DataVisor utilizează algoritmi multidimensionali pentru a detecta conturile de utilizator frauduloase

Atacatorii profesioniști care doresc să exploateze utilizatorii legitimi de social media înregistrează în masă conturi de utilizatori abuzive în moduri în care acestea par legitim. Încercarea de a detecta aceste conturi abuzive individual înainte de a putea face vreo pagubă este aproape imposibilă. Algoritmul proprietar al DataVisor adoptă o nouă abordare prin analizarea mai multor dimensiuni în mai multe conturi și descoperirea corelațiilor ascunse dintre aceste conturi de utilizator frauduloase, oprirea lor înainte de a putea ataca.

Vă rugăm să ne spuneți un pic despre fundalul și poziția dvs. actuală la DataVisor.

Am primit doctoratul meu în Informatică de la Universitatea Carnegie Mellon cu teza mea în domeniul securității rețelei. După absolvire, m-am alăturat Microsoft Silicon Valley și acolo am întâlnit-o pe Fang Yu, cu care am fondat ulterior DataVisor în decembrie 2013. La Microsoft, am colaborat la securitatea rețelei, apoi am trecut la securitatea la nivel de aplicație, unde am lucrat cu un varietate de aplicații, inclusiv Bing, Hotmail, Azure, plăți de comerț electronic și probleme de fraudă la nivel de aplicație.

in orice caz, indicatori precum semnăturile de e-mail au fost abordate în mod izolat, și de-a lungul anilor am descoperit că toate aceste probleme sunt de fapt conectate și multe dintre ele erau doar simptome ale unor probleme abuzive și frauduloase la nivel de utilizator. Și în rădăcina problemei, toți au necesitat o mulțime de conturi de utilizatori, fie conturi de utilizator legitime nou create sau compromise. După șapte ani de lucru împreună la Microsoft, am dorit ca un nou cadru să analizeze rădăcina problemei luând o perspectivă mai largă asupra analizei contului, mai degrabă decât concentrarea pe simptome individual. Și, în același timp, am avut nevoie și de o modalitate de a urmări mai bine pe cineva care încearcă să sustragă detectarea, făcând lucrurile diferit, ceea ce ne determină să ne concentrăm pe o abordare care este foarte mult o abordare nesupravegheată..

Care sunt cele mai semnificative amenințări ale companiilor și ale clienților / clientului / utilizatorilor lor din aceste conturi frauduloase?

În sectorul social, vedem conturi frauduloase folosite pentru a trimite spam și pentru a perpetua atacuri de phishing. Recenziile false pot genera o aplicație care nu este în realitate decât malware, iar listările false de pe Airbnb vor lua depozite și vor rula.. Utilizatorii frauduloși care prezintă un consultant financiar și postează știri false (un termen foarte popular în aceste zile!) Pot conduce stocul sau reducerea companiei.

În sectorul financiar, atacurile pe care le vedem adesea sunt furturi de identitate în care au fost furate datele de acreditare și folosite pentru deschiderea conturilor. Există, de asemenea, achiziții frauduloase făcute cu carduri de credit furate, în special pentru bunuri digitale, cum ar fi iTunes.

Ce sunt celulele adormite?

Celulele adormitoare devin tot mai frecvente și sunt o metodă eficientă de a evita detectarea. Pe social media, conturile noi pot fi supuse unor restricții, deoarece nu au stabilit încă un istoric și nu se știe dacă în spatele lor există utilizatori reali. De exemplu, li se poate permite să posteze de mai multe ori pe săptămână sau tranzacțiile lor pot fi limitate la o anumită sumă în dolari – în speranța de a limita daunele pe care un cont abuziv le poate face. Deoarece atacatorii sunt conștienți de aceste limitări, au creat o mulțime de conturi false și le „incubează”.

În acest timp, ei pot avea o activitate legitimă care se preface că este un utilizator real pentru a stabili un istoric. Unele dintre cele mai sofisticate le vor plăcea, de exemplu, alte postări, iar în timpul procesului, ocazional, vor primi plăcere. Această implicare îi face să pară legitimi și activi.

După ce și-au stabilit reputația contului, tipul de daune pe care le pot face este mult mai mare decât un cont nou, deoarece aceste restricții inițiale de utilizare au fost ridicate, permițându-le să obțină profituri mai mari.

Ce este intermitentul dispozitivului și cum îl folosesc actorii răi pentru a crea conturi frauduloase?

Amprentarea dispozitivului a devenit o modalitate foarte populară de a detecta frauda. Dacă ne amintim fiecare dispozitiv pe care l-am văzut, atunci putem distinge cu ușurință între cele pe care știm că aparțin unui utilizator legitim și cele care au fost folosite pentru activități frauduloase în trecut. Deci, în mod natural, aveți atacatori care caută modalități de a evita acest lucru, iar intermitentul dispozitivului este doar unul dintre ele. Cu intermiterea dispozitivului, există un dispozitiv fizic prezent și traficul este de la dispozitiv, dar atacatorii îl aprind intermitent, deci dispozitivul apare ca un dispozitiv complet nou de fiecare dată când este utilizat pentru a configura un cont fraudulos. În acest fel, acestea se învârt în jurul mecanismelor de detectare care se bazează pe amprentarea dispozitivului pentru a evita activitatea frauduloasă.

