainda não foram comprometidas como parte de outras violações de segurança de dados. Implementar a autenticação multifator (MFA) que usa códigos de autenticação dinâmicos e únicos reduz significativamente o risco de controle de conta. Além de se passar por dispositivos existentes dos usuários, em alguns casos os invasores conseguiram ativar novos dispositivos com as contas das vítimas.
Um banco também não deve tomar a decisão de quais canais usar para transmitir códigos de autenticação / autorização dinâmicos levianamente. Os códigos SMS são conhecidos por serem vulneráveis a phishing e até mesmo interceptação. Nesse caso, os responsáveis pelo esquema foram capazes de receber códigos SMS com os dispositivos falsificados, tornando os códigos inúteis em termos de proteção de contas bancárias. Um ataque típico a senhas / senhas únicas (OTP) de SMS começa direcionando a vítima para uma página de phishing que se parece com a do banco. Lá, o usuário irá inserir seus dados que acionam a transmissão de uma OTP por SMS. O malware presente no dispositivo da vítima obterá códigos SMS e os encaminhará ao invasor, o que significa que a vítima nunca se conecta ao banco enquanto está interagindo com uma página de phishing.
As notificações push enviadas por meio de um canal criptografado para um aplicativo móvel fortemente vinculado ao dispositivo do usuário durante a ativação provavelmente impediriam os invasores de coletar e usar senhas únicas de SMS para acessar contas ou autorizar pagamentos. Além disso, o aproveitamento dos recursos de hardware dos dispositivos móveis (por exemplo, Enclave seguro em dispositivos iOS ou Trusted Execution Environment / Secure Element em dispositivos Android) torna muito mais difícil roubar identificadores de dispositivo. Exigir autenticação biométrica junto com a confirmação de uma notificação push teria fornecido outra camada de defesa que pode ter impedido esses invasores.
Também é importante que as instituições financeiras apliquem tecnologia anti-adulteração avançada (consulte a proteção de aplicativos móveis com proteção de tempo de execução abaixo) a qualquer aplicativo de banco móvel. Isso reduz o risco de que os adversários possam adulterar ou fazer engenharia reversa no processo de vinculação do dispositivo para replicar a iteração de um usuário legítimo de um aplicativo de banco móvel em um dispositivo emulado.
Combate a fraude digital sofisticada com análise de risco do lado do cliente e do servidor
O Gartner sugeriu uma estrutura de detecção de fraude on-line que consiste em cinco camadas de prevenção – centrada no endpoint, na navegação e na rede, no usuário e na entidade, no canal cruzado do usuário e na entidade e analítica de big data para usuário e entidade – para detectar fraudes online. Como os fraudadores usaram um emulador, eles foram capazes de superar certos aspectos da primeira camada de prevenção. Vemos cada vez mais exemplos de fraudadores sofisticados que conseguem simular dados do lado do cliente, como dispositivo, localização e hora do dia.
Esse incidente de fraude móvel e o aumento da maturidade dos anéis de fraude online em geral indicam a necessidade de uma solução de prevenção de fraude mais completa com camadas adicionais configuradas corretamente. Neste momento, é muito mais difícil para os invasores superar as camadas de prevenção subsequentes:
- Camada 1: Endpoint-centric – Análise do comportamento do endpoint e correlações de localização; esta camada também inclui detecção de malware e impressão digital do dispositivo
- Camada 2: Navegação e centrada na rede – Análise de sessão, rede e comportamento de navegação e padrões suspeitos
- Camada 3: Centrado no usuário e na entidade (canal único) – Análise do comportamento do usuário / entidade por canal (por exemplo, banco online, banco móvel, etc.)
- Camada 4: Centrado no Usuário e na Entidade em todos os canais e produtos – Análise de comportamento de anomalia correlacionado entre canais
- Camada 5: vínculo de usuário e entidade de Big Data – Análise de relacionamentos para detectar crime organizado e conluio
Como você deve ter adivinhado, reunir e correlacionar sinais de risco nessas áreas torna-se quase impossível “na velocidade humana”. Qualquer sistema completo de detecção de fraudes online precisa aproveitar o aprendizado de máquina do lado do servidor e regras automatizadas contextuais para ter qualquer impacto aqui.
Detecção de interação automatizada e não humana
A malvada fazenda de emulação simulava dispositivos de vítimas, o que coloca em risco qualquer banco que dependa exclusivamente da identificação / confiança de dispositivos móveis por meio de um ID ou código único enviado via SMS. Se os aplicativos bancários direcionados tivessem habilitado a análise de sessão junto com o comportamento do terminal e correlações de localização, o dispositivo poderia ser identificado como sendo emulado devido à falta de comportamento de interação “semelhante ao humano” (ou seja, a maneira como um humano interage com um dispositivo, como cadência de digitação , ângulo, altura e muitos outros traços comportamentais).
Como e quando um usuário interage com uma sessão pode fornecer uma visão sobre o comportamento usual da sessão. Esta é uma camada de prevenção adicional que pode tornar o trabalho de um invasor mais difícil, pois o emulador automatizado precisaria imitar consistentemente a velocidade de interação da vítima humana e muito mais.
