IP-Adresse
Die übliche IP-Adresse/der Standort des Opfers, die/der insgesamt aus bekannten Netzen generiert wird (die IP-Adresse ist die ISP-Adresse des Opfers und nicht die des entfernten Angreifers).
DER ANGRIFF
Falsche Support-Anrufe
Der Angreifer gibt vor, im Namen eines Finanzinstituts Support zu leisten
Sogenannte "Fake Support"-Angriffe zielen auf Einzelpersonen und Unternehmen gleichermassen ab. Der Angreifer gibt vor, im Namen des Kundendienstes eines Finanzinstituts oder eines allgemeinen Herstellers (z.B. Microsoft) anzurufen und fordert das Opfer auf, ein Remote-Programm (wie TeamViewer, AnyDesk usw.) zu installieren. Das Opfer wird dazu gebracht, die Anweisungen des Angreifers zu befolgen, da diese scheinbar versuchen, Computerprobleme zu beheben oder zu überprüfen, ob nach einem Update auf Seiten des Finanzinstituts alles in Ordnung ist. Der Angreifer gibt vor, dem Opfer helfen zu wollen und sicherzustellen, dass es weiterhin auf das E-Banking-Portal zugreifen und Transaktionen durchführen kann.
Sobald die "Test"-Transaktion erfolgreich durchgeführt wurde, übernimmt der Angreifer über das Remote-Programm die Kontrolle über den Computer des Opfers, bittet das Opfer, den Computer für einige Minuten eingeschaltet zu lassen und führt eine Reihe von Zahlungen durch, in der Regel auf dasselbe Moneymule-Konto.
Das Problem
Die Betrugssoftware hat nichts Verdächtiges entdeckt: Der Benutzer hat eine erste Transaktion manuell genehmigt.
Der Angriff ist aus einer Reihe von Gründen erfolgreich. Zunächst einmal arbeitet das Betrugserkennungssystem des Finanzdienstleisters in der Regel mit den folgenden Datenpunkten: IP-Adressen/Standort, abnormales Nutzerverhalten, Whitelisting unbekannter Empfänger. Zweitens werden diese Informationen im Gegensatz zu Remote-Phishing-Angriffen oder Session-Hijacking-Attacken an das Betrugserkennungssystem gemeldet.
Abnormales Benutzerverhalten
Das Opfer führt Standardvorgänge durch, wie z.B. die Eingabe einer neuen Zahlung und deren Genehmigung, wenn der Step-up-Prozess initialisiert wird, einschliesslich der Durchführung des entsprechenden Authentisierungs-Schritts (2FA).
Whitelisting von unbekannten Empfängern
Nach der ersten Zahlung wird das Moneymule-Konto in die Whitelist aufgenommen und es sind keine weiteren Schritte erforderlich, um weitere Transaktionen auf das Moneymule-Konto durchzuführen.
Lösung
Futurae hat eine JavaScript-Komponente (blitz.js) entwickelt, die auf dem E-Banking-Portal für Finanzdienstleistungen installiert werden kann. Blitz zeichnet anonymisierte Benutzerdaten und -aktivitäten auf und übermittelt sie an den Futurae-Verarbeitungsserver. Der Server wertet die empfangenen Informationen kontinuierlich aus und verwendet einen trainierten Algorithmus, um zu erkennen, ob die Interaktion auf der E-Banking-Website lokal erfolgt oder von einem entfernten Akteur ausgeht. Der Futurae-Server gibt der Blitz-Komponente in Echtzeit Rückmeldung, wenn ein Angriff erkannt wird, und protokolliert verdächtige Aktivitäten intern.
Feedback-Schleife
Die Feedback-Schleife kann von Backend zu Frontend (typischerweise während des PoC) oder von Backend zu Backend (typischerweise für Produktionssysteme) durchgeführt werden. Darüber hinaus kann die Lösung auch in bestehende Betrugserkennungs-Mechanismen integriert werden, die das Finanzinstitut bereits einsetzt.
WIE ES FUNKTIONIERT
blitz.js Arbeitsweise
Die Komponente blitz.js muss auf den Seiten der E-Banking-Website eingebettet und mit einer zufälligen Kennung initialisiert werden, die während einer Benutzersitzung bestehen bleibt. Wir verweisen auf die technische Dokumentation für eine korrekte Initialisierung und Verwendung.
Die JavaScript-Komponente führt die folgenden Operationen aus und meldet sie an den Futurae-Server:
- Bei der Initialisierung meldet sie einen Browser-Fingerabdruck (wenn Funktionen verfügbar sind): Bwenutzer Agent, Sprache, Farbtiefe, Gerätespeicher, Gleichzeitigkeitsfähigkeiten, Bildschirmauflösung, Zeitzone, Speicherkapazitäten, Plattform, Plugins, WebGL-Renderer, AdBlock, Touch-Unterstützung, Schriftarten.
-
Es greift auf die vom Browser des Benutzers ausgelösten Tastendruck- und Mausbewegungs-Ereignisse zu, sammelt sie im lokalen Speicher und meldet sie in der folgenden Form: "Taste hoch", "Taste runter", "Mausbewegung", "(x,y) Koordinaten", Zeitstempel.
- Nach der Meldung wird der lokale Speicher geleert.
- Auf Wunsch des Kunden führt der Futurae-Server kein Protokoll über die IP-Adresse des Browsers.
Die Blitz-JavaScript-Operationen wurden mit einer Vielzahl von Browsern getestet (Chrome, Firefox, Safari, Opera, Internet Explorer bis hinunter zu IE11). Bei inkompatiblen Browsern werden die Operationen ohne Beeinträchtigung des Benutzererlebnisses (und natürlich ohne die Möglichkeit, einen Angriff zu erkennen) abgebrochen.
HINTER DEN KULISSEN
Server-Betrieb
Die Futurae-Server analysieren die erfassten Informationen in Echtzeit und erkennen Anomalien
Der Futurae-Server akzeptiert eingehende Messungen nur dann, wenn er durch einen gemeinsamen API-Schlüssel ordnungsgemäss autorisiert wurde. Für jede Sitzung, die erstellt wird, misst der Server eine Vielzahl von Analysen und meldet über den Feedback-Kanal zurück, ob ein entfernter Benutzer mit der Website interagiert.
Der Futurae-Server speichert keine sensiblen Benutzerdaten oder persönlich identifizierbare Informationen und wird in einem FINMA-konformen Schweizer Cloud-Rechenzentrum gehostet.
Sind Sie bereit, loszulegen?
Buchen Sie jetzt eine Demo, um sich einen ersten Eindruck zu verschaffen. Unser Team ist stolz darauf, Ihnen das beste Sicherheitsdesign zu bieten, das auf Ihre Bedürfnisse, Ihre Nutzer und Ihre Visionen zugeschnitten ist.
Demo buchen Sales kontaktieren