Acum, când aceste conturi frauduloase devin din ce în ce mai dificil de identificat, cum identifică mai bine conturile și activitatea frauduloase DataVisor Machine NonServervised Machine Learning?

Asta e o intrebare buna. Este în mod evident o sarcină foarte provocatoare, deoarece există tot felul de abordări foarte sofisticate pentru a crea aceste conturi frauduloase. În plus față de cele menționate de noi, de intermitent și de celule de dormit, VPN-urile pot face ca acești utilizatori ai contului să pară împrăștiați pe glob, când, de fapt, toate sunt configurate dintr-o singură locație.

La DataVisor, de fapt, abordăm opusul. În loc să ne bazăm pe experiența trecută pentru a detecta un comportament cibercriminal, nu facem presupuneri cu privire la ceea ce vor face atacatorii. În acest fel avem ocazia să detectăm aceste amenințări. În al doilea rând, analizăm aceste conturi în mai multe dimensiuni ale activității utilizatorului. De exemplu, amprentarea dispozitivului este o dimensiune, vârsta contului și nivelul de activitate sunt alte dimensiuni. Când ne uităm la o singură dimensiune, este mult mai ușor să fim păcăliți. Cu toate acestea, când privim holistic o varietate de atribute diferite ale contului, inclusiv informațiile despre profil, cât timp a fost activ contul, adresa IP, tipul de dispozitiv, precum și comportamentul contului – când s-au autentificat, când au făcut o achiziție, când au trimis activ conținut, avem o idee mai bună a contului per ansamblu. Pe baza acestui lucru, abordăm ceea ce am numit Învățarea mașinii nesupravegheate care privește conturile și activitatea lor,

Această detecție nu se face analizând doar un singur cont pentru a determina dacă este sau nu un cont periculos, ci mai degrabă examinează mai multe conturi pentru asemănări și modele de activitate. Știm că atacatorii profesioniști nu creează aceste conturi frauduloase ca o soluție, deoarece acesta nu este un mod ridicat de a face lucrurile. Vor exploata mari și, pentru asta, au nevoie de multe conturi. Pe măsură ce aceiași atacatori orchestră aceste conturi, există ceva colectiv în legătură cu aceste conturi; cheia este de a găsi ce dimensiuni sunt corelate. Deci, nu facem nicio presupunere și nu vom lăsa algoritmii analizează numeroasele atribute ale acestor conturi uitându-le la toate împreună pentru a detecta acele asociații ascunse. În acest fel, aruncăm o plasă foarte largă pentru a descoperi aceste modele în mod automat. Aceasta este esența învățării automate nesupravegheate; nu bazându-se pe experiența istorică sau pe datele etichetelor anterioare, ci în schimb să utilizeze învățarea mașinii AI, precum și tehnici de analiză a datelor mari pentru a descoperi aceste noi tipare automat din aceste conturi și atributele lor.

De exemplu, aici este cazul unui inel de fraudă care folosește informații personale obținute printr-o încălcare a datelor pentru a solicita noi cărți de credit în aceste nume. Privind aceste aplicații individual, nu vedeți multe, deoarece toate informațiile par legitime. Numele se potrivește cu vârsta și cu alte informații personale, scorul de credit pare corect și niciunul dintre solicitanți nu a fost găsit într-o bază de date de fraudă.

Cu toate acestea, dacă priviți aceste aplicații prin obiectivul de învățare fără supraveghere a mașinilor și luați în considerare alte informații, cum ar fi amprenta digitală, adresa de e-mail folosită pentru crearea contului, adresa IP, precum și browserul și dispozitivul care a fost utilizat, tiparele încep să apară. Toate au aplicat pentru același tip de produs, fiecare adresă de e-mail este creată din aceeași combinație de prenume, ultima inițială și ziua de naștere, toate adresele IP provin de la centrele de date și au folosit dispozitive iPhone similare, mai vechi, cu același sistem de operare, toate folosind aceleași browsere. Deci, analizând imaginea mai mare decât individual, DataVisor a fost capabil să descopere aceste corelații suspecte și să detecteze peste 200 de aplicații frauduloase.

Ce se întâmplă odată ce DataVisor identifică un cont ca fiind fraudulos?

Există multe modalități de a face față conturilor etichetate drept suspecte. De exemplu, un serviciu de socializare ar putea bloca complet conturile identificate drept cele de înaltă încredere imediat. De asemenea, pot opta conturi suspecte în carantină și impun politici mai stricte pentru a-și limita activitatea, deci pot rămâne activi, dar nu pot face daune. În alte cazuri, serviciul poate lua măsuri pentru validarea acestor conturi în continuare.