בנובמבר 2021 החליט בנק צרפתי גדול - אחד מחמשת הגדולים במדינה - לשדרג את אתר הבנקאות הדיגיטלית שלו כדי לאפשר ללקוחותיו לנהל את הפרופיל שלהם ולהעביר כספים ביתר קלות וללא חסמים. לפני השדרוג, הלקוחות נאלצו להגיע לסניף בכדי לשנות פרטים מסוימים הקשורים בחשבון הבנק, וכעת, כשנחסך מהם הצורך להגיע פיזית לסניף, היה מדובר בהקלה משמעותית עבורם. אלא שהשדרוג לא נסתר גם מעיניהן של כנופיות העוסקות בפשיעה והונאה דיגיטלית. שבוע ימים לאחר השקת השירות החדש נתקל הבנק בניסיונות פריצה לחשבונות, תוך שימוש באפשרות הדיגיטלית החדשה. בנקודה זו הסיפור יכול היה להיגמר רע מאוד עבור הבנק ולקוחותיו, אבל כאן נכנסו לתמונה גם פתרונות ההגנה של יבמ טראסטיר (Trusteer).
דורון בן-ארי, מנהל מעבדת טראסטיר ב-IBM Security, מספר כי בבנק הצרפתי, שהיה לקוח של טראסטיר והכיר את היכולות של מוצרי החברה, הצליחו בתוך שלושה ימים בלבד להטמיע שכבת אבטחה נוספת עבור השירות המשודרג. הפתרון אוסף מידע חדש, מנתח אותו בזמן אמת ומספק לבנק המלצות סיכון עבור הסיטואציה החדשה. התוצאה: בתוך כשבוע נבלמו כל 22 ניסיונות ההונאה שניסו לנצל את החולשה החדשה.
הגנה אפקטיבית באמצעות זיהוי ודיוק
גורם נוסף שהופך את סיפור ההצלחה למעניין עוד יותר היה הדיוק. "קל למדי לאנשי מקצוע בתחום אבטחת המידע לבלום 22 ניסיונות הונאה אם מתריעים לבנק על כל חשד, גם הקל שבקלים. אך הטקטיקה הזו הייתה מייצרת אלפי התראות בסיכון נמוך, ופעילות בנקאית גלובלית הייתה מתקשה לעמוד בשיטפון שכזה. מה שנדרש כאן היה דיוק בזיהוי ההתראות המסוכנות באמת, כדי להניב אחוז נמוך מאוד של התראות שווא", מבהיר בן-ארי.
בוא נקדים ונדבר על התראות שווא שיוצרות לא מעט בעיות.
"נכון. ראשית, הארגון סובל מעומס עבודה מיותר ומשחיקת עובדים - תופעה שזכתה לכינוי הלא מחמיא Alert Fatigue. עבור לקוחות הארגון, התראות שווא מתורגמות לדרישות אימות חוזרות ונשנות שלא לצורך, שמובילים בהכרח לחוויית לקוח שלילית, לעיתים עד כדי נטישה. במקרה של אותו בנק צרפתי נוצרו בשבוע הראשון 23 התראות, ומתוכן 22 אומתו כניסיון הונאה -דיוק באבחנה של מעל 95%".
אז איך בדיוק זה עובד?
"קל לטעות ולחשוב שמדובר במודל בודד של למידת מכונה, או במספר אינדיקטורים בסיסיים שמאתרים את הזהויות החשודות, אך המציאות מורכבת הרבה יותר. טראסטיר מספקת פתרונות שנשענים על מספר נדבכים: הראשון הוא איסוף נרחב של נתונים במגוון ערוצים טכנולוגיים (למשל, הדפדפן או הטלפון הנייד), וגם בעזרת ספקי צד שלישי של מידע רלוונטי. על התשתית הזו מוסיפים רובד של שימוש בחוקים (Rule engine) וכן שימוש במודלים ולמידת מכונה. במקביל, מבטיחים שיתוף פעולה תדיר והדוק עם לקוחות הבנק לאיתור סיכונים וזיהוי פתרונות, וכן מבצעים מחקר מתקדם בנושאי שיטות פעולה של התוקפים, שעל בסיסו יוצרים מאגר ידע נרחב של שיטות פעולה ובסיס נתונים של הגנות, כך שהגנה שפותחה עבור לקוח אחד משמשת כבסיס להגנה על בסיס לקוחות רחב (Data Consortium).
"השילוב של כל הנדבכים הללו לכדי 'חליפת הגנה' כוללת מעניק מעטפת בסיסית חזקה, אך גם כזו הניתנת לשינוי והתאמה בעת הצורך, והיא בולמת הונאות שנובעות מגניבת זהויות והשתלטות על חשבונות (ATO) - עם שיעור דיוק גבוה".
פתרונות חדשים, התקפות חדשות
דוגמא נוספת לשינוי חוויית הלקוח, שחושף חולשה שחמקה בזמן תכנון ובדיקת המערכת, זוהתה בבנק אמריקאי גדול (גם הוא אחד מחמשת המובילים בארה״ב). "הבנק פתח בפני לקוחותיו אפשרות למשיכת מזומנים בכספומטים ללא צורך בכרטיס אשראי אלא על-ידי שימוש באפליקציה בטלפון הנייד וקבלת קוד חד-פעמי (Card Free ATM)", מתאר בן-ארי. "לרוע המזל, כנופיות דיגיטליות איתרו 'באג' באפליקציה הבנקאית שאיפשר להם לקבל קוד חד-פעמי למשיכת כסף מחשבונות שונים. במקרה הזה חוקרי טראסטיר איתרו את השימוש הזדוני ב'באג', התריעו בפני הבנק וזה תיקן את האפליקציה, אך גם הוסיף שכבת הגנה נוספת לזיהוי הבעיה בזמן אמת".
