DataVisor ใช้อัลกอริธึมหลายมิติในการตรวจจับบัญชีผู้ใช้ที่ฉ้อโกง

ผู้โจมตีมืออาชีพที่ต้องการเอาเปรียบผู้ใช้โซเชียลมีเดียที่ถูกกฎหมายกำลังทำการลงทะเบียนบัญชีผู้ใช้ที่ไม่เหมาะสม ในรูปแบบที่ถูกต้องตามกฎหมาย การพยายามตรวจสอบบัญชีที่ไม่เหมาะสมเหล่านี้เป็นรายบุคคลก่อนที่จะสามารถทำความเสียหายใด ๆ นั้นเป็นไปไม่ได้เกือบ อัลกอริทึมที่เป็นกรรมสิทธิ์ของ DataVisor ใช้แนวทางใหม่โดยการวิเคราะห์หลายมิติในหลายบัญชีและ เปิดเผยความสัมพันธ์ที่ซ่อนอยู่ระหว่างบัญชีผู้ใช้ที่ฉ้อโกงเหล่านี้หยุดพวกเขาก่อนที่จะโจมตี.

โปรดบอกเราเล็กน้อยเกี่ยวกับพื้นหลังและตำแหน่งปัจจุบันของคุณที่ DataVisor.

ฉันได้รับปริญญาเอก ในสาขาวิทยาศาสตร์คอมพิวเตอร์จาก Carnegie Mellon University พร้อมด้วยวิทยานิพนธ์ของฉันเกี่ยวกับความปลอดภัยของเครือข่าย หลังจากเรียนจบฉันได้เข้าร่วม Microsoft Silicon Valley และอยู่ที่นั่นฉันได้พบกับ Fang Yu ซึ่งต่อมาฉันก่อตั้ง DataVisor ในเดือนธันวาคม 2556 ที่ Microsoft เราร่วมมือกับความปลอดภัยเครือข่ายและจากนั้นก็ย้ายไปที่ระดับความปลอดภัยของแอป แอพพลิเคชั่นหลากหลายรวมถึง Bing, Hotmail, Azure, การชำระเงินทางอีคอมเมิร์ซและปัญหาการทุจริตระดับแอปพลิเคชัน.

อย่างไรก็ตาม, ตัวชี้วัดเช่นลายเซ็นอีเมลมักจะแยกเข้าหากัน, และในช่วงหลายปีที่ผ่านมาเราค้นพบว่าปัญหาทั้งหมดเหล่านี้มีการเชื่อมโยงกันจริงและส่วนใหญ่เป็นเพียงอาการของปัญหาที่ไม่เหมาะสมและเป็นการฉ้อโกงในระดับผู้ใช้ และ ในรากของปัญหาพวกเขาทั้งหมดต้องมีบัญชีผู้ใช้จำนวนมาก, บัญชีผู้ใช้ที่สร้างขึ้นใหม่หรือถูกกฎหมาย หลังจากเจ็ดปีของการทำงานร่วมกันที่ Microsoft เราต้องการกรอบการทำงานใหม่เพื่อตรวจสอบรากของปัญหาโดย ใช้มุมมองที่กว้างขึ้นของการวิเคราะห์บัญชีแทนที่จะมุ่งเน้นที่อาการเป็นรายบุคคล. และในเวลาเดียวกันเรายังต้องการวิธีที่จะติดตามคนที่พยายามหลบการตรวจจับได้ดีขึ้นโดยทำสิ่งต่าง ๆ ซึ่งทำให้เรามุ่งเน้นไปที่วิธีการที่เป็นวิธีที่ไม่ได้รับการดูแลอย่างมาก.

อะไรคือภัยคุกคามที่สำคัญที่สุดที่ บริษัท และลูกค้า / ลูกค้า / ผู้ใช้เผชิญอยู่จากบัญชีหลอกลวงเหล่านี้?

