Cross-channel fraud zmorą instytucji finansowych

Data: 16 stycznia 2013 | Autor: | Brak komentarzy »

Wykorzystanie socjotechniki w wyłudzeniach danych identyfikacyjnych zatacza coraz szersze koła. Jak podała niedawno firma Guardian Analytics, jej pracownicy zidentyfikowali schemat realizacji nieautoryzowanych przelewów bankowych, które wykonywane są przez pracowników obsługi klienta wprowadzonych w błąd przez przestępców.

Sam scenariusz zdarzeń jest stosunkowo prosty – przestępcy używając posiadanych danych uwierzytelniających ofiary (pozyskują je w „tradycyjny” sposób, np. poprzez wyłudzenie lub za pomocą Trojana) logują się do systemu bankowości internetowej instytucji oferującej chat online z pracownikiem obsługi klienta. Początkowo wykonują oni kilka zwykłych operacji, jak sprawdzenie salda, wygenerowanie historii transakcji, przelew wewnętrzny, w celu stworzenia wrażenia, że są zwyczajnym klientem. Następnie przechodzą do ataku.

Inicjują rozmowę z pracownikiem obsługi klienta, któremu zlecają bezpośrednie wykonanie lub też ustawienie z nieodległą przyszłą datą przelewów zewnętrznych na podstawione rachunki, do których mają dostęp. Ponieważ rzekomy klient został już pozytywnie zweryfikowany przy logowaniu do systemu, niczego nie podejrzewający konsultanci bez problemu wykonują jego dyspozycje.

Firma nie podała, dlaczego przestępcy nie wykonują wspomnianych przelewów sami, ale patrząc na modus operandi należy z dużym prawdopodobieństwem założyć, że celem ich ataku są instytucje, które wykorzystują prostszą metodę uwierzytelniania użytkownika przy logowaniu (np. statyczne hasło), ale do autoryzacji wykonania operacji wymagają już czegoś bardziej skomplikowanego (np. hasła SMS-owe, kody z tokenów, czy też kody ze zdrapek), do czego przestępcy nie mają dostępu i czego nie mogą w stosunkowo łatwy sposób pozyskać. Tym samym udaje im się dostać do systemu e-bankowości, ale nie są w stanie wykonać operacji wymagającej dodatkowej autoryzacji.

Powyższy schemat jest przykładem zjawiska, o którym eksperci od nadużyć alarmują już od ponad roku, określając je jako cross-channel fraud. Jego istotą wykorzystywanie informacji zdobytych w ramach jednego kanału wykorzystywanego do kontaktów klienta z instytucją finansową do popełniania nadużyć z wykorzystaniem innego kanału (np. użycie danych przechwyconych podczas sesji bankowości internetowej do wyrobienia sobie karty kredytowej w oddziale, czy też autoryzacja na tej bazie dyspozycji wydawanych za pomocą centrum telefonicznego).

Instytucje bankowe nadal pozostają w tym obszarze w tyle za przestępcami z prozaicznego powodu – większość wykorzystywanych przez nie systemów antyfraudowych bazuje na monitoringu poszczególnych kanałów zlecania operacji, a tym samym poszczególnych typów operacji (np. płatności kartą kredytową, przelewów wykonywanych za pomocą e-bankowości itd.). Tymczasem do wykrywania nadużyć typu cross-channel konieczny jest monitoring na poziomie klienta, co wymaga nie tylko połączenia dotychczas rozproszonych danych, ale także opracowania nowych algorytmów identyfikacji podejrzanych zdarzeń.

Niestety wiele wskazuje, że banki zlekceważyły pierwszą dużą falę nadużyć cross-channel, która objawiła się w na przełomie 2010 i 2011 roku w postaci plagi wyłudzeń dokonywanych przy nieświadomej współpracy konsultantów centrów telefonicznych. Przestępcy wykorzystywali fakt, że do autoryzacji dzwoniących wykorzystywane były statyczne kody oraz pytania uwierzytelniające, na które odpowiedź było łatwo zgadnąć lub pozyskać w tym zakresie odpowiednie informacje.



Skomentuj wpis

Musisz być zalogowany/a, żeby zamieszczać komentarze.