ארגוני הפשיעה פועלים כיום כעסק לכל דבר. אם לוקחים בחשבון שסכום המשיכה של מזומנים הוא בדרך כלל מוגבל ונמוך, הרי התקפה על לקוחות בזמן משיכת מזומנים מכספומט דורשת מן הסתם מספר גדול של הצלחות כדי להשיג סכום נכבד.
"זה נכון, אבל לא כל ההתקפות בנויות על מספר גדול של גניבות 'קטנות'. לעיתים אנחנו מאתרים ניסיון לבצע פעולת הונאה בודדת, אך בסכום גדול מאוד. במאי השנה המוצר שלנו התריע ובלם ניסיון הונאה בודד בסך של 1.7 מיליון דולר. מה שמעניין בזיהוי המוצלח הזה היה שילוב של אותם נדבכי ההגנה מדוברים: שימוש במודל למידת מכונה, זיהוי של שינוי התנהגותי וזיהוי של תכונות המכשיר ממנו בוצעה הגישה. אגב, זה לא הליוויתן הכי גדול שעלה ברשתנו: לפני מספר חודשים עצרנו העברה בודדת בסכום שעלה על 3.0 מיליון דולר".
בן-ארי מציין, כי כר פורה נוסף להונאות בנקאיות הוא יצירת חשבונות חדשים. את הפרטים הנדרשים ליצירת החשבונות הללו משיגים התוקפים בזכות דליפות מידע ענקיות שמשחררות לעולם נתונים רבים – לרבות נתונים מזהים כמו פרטי משתמש ופרטים אישיים נוספים, הניתנים לרכישה ב"שוק השחור" של עולם הסייבר: הדארקנט.
"בפברואר השנה, אחד מלקוחותינו בארה״ב חווה התקפה מאסיבית שעשתה שימוש בנתונים שכאלה. בשלב הראשון התוקפים השתמשו בפרטים גנובים כדי ליצור חשבונות חדשים. בשלב הבא שינה התוקף פרטי חשבון כמו מספר טלפון וכתובת מייל. בנקודה הזאת התוקף ביצע העברות כספים ואפילו בקשות להלוואות, כאשר יש לו שליטה מלאה על חשבון 'אמיתי' לכאורה, שבעליו כלל לא מודע לקיומו. כמובן שבהתקפות מסוג זה האתגר גדול מכיוון שנעשה שימוש בפרטים של אנשים אמיתיים. למרות זאת, מוצרי טראסטיר התריעו בזמן אמת, תוך כדי יצירת החשבון, על 50% מתוך 903 חשבונות מזויפים, ואילו הנותרים 'נתפסו' בשלבים מאוחרים יותר של ההתקפה".
עלייה בהונאת זהויות דיגיטליות בישראל
טראסטיר נרכשה על-ידי יבמ ב-2014, והיא חלק מחטיבת אבטחת המידע - IBM Security. מוצריה מספקים פתרונות בתחום אישור זהויות, גילוי הונאות ומניעת פשיעה דיגיטלית בזמן אמת - בעיקר בשוק הפיננסי - והיא משרתת לקוחות ברחבי העולם (וגם בישראל). קוד החברה מוטמע במאות מיליוני נקודות קצה (דפדפנים, טלפונים ניידים ומחשבים אישיים) של הבנקים המובילים בעולם. לצד טראסטיר, פועלת במרכז הפיתוח בישראל גם יחידת גארדיום, שעוסקת באבטחת מסדי נתונים, וכן מעבדות המחקר של IBM המובילות את תחום חקר הסייבר ב-IBM העולמית.
"אף שמרבית התיאורים שהובאו כאן עסקו בהתגברות על איומי סייבר במוסדות פיננסיים באירופה וארה״ב, אנו פועלים גלובלית ובין לקוחותינו נמנות חברות ביטוח, בנקים וגופים מסחריים מרחבי העולם, וגם ישראל", מבהיר דורון בן-ארי. "בין השאר, מסתמנת בארץ עלייה בפשיעת סייבר בפרט בתחום של הונאת זהויות דיגיטליות, וממש לאחרונה זיהינו בזמן אמת מתקפה מתוחכמת של 'הנדסה חברתית' על לקוחות של חברה ישראלית המוכרת לכולנו. הטכנולוגיה שבעזרתה גילינו ואפשרנו התמודדות עם ההתקפה הזו, פותחה בידי מאות עובדי יבמ הפועלים בארץ - חוקרי חולשות, מהנדסי תוכנה ואלגוריתמאים, מדעני נתונים ומומחי AI, מומחי תשתיות ענן, אנשי שירותים טכניים, אנשי תמיכת לקוחות וכדומה. חלקם, אגב, לקוחות של אותה חברה מותקפת כך שתחושת ההצלחה שלהם הייתה כפולה".
בשיתוף יבמ טראסטיר (Trusteer)