ในภาคสังคมเราเห็นบัญชีหลอกลวงที่ใช้ในการส่งสแปมและการโจมตีแบบฟิชชิ่ง บทวิจารณ์ปลอมสามารถเพิ่มประสิทธิภาพแอปที่เป็นจริงไม่มีอะไรมากไปกว่ามัลแวร์และรายชื่อปลอมใน Airbnb จะรับฝากและเรียกใช้. ผู้ใช้ที่ฉ้อโกงที่โพสต์ในฐานะที่ปรึกษาทางการเงินและโพสต์ข่าวปลอม (คำศัพท์ที่นิยมกันมากในปัจจุบัน) สามารถผลักดันหุ้นของ บริษัท ขึ้นหรือลง.

ในภาคการเงินการโจมตีที่เรามักจะเห็นคือการขโมยข้อมูลประจำตัวที่ข้อมูลประจำตัวถูกขโมยและใช้ในการเปิดบัญชี นอกจากนี้ยังมีการสั่งซื้อสินค้าปลอมด้วยบัตรเครดิตที่ถูกขโมยโดยเฉพาะสินค้าดิจิทัลเช่น iTunes.

เซลล์นอนคืออะไร?

เซลล์ Sleeper กลายเป็นเรื่องธรรมดามากขึ้นและเป็นวิธีที่มีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับ บนโซเชียลมีเดีย, บัญชีใหม่อาจมีข้อ จำกัด เนื่องจากยังไม่ได้สร้างประวัติ และไม่ทราบว่ามีผู้ใช้จริงอยู่ข้างหลังพวกเขาหรือไม่ ตัวอย่างเช่นพวกเขาอาจได้รับอนุญาตให้โพสต์หลายครั้งต่อสัปดาห์หรือการทำธุรกรรมของพวกเขาอาจถูก จำกัด ด้วยจำนวนเงินดอลลาร์ – โดยหวังว่าจะจำกัดความเสียหายที่บัญชีที่ไม่เหมาะสมสามารถทำได้. เมื่อผู้โจมตีทราบถึงข้อ จำกัด เหล่านี้พวกเขาจึงสร้างบัญชีปลอมขึ้นมาจำนวนมากและ “ทำการฟักไข่”.

ในช่วงเวลานั้นพวกเขาอาจมีกิจกรรมที่ชอบด้วยกฎหมายที่แกล้งเป็นผู้ใช้จริงเพื่อสร้างประวัติศาสตร์ ตัวอย่างที่ซับซ้อนกว่านี้จะชอบโพสต์อื่น ๆ เช่นและในระหว่างกระบวนการบางครั้งก็จะได้รับการตอบกลับ การมีส่วนร่วมนี้ทำให้พวกเขาดูเหมือนผู้ใช้ที่ใช้งานจริงและถูกกฎหมาย.

เมื่อพวกเขาสร้างชื่อเสียงบัญชีของพวกเขาแล้วประเภทของความเสียหายที่พวกเขาสามารถทำได้นั้นยิ่งใหญ่กว่าบัญชีใหม่, เนื่องจากข้อ จำกัด เบื้องต้นเกี่ยวกับการใช้งานได้ถูกยกขึ้นทำให้พวกเขาสามารถทำกำไรได้สูงขึ้น.

อุปกรณ์กระพริบคืออะไรและนักแสดงที่ไม่ดีใช้เพื่อสร้างบัญชีที่หลอกลวงได้อย่างไร?

การพิมพ์ลายนิ้วมือของอุปกรณ์เป็นวิธีที่นิยมใช้กันมากในการตรวจจับการฉ้อโกง. หากเราจำอุปกรณ์ทุกชิ้นที่เราเห็นเราสามารถแยกแยะความแตกต่างระหว่างอุปกรณ์ที่เรารู้ว่าเป็นของผู้ใช้ที่ถูกกฎหมายและอุปกรณ์ที่ใช้ในการฉ้อโกงในอดีต. โดยธรรมชาติแล้วคุณมีผู้โจมตีที่กำลังมองหาวิธีที่จะหลีกเลี่ยงปัญหานี้และการกะพริบของอุปกรณ์เป็นเพียงหนึ่งในนั้น เมื่ออุปกรณ์กะพริบแสดงว่ามีอุปกรณ์อยู่จริงและปริมาณการใช้งานมาจากอุปกรณ์ แต่ผู้โจมตีจะกะพริบดังนั้น อุปกรณ์จะแสดงเป็นอุปกรณ์ใหม่ทั้งหมดทุกครั้งที่ใช้เพื่อตั้งค่าบัญชีที่หลอกลวง. วิธีนี้พวกเขาได้รับกลไกการตรวจจับที่ต้องอาศัยการพิมพ์ลายนิ้วมือของอุปกรณ์เพื่อหลีกเลี่ยงการฉ้อโกง.