Monitorando mais do que o evento de login: Monitoramento contínuo de sessão
Conforme avançamos para as camadas 3 e 4 – é importante contabilizar a atividade da sessão bancária além do login inicial. Em última análise, um invasor não vai pagar as contas de um usuário por eles, seu objetivo é extrair fundos. Portanto, é crucial que os bancos apliquem monitoramento contínuo para revisar novos dispositivos, beneficiários e transações. O objetivo desta análise é identificar se os dispositivos, beneficiários ou transações são novos e / ou conhecidos (ou seja, usados por) qualquer outro consumidor de um banco ou clientes comerciais.
Automatizando a detecção / prevenção de fraudes com o poder do aprendizado de máquina
Compreender a análise em torno da atividade típica de todos os usuários e dispositivos pode ajudar a identificar a ativação em massa do dispositivo, a criação em massa de beneficiários e as transações em massa – todos sinais de um ataque em escala. Nesse caso, uma retrospectiva sugere que o banco poderia ter sido alertado sobre qualquer um dos vários estágios do ataque. Isso inclui invasores ativando vários novos dispositivos, emulando dispositivos, criando novos beneficiários, transferindo grandes quantias, esgotando o saldo de contas e enviando dinheiro para contas anteriormente desconhecidas.
Esses indicadores, bem como milhares de outros, podem ser fornecidos para modelos de aprendizado de máquina, que são capazes de operar em um espaço altamente dimensional que supera o de um humano e são capazes de fornecer uma previsão (pontuação de anomalia / risco) em tempo real . Dessa forma, permite que um banco interrompa o ataque em seu caminho evitando sua propagação e possibilitando uma reação automatizada.
Emuladores de combate e outras ameaças móveis com proteção de aplicativos, incluindo proteção em tempo de execução
Embora os detalhes de como os invasores identificaram os pontos fracos nos aplicativos móveis e nos sistemas de detecção de fraudes dos bancos vítimas, é lógico que eles puderam fazer a engenharia reversa de certos aspectos do aplicativo móvel. É provável que os invasores simplesmente baixaram os aplicativos legítimos das lojas de aplicativos oficiais e começaram a cutucar e cutucar os aplicativos em um emulador para examinar o aplicativo à medida que ele era executado.
A proteção de aplicativos móveis com proteção em tempo de execução teria detectado essa atividade e encerrado imediatamente o aplicativo para evitar essa atividade maliciosa. A proteção avançada de aplicativos móveis não apenas impede que um aplicativo seja executado em um emulador, mas também detecta e bloqueia várias ferramentas usadas por adversários para fazer a engenharia reversa do aplicativo e entender como ele funciona.
Com a sofisticação dessa ameaça, é razoável supor que os invasores foram capazes de fazer engenharia reversa no aplicativo para entender como ele foi vinculado ao dispositivo de um usuário (se houver) e como ele se comunicou com as APIs do lado do servidor do banco. A proteção de aplicativos móveis com proteção de tempo de execução teria adicionado outra camada de controle de segurança que tornaria o trabalho do fraudador muito mais demorado e caro.
Além da mitigação de engenharia reversa, a proteção de aplicativos com proteção em tempo de execução oferece vários recursos que tornam mais difícil para os invasores realizar um ataque a aplicativos e usuários de serviços bancários móveis:
- Evitar a falsificação de identidade de um aplicativo detectando o reempacotamento do aplicativo (ou seja, modificar e republicar um aplicativo de forma mal-intencionada)
- Identificar modificação de código e / ou injeção de bibliotecas de tempo de execução maliciosas em um aplicativo
- Reduzindo o risco de vazamento de dados, interrompendo capturas de tela e teclados maliciosos
- Detectando o aumento de privilégios, reconhecendo dispositivos desbloqueados ou com acesso root
- Mitigar ataques de sobreposição de interface do usuário, evitando a modificação de primeiro plano em dispositivos Android
Resumo
No final, para proteger seus clientes e instituições da evolução e inovações contínuas dos adversários, as instituições financeiras devem adotar uma abordagem em camadas para fraudes bancárias online, consistindo em autenticação forte do cliente, análise de risco do lado do servidor e segurança avançada de aplicativos móveis, incluindo proteção de aplicativos móveis com proteção de tempo de execução.
Fonte: Onespan
Sobre Onespan
Especialistas em soluções antifraude e identidade digital que proporcionam experiências seguras e inigualáveis.
Da autenticação adaptativa baseada em risco à verificação de identidade digital, nossa nova geração de soluções é oferecida em uma plataforma baseada em nuvem. A OneSpan Trusted Identity Platform facilita integrar ferramentas e tecnologias novas e existentes para melhor detectar fraude e aprimorar a experiência de usuário.
Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial. Assista a entrevista!
Crescem ataques com robôs zumbis para fraudar cartões de crédito no varejo, aponta HST
Opice Blum LLP e a OneSpan lançam guia sobre validade jurídica da assinatura eletrônica