Klienci
Wydarzenia

Wstęp

IFD (Interactive Fraud Detector) jest narzędziem do wykrywania i aktywnego przeciwdziałania nadużyciom w infrastrukturze informatycznej. IFD jest przeznaczone do zastosowania w obszarze kontaktu użytkownika z organizacją za pomocą elektronicznych kanałów dostępu.

Wprowadzenie

Istnieje wiele kategorii nadużyć. W kontekście ochrony informatycznej czynności dokonywanych pomiędzy użytkownikiem a organizacją, możemy mówić przede wszystkim o takich działaniach, które mają na celu uzyskanie nielegalnych korzyści poprzez zaburzenie tego procesu. Może to przybrać formę zarówno typowego jak i bardzo wyrafinowanego oszustwa np. ukrywania informacji, naruszenia zaufania, uzyskania dostępu do systemu bez wiedzy użytkownika, pozyskania o nim informacji, lub wykonania operacji w jego imieniu. W przypadku bankowości najczęściej spotykane są próby wypłaty pieniędzy z kont klienta lub wykorzystania danych z kart płatniczych do zakupów internetowych.

Dynamicznie rosnąca rola Internetu, także w dziedzinie bankowości i finansów, powoduje, iż staje się on medium za pomocą, którego coraz częściej dokonywane są przestępstwa. Mają one charakter pojedynczych ataków hakerskich lub - co jest o wiele groźniejszą tendencją – ataków masowych, popełnianych przez profesjonalnie przygotowane grupy przestępcze. Internetowa przestępczość zorganizowana, posługując się m.in. sieciami przejętych komputerów, działa globalnie, pokonując dotychczasowe ograniczenia związane z granicami państw i różnymi systemami prawnymi.



Nadużycia tego typu nie tylko narażają banki i ich klientów na poważne straty finansowe, ale powodują utratę reputacji i trudności operacyjne w bieżącym działaniu. Co więcej, szacunkowe koszty obniżenia wiarygodności i pogorszenia relacji z klientami, szczególnie ważne w branży bankowej, mogą zdecydowanie przewyższać wymierne szkody pieniężne.

Zastosowanie

IFD nadzoruje aktywność klientów w elektronicznych kanałach dostępu, zapewniając wykrywanie i aktywne przeciwdziałanie wszelkiego rodzaju szkodliwym działaniom, które naruszają standardy bezpieczeństwa. IFD zapobiega także próbom zakłócania ciągłości pracy systemów bankowych. Zakłócanie takie może polegać na masowym przesylaniu do infrastruktury informatycznej organizacji nadmiernej liczby komunikatów i operacji wymagajacych obslugi.

Typowe rodzaje nadużyć

  • Próby wyłudzeń
  • Pranie brudnych pieniędzy
  • Kradzież środków z cudzych kont
  • Wykorzystanie skradzionych instrumentów płatniczych
  • Wykorzystanie skradzionych danych lub instrumentów autoryzacyjnych
  • Kradzież poufnych danych dotyczących klienta lub jego transakcji

Przykładowe sytuacje podwyższonego ryzyka

  • Duża ilość transakcji jedną kartą lub z jednego konta w danym okresie czasu
  • Duża ilość przelewów na jeden rachunek docelowy
  • Wypłaty większych sum wkrótce po wpłacie na tym samym rachunku
  • Logowania do serwisu internetowego w krótkim czasie z rozproszonych geograficznie lokalizacji
  • Logowanie na wiele kont z tego samego urządzenia

Transakcje finansowe podlegające nadzorowi

Wypłaty z bankomatów
Płatności kartowe
Transakcje bankowe
Płatności mobilne

Możliwości

Śledzenie operacji

IFD może zostać włączony w architekturę rozwiązania w taki sposób, aby monitorować wszystkie operacje. Analiza może być realizowana w trakcie obsługi operacji (tryb inline) lub bezpośrednio po jej wykonaniu (tryb online). Na podstawie konfigurowalnych kryteriów, wybrane aspekty danej operacji mogą zostać przekazane do późniejszej analizy (tryb offline).

System charakteryzuje się wysoką wydajnością, dzięki czemu realizuje zadania w sposób transparentny dla użytkowników, co jest istotne ze względu na ich wygodę oraz zobowiązania ogranizacji w zakresie ciągłości obsługi. Opóźnienie w realizowanych przez system analizach podlega sztywnym ograniczeniom, zależnym od możliwości infrastruktury i wymagań organizacji.

