Indirizzo IP
L’indirizzo IP/posizione abitudinario della vittima generalmente creato da reti conosciute (l’indirizzo IP è l'indirizzo ISP della vittima e non dell’aggressore remoto).
L’ATTACCO
Chiamate di Supporto false (Fake Support)
L’aggressore da remoto pretende di chiamare dal supporto di un’istituzione finanziaria.
I cosiddetti attacchi “Fake Support” hanno come bersaglio sia i singoli individui che le compagnie. L’aggressore remoto, il quale pretende di chiamare dal supporto di un’istituzione finanziaria o di un venditore generico (per esempio Microsoft), chiede che la vittima installi un’applicazione di controllo remoto (come TeamViewer, AnyDesk e simili). La vittima viene persuasa a seguire le istruzioni dell’aggressore siccome sembra che vogliano risolvere un problema sul proprio computer (che sono comuni) oppure di controllare che tutto funzioni correttamente in seguito ad un aggiornamento dalla parte dell'istituzione finanziaria. L’aggressore pretende di voler aiutare la vittima ad assicurarsi di poter ancora accedere al proprio portale e-banking ed eseguire transazioni.
Una volta che il “test” sulla transazione è inviato correttamente, l’aggressore ottiene il controllo sull’unità della vittima tramite il software installato, chiede alla vittima di liberare il computer per qualche minuto e procede ad eseguire una serie di pagamenti (in genere tutti sullo stesso conto “mulo”).
Il Probema
Il motore di riconoscimento delle frodi non riconosce nulla di sospetto: l’utente approva la prima transazione.
L’attacco va a buon fine per un diverso numero di ragioni. In primo luogo, il motore di riconoscimento delle frodi generalmente funziona sui seguenti punti d’informazione: indirizzo IP/posizione, comportamento dell’utente fuori dal comune, inserimento nella whitelist di un destinatario sconosciuto. In secondo luogo, a differenza degli attacchi di phishing remoti, o sessioni di dirottamento, queste informazioni vengono segnalate al sistema.
Comportamento dell’utente fuori dal comune
La vittima esegue operazioni standard, come inserire un nuovo pagamento ed approvarlo una volta terminato il processo di configurazione, incluso eseguire gli appositi passi MFA.
Inserimento nella whitelist di un destinatario sconosciuto
A seguito del primo pagamento, l’account da “mulo” di denaro viene aggiunto alla whitelist e non sono più richiesti passaggi ulteriori per eseguire transazioni destinate a questo account.
La Soluzione
Futurae ha sviluppato un componente JavaScript (blitz.js) che può essere installato nel portale e-banking del servizio finanziario. Blitz ha la funzione di registrare i dettagli e l’attività di utenti anonimizzati e di inviarli al server di analisi di Futurae. Il server attinge in continuazione dalle informazioni ricevute ed utilizza un algoritmo specifico per rilevare se l’interazione che sta avvenendo sul sito e-banking è locale oppure se proviene da un esecutore remoto. I server di Future comunica quindi in tempo reale con il componente Blitz quando viene rilevato un attacco e registra internamente l’attività sospetta.
Loop di Feedback
Il loop di feedback può essere eseguito da backend a frontend (tipicamente utilizzato durante PoC) oppure da backend a backend (tipicamente utilizzato per sistemi in produzione). Inoltre la soluzione può anche essere integrata con il meccanismo di rilevamento delle frodi già in uso dall’istituzione finanziaria.
COME FUNZIONA
Operazioni di blitz.js
Il componente blitz.js deve essere inserito nelle pagine del sito di e-banking ed inizializzato con un identificativo random, il quale persiste durante la sessione dell’utente. Facciamo riferimento alla documentazione tecnica per l'inizializzazione e l’uso corretti.
Il componente JavaScript eseguirà le seguenti operazioni, comunicando con il server di Futurae:
- Durante l’inizializzazione segnalerà un'impronta digitale del browser (quando le funzioni sono disponibili): agente, lingua, profondità del colore, memoria del dispositivo, capacità della parallelizzazione del computer, risoluzione dello schermo, fuso orario, capacità di memoria, piattaforma, plugins, renderer webGL, AdBlock, supporto touch, caratteri
-
Si aggancerà alle istanze di pressione dei tasti e il movimento del mouse attivate dal browser dell’utente, accumulando in una memoria locale e comunicandole nei seguenti formati: "key up", "key down", "mouse movement", "(x,y) coordinates", timestamp
- Dopo la trasmissione la memoria locale viene svuotata
- Su richiesta del cliente, il server di Futurae non salva nessun registro dell’indirizzo IP del browser
Le operazioni di Blitz JavaScript sono state testate su vari browser (Chrome, Firefox, Safari, Opera, Internet Explorer fino a IE11). I browser non compatibili falliranno delicatamente senza degradazione dell’esperienza degli utenti (e, chiaramente, nessuna possibilità di riconoscimento degli attacchi).
I RETROSCENA
Operazioni del Server
Il server di Futurae analizza in tempo reale le informazioni ottenute e riconosce le anomalie
Il server di Futurae accetta le misurazioni in entrata solo quando è propriamente autorizzato da una chiave API. Per ciascuna sessione che viene creata, il server misura una varietà di dati e comunica tramite il canale di feedback se un utente remoto sta interagendo con il sito.
Il server di Futurae non salva nessuna informazione sensibile o informazione di definizione personale (PPI) dell’utente ed è ospitato in un data center in cloud conforme con FINMA Svizzero.
Sei pronto a cominciare?
Il modo migliore per capire come funziona è di prenotare una demo. Il nostro Team sarà orgoglioso di presentare un piano di sicurezza basato sui tuoi bisogni, i tuoi utenti e la tua visione.
Prenota la Demo Contatta il Sales Team