ขณะนี้บัญชีที่หลอกลวงเหล่านี้กำลังระบุได้ยากขึ้นและยากขึ้น DataVisor Machine Unsupervised Machine Learning Engine จะระบุบัญชีและกิจกรรมที่หลอกลวงได้ดีขึ้นอย่างไร?

นั่นเป็นคำถามที่ดี เห็นได้ชัดว่ามันเป็นงานที่ท้าทายอย่างยิ่งเนื่องจากมีวิธีการที่ซับซ้อนมากในการสร้างบัญชีที่หลอกลวงเหล่านี้ นอกเหนือจากที่เรากล่าวถึงอุปกรณ์กระพริบและเซลล์สลีปเปอร์ VPN สามารถทำให้ผู้ใช้บัญชีเหล่านี้ดูเหมือนจะกระจัดกระจายไปทั่วโลกในความเป็นจริงพวกเขาทั้งหมดถูกตั้งค่าจากที่เดียว.

ที่ DataVisor เราใช้แนวทางตรงกันข้าม. แทนที่จะอาศัยประสบการณ์ที่ผ่านมาเพื่อตรวจจับพฤติกรรมอาชญากรไซเบอร์เราไม่ได้ตั้งสมมติฐานว่าผู้โจมตีจะทำอะไร. วิธีนี้เรามีโอกาสตรวจจับภัยคุกคามเหล่านี้ ประการที่สองเรากำลังดูบัญชีเหล่านี้ในมากกว่าหนึ่งมิติของกิจกรรมผู้ใช้ ตัวอย่างเช่นการพิมพ์ลายนิ้วมือของอุปกรณ์เป็นหนึ่งมิติอายุของบัญชีและระดับของกิจกรรมเป็นมิติอื่น เมื่อเราดูเพียงหนึ่งมิติมันจะถูกหลอกได้ง่ายกว่ามาก อย่างไรก็ตามเมื่อไหร่ เราดูคุณสมบัติบัญชีที่หลากหลายแบบองค์รวม, รวมถึงข้อมูลโปรไฟล์บัญชีที่ใช้งานอยู่ที่อยู่ IP ประเภทของอุปกรณ์ตลอดจนพฤติกรรมของบัญชี – เมื่อพวกเขาเข้าสู่ระบบเมื่อพวกเขาทำการซื้อเมื่อพวกเขาส่งเนื้อหาเรามีความคิดที่ดีกว่า ของบัญชีโดยรวม และจากนี้เราใช้วิธีการที่เราเรียกว่า การเรียนรู้ของเครื่องที่ไม่ได้รับการสนับสนุน ซึ่งดูที่บัญชีและกิจกรรมของพวกเขา,