Definiowalne reguły

Reguły dają możliwość konfigurowania reakcji systemu na określone sytuacje. Odbywa się to poprzez definiowanie parametrów, które mają wpływ na ocenę ryzyka nadużycia. Każdy parametr może mieć określone wartości, którym z kolei przypisywana jest wartość punktowa (scoring) w procesie oceny ryzyka. Takimi parametrami mogą być:

  • wielopoziomowy identyfikator urządzenia,
  • adres IP,
  • geolokalizacja (dla operacji wykonywanych przez aplikacje na urządzenia mobilne),
  • identyfikator klienta,
  • numer rachunku (w przypadku transakcji bankowych),
  • numer karty płatniczej (w przypadku transakcji kartowych),
  • typ operacji.

Zestawy parametrów mogą być także przydatne do określenia charakterystyk operacji, używanych następnie do przygotowywania kolejnych reguł. Przykładowo mogą to być:

  • klasa transakcji (np. przelew lub wypłata z bankomatu),
  • sposób autoryzacji (w przypadku transakcji kartowych to np. informacja czy transakcja jest zdalna, bezstykowa, itd.),
  • grupa produktowa (np. konto oszczędnościowe, rachunek bieżący),
  • kwota transakcji,
  • miejsce transakcji (na podstawie adresu IP lub adresu urządzenia z którego pochodzi operacja),
  • kategoria urządzenia (mobilne, desktop, laptop).

Na podstawie powyższych charakterystyk budowany jest model zachowania użytkownika, który również może być wykorzystany do budowy reguł, np. poprzez porównanie zachowania danego użytkownika z modelem zachowań całej grupy użytkowników.

Reakcja na wykryte zagrożenia

W wyniku przetwarzania danych system wylicza poziom ryzyka konkretnej operacji. Na tej podstawie określana jest decyzja o sposobie jej dalszej obsługi.

Przykładowo możliwe są następujące reakcje:

  • brak ingerencji w wykonywaną operację,
  • symulacja błędu wewnętrznego (biznesowego lub technicznego),
  • wprowadzenie zdefiniowanego opóźnienia w realizacji operacji,
  • wysłanie powiadomienia, np za pomocą wiadomości SMS lub e-mail,
  • zawieszenie operacji i powiadomienia klienta, o tym, że konieczne jest jej dodatkowe potwierdzenie (przez operatora Contact Center, automatyczne wydzwonienie IVR, SMS z prośbą o potwierdzenie).

Weryfikacja operacyjna

Weryfikacja operacyjna może odbywać się w ramach wbudowanego w system IFD narzędzia – konsoli operatorskiej. Operator dostaje możliwość ręcznego sprawdzenia parametrów podejrzanej transakcji i zakwalifikowaniu jej jako bezpiecznej, ryzykownej lub jako nadużycia. Wszystkie tego typu przypadki i zastosowane procedury są zapamiętywane i wykorzystywane w dalszej pracy. Dzięki temu system posiada zdolność uczenia się, a co za tym idzie do inteligentnej, trafniejszej oceny przyszłych operacji.

Konsola operatorska IFD daje możliwość wizualizacji zachowania całego systemu, łącznie z parametrami wydajnościowymi. Pozwala również na podgląd listy reguł, ich modyfikację i testowanie. Oprócz tego pozwala na profilowanie systemu, a także zarządzanie wszystkimi parametrami działania: listą monitorowanych operacji, poziomem oceny ryzyka itd.

Elastyczność wdrożeń

IFD został zaprojektowany w sposób ułatwiający jego wdrożenie i integrację z istniejącą architekturą informatyczną organizacji.

Miejsce w architekturze IT

  • Monitoring we wszystkich kanałach elektronicznych.
  • Współpraca z istniejącymi systemami wykrywania nadużyć.
  • Zasilanie zdarzeniami z systemów organizacji (offline / online).

Zarządzanie regułami i budowanie bazy wiedzy

  • Samodzielne zarządzanie przez specjalistów klienta.
  • Zarządzanie przez specjalistów Softax.
  • Zarządzanie przy współpracy specjalistów klienta i firmy Softax.

Typowa współpraca z systemami organizacji

  • Pobieranie informacji z zewnętrznych systemów będących źródłem przetwarzanych operacji.
  • Przekazywanie oceny ryzyka operacji do zewnętrznych systemów (w postaci wyliczonego scoringu).
  • Przekazywanie i zbieranie informacji dotyczących obsługi operacyjnej, np. lista rozmów do wydzwonienia dla operatorów Contact Center.
  • Przekazywanie informacji do wysłania poprzez e-mail/SMS.

Typowe metody integracji

  • Bezpośrednie podłączenie do silnika istniejącej bazy danych.
  • Wymiana komunikatów web-service
  • Wymiana plików (także z wykorzystaniem mechanizmów automatyzujących wymianę plikową między systemami).