Bu yardımda net güvenlik röportajında, BioCatch küresel danışmanlık kıdemli direktörü Seth Ruden, finansal kurumların sahtekarlığı nasıl ele aldığını tartışıyor. Dolandırıcılığı önlemeyi artırmak için bankaların davranışsal biyometri, cihaz parmak izi ve ağ zekası kullandıklarını açıklıyor.
Ruden, sahtekarlığın önlenmesinin kurallara dayalı sistemlerin ötesine nasıl geçtiğini risk-skor modellerine ve grafik tabanlı anomali tespitine nasıl yönlendirdiğini anlatıyor ve aldatmaca oyun kitabı simülasyonlarının ve kırmızı takımların finansal kurumların savunmalarını nasıl güçlendirmeye yardımcı olduğunu belirtiyor.
Kanallar arası sahtekarlıkta bir artış gördünüz mü (örneğin, hileli bankacılık işlemlerine yol açan sosyal medya dolandırıcılığı) ve bankalar bu karma tehditlere nasıl yanıt veriyor?
Kesinlikle. Son iş döngüsünde kanallar arası maruziyeti tanımlayan kötü aktörlere daha fazla vurgu olsa da, bu alanda bir süredir gözlemledikleri bir modeldir. Özellikle hem sürtünmeyi azaltma hem de müşterilerin aynı müşterileri daha açık bırakma eğiliminde olduğu özellikle dikkat çekicidir.
Bankacılıkta bunun harika bir örneği, çevrimiçi bankacılıktan kart sahtekarlığına kanal kopmasıdır. Son on yıl boyunca, endüstrinin müşterilerin self servis mekanlarından ve çevrimiçi/mobil bankacılık uygulamalarından mobil cüzdanlar açmaları için daha büyük yetenekler ekleyerek, fiziksel cüzdanlarımızı ceplerimizde (veya evde) bırakmamıza ve sadece bir fincan kahve, bakkal veya yeni bir televizyon satın almak için bir okuyucuya dokunmamıza izin verdi.
10 yıl önce, aktörlerin mobil cihazlarına kredi kartı ekleyerek tüketicilerin ne kadar kötü yararlanabileceğini hayal etmek için mücadele etmiş olsak da, bugün sahtekarların kartlarımızı hem sosyal mühendislik saldırılarını (bir kerelik pasörlerimizin dışında) kullanarak cep telefonlarına eklediklerini görüyoruz.
Daha yüksek aldatmaca oranları kullanan sosyal medya ile ilgili olarak, insanların en çok sahtekarlığa maruz kaldığı kanallar, aynı zamanda en fazla zaman harcadıkları kanallarla aynıdır. Tüm beğenme ve gönderme ve yeniden paylaşım ve yorumlama ve mesajlaşma, çevrimiçi randevu popülaritesi ile birlikte, hepimizi her türlü dolandırıcılığa büyük ölçüde maruz bıraktı. Romantizm, kripto-yatırım (daha kaba eşanlamlı: “domuz patlatma” ile de bilinir) ve iş dolandırıcılığı özellikle sosyal kanallarda yaygın görünüyor.
Bankalar için bu, bu özel dolandırıcılık türleri için hızla yükselen vaka hacimleri ve daha yüksek servis yükleri ile gerçekleştirildi ve gergin takımları daha fazla olayla tehdit etti. Bankaların şimdi kaynakları döndürmeye başladıkları ve şimdi dolandırıcılıkların “büyüsünü kırma” dediğimiz şeye odaklanan daha sofistike takımlar yarattıkları kısır bir döngü. Olası aldatmaca faaliyetlerini tanımlamak için davranışsal zeka gibi yeni sofistike araçlara yatırım yapıyorlar ve Avustralya gibi bazı bölgelerde, bir aldatmacaların ayırt edici özelliklerini gösteren işlemlere hedeflenen sürtünme uygulamak için gerçek zamanlı olarak birlikte işbirliği yapmaya başladılar.
Bankalar, özellikle mobil ve dijital bankacılık kanallarında sahtekarlık girişimlerini tespit etmek için gerçek zamanlı davranışsal biyometri, cihaz parmak izi veya ağ zekasına daha fazla güveniyor mu?