การตรวจจับนี้ไม่ได้ทำโดยดูที่บัญชีเพียงบัญชีเดียวเพื่อตรวจสอบว่าเป็นบัญชีที่อันตรายหรือไม่ แต่ควรทำ กลั่นกรองหลายบัญชีสำหรับความคล้ายคลึงกันและรูปแบบกิจกรรม. เรารู้ว่าผู้โจมตีมืออาชีพไม่ได้สร้างบัญชีที่ฉ้อโกงเหล่านี้ในฐานะที่เป็นหนึ่งเพราะนั่นไม่ใช่วิธีการทำกำไรสูง พวกเขาจะเอาเปรียบคนจำนวนมากและพวกเขาต้องการบัญชีหลายบัญชี เนื่องจากผู้โจมตีรายเดียวกันทำการปรับแต่งบัญชีเหล่านี้จึงมีบางอย่างที่เกี่ยวกับบัญชีเหล่านี้ กุญแจสำคัญคือการค้นหามิติที่มีความสัมพันธ์ ดังนั้นเราจะไม่ทำการตั้งสมมติฐานและปล่อยให้ อัลกอริทึมจะวิเคราะห์คุณลักษณะหลายอย่างของบัญชีเหล่านี้โดยดูทั้งหมดเข้าด้วยกันเพื่อตรวจหาการเชื่อมโยงที่ซ่อนอยู่เหล่านั้น. ด้วยวิธีนี้เราใช้เครือข่ายที่กว้างมากเพื่อค้นหารูปแบบเหล่านั้นโดยอัตโนมัติ นั่นคือสาระสำคัญของการเรียนรู้ของเครื่องที่ไม่ได้รับการสนับสนุน ไม่ต้องอาศัยประสบการณ์ในอดีตหรือข้อมูลฉลากที่ผ่านมา แต่ใช้ประโยชน์จากการเรียนรู้เครื่อง AI เช่นเดียวกับเทคนิคการวิเคราะห์ข้อมูลขนาดใหญ่เพื่อค้นหารูปแบบใหม่เหล่านี้โดยอัตโนมัติจากบัญชีเหล่านี้และคุณลักษณะของพวกเขา.

ตัวอย่างเช่นนี่คือกรณีของการฉ้อโกงโดยใช้ข้อมูลส่วนบุคคลที่ได้รับจากการฝ่าฝืนข้อมูลเพื่อสมัครบัตรเครดิตใหม่ในชื่อเหล่านั้น. เมื่อดูที่แอปพลิเคชันเหล่านี้เป็นรายบุคคลคุณจะไม่เห็นมากนักเนื่องจากข้อมูลทั้งหมดนั้นถูกต้องตามกฎหมาย. ชื่อนั้นตรงกับอายุและข้อมูลส่วนบุคคลอื่น ๆ คะแนนเครดิตดูเหมือนถูกต้องและไม่พบผู้สมัครในฐานข้อมูลการฉ้อโกง.

อย่างไรก็ตามหากคุณดูแอปพลิเคชันเหล่านี้ผ่านเลนส์ของ Unsupervised Machine Learning และพิจารณาข้อมูลอื่น ๆ เช่นรอยเท้าดิจิทัลที่อยู่อีเมลที่ใช้ในการสร้างบัญชีที่อยู่ IP รวมถึงเบราว์เซอร์และอุปกรณ์ที่ใช้, รูปแบบเริ่มปรากฏ. พวกเขาทั้งหมดใช้สำหรับผลิตภัณฑ์ประเภทเดียวกันที่อยู่อีเมลแต่ละอันสร้างขึ้นจากการรวมกันของชื่อนามสกุลและวันเกิดครั้งแรกที่อยู่ IP ทั้งหมดมาจากศูนย์ข้อมูลและใช้อุปกรณ์ iPhone รุ่นเก่าที่มีระบบปฏิบัติการเดียวกันทั้งหมด ใช้เบราว์เซอร์เดียวกัน ดังนั้นเมื่อมองภาพใหญ่กว่ารายบุคคล DataVisor ก็สามารถค้นพบความสัมพันธ์ที่น่าสงสัยเหล่านี้และตรวจจับแอปพลิเคชันที่หลอกลวงกว่า 200 รายการ.

จะเกิดอะไรขึ้นเมื่อ DataVisor ระบุว่าบัญชีนั้นเป็นการหลอกลวง?

มีหลายวิธีในการจัดการกับบัญชีที่มีข้อความน่าสงสัย ตัวอย่างเช่นบริการสื่อสังคมออนไลน์สามารถบล็อกบัญชีที่ระบุว่าเป็นบัญชีที่มีความมั่นใจสูงได้ทันที พวกเขาอาจเลือกที่จะ กักกันบัญชีที่น่าสงสัยและกำหนดนโยบายที่เข้มงวดเพื่อ จำกัด กิจกรรมของพวกเขา, เพื่อให้สามารถใช้งานได้ แต่ไม่สามารถทำความเสียหายได้ ในกรณีอื่นบริการอาจใช้ขั้นตอนในการตรวจสอบบัญชีเหล่านี้เพิ่มเติม.