Davranış, cihaz ve ağ zekası, finansal kurumların bu yeni ortamda dolandırıcılıkla mücadele etmeleri için kritik araçlar haline gelmiştir. Hepsi büyük faydalar sağladı, yeni veri noktaları elde edebileceğimiz, bu veri noktalarına ek analizler uygulayabileceğimiz ve yeni algılama fırsatlarını belirleyebileceğimiz yeni bakış açıları yarattı. Eklenen hassasiyet, kontroller uygularken finansal kurumlar verir hem algılama oranlarını iyileştirir hem de sahtekarlık önleme ekiplerindeki zorlamayı azaltır.
Scam Önleme’de Kurallara Dayalı Sistemlerden risk skoru motorlara veya grafik tabanlı anomali tespitine geçiş görüyor musunuz?
Kurallar harika ve gereklidir ve ortaya çıkan bir model tanımlandıktan sonra (özellikle hızlı bir yanıt ölçüsü olarak) büyük bir taktik kontrol avantajı olarak kalacaktır, ancak ortaya çıkan modelleri tanımlamak için hiçbir şey en yeni modelleme yeteneklerini yenemez. Bu nedenle, modeller çoğu kurum için en iyi ilk savunma hattıdır ve tespit edilen sahtekarlığın yaklaşık üçte iki ila dörtte üçünü oluşturur. İnce ayarlı bir modelden yararlanmak, bankaların daha geniş bir ağ oluşturmasına ve uyarılarını, yanlış pozitif ve yakalama oranlarını optimize etmelerini sağlar. Kural tabanlı sistemler daha sonra sahtekarlığın geri kalanını alabilir, yakalama oranlarını yükseltebilir ve kurumu sahtekarlar için çekici olmayan bir hedef haline getirebilir.
Grafik analiz araçları, kötü aktörlerin hücrelerinin veya kümelerinin yükselme ve tanımlanmasında müthiş olabilir, ancak bu daha manuel olarak yoğun olma eğilimindedir. Sözde tehdit avı yaşama eğilimindedir. Bu denenmiş ve gerçek bir yöntemdir ve özellikle hem bindirilmiş hesaplar hem de uykuda olan veya “uyuyan” olanlar için kalıntı riski azaltmaya yardımcı olur. En son araçlar burada oldukça gelişmiş, sonuçları modele geri besler, böylece erdemli bir koruma çemberi yaratır.
Scam Playbook simülasyonlarındaki veya aldatmaca algılama sistemleri için kırmızı takımlarda herhangi bir gelişme ile konuşabilir misiniz?
Dolandırıcılık oyun kitabı, maruz kalma ve tanımlama açısından gerçekleşen kritik bir unsur olarak ortaya çıkıyor ve bir saldırı öncesinde stratejiyi iyi bilgilendirecek şeylerden biri. Cybersec OPS’ten ödünç almak, dolandırıcılıkların çoğalmasına izin veren boşlukları veya daha zayıf kontrolleri tanımlamak için doğru yolları bulmak, ek kontrollerin veya daha fazla sürtünmenin uygulanacağını bildirebilir.
Şu anda, finansal kurumlar bu yaklaşımı iç ekipleri arasında biraz az miktarda kullanıyor. Bu faaliyetlerde uzmanlaşmış dış satıcılar genellikle daha yumuşak hedefleri ve güvenlik açığı alanlarını daha iyi tanımlayabilir. Bu hizmetler, tanımlanmış bir boşluğu kapsayacak şekilde uygun kontrolün belirlenmesinde de yardımcı olabilir.
Önümüzdeki 12 ay içinde aldatmaca algılamasını ilerletmek için bir yatırım alanına öncelik vermeniz gerekiyorsa, ne olurdu ve neden?
Kendi teknoloji yol haritamı oluştururken, önde gelen bir finans kurumu işlettiğimde, davranışsal zekanın teknoloji yığınımda olmazsa olmasını buldum. Davranış temelli savunmaların kurumsal sahtekarlık yönetim sistemlerine entegrasyonu, cihaz ve ağ-zeka yayınlarını topladıklarından emin olmak, oyun değiştiren bir sonuçtu. Bize doğru savunma duruşunu verdi, ortaya çıkan tehditleri karşılamamıza izin verdi, gerektiğinde yeni kontroller uygulamamızda bizi çevik bıraktı ve krizden istikrara geri dönmenin anahtarı oldu. Davranışsal kontroller olmasaydı, mücadeleye devam ederdik.