DataVisor использует многомерные алгоритмы для обнаружения мошеннических учетных записей пользователей

Профессиональные злоумышленники, желающие использовать законных пользователей социальных сетей, массово регистрируют оскорбительные учетные записи пользователей. таким образом, что они кажутся законными. Попытка обнаружить эти оскорбительные записи по отдельности, прежде чем они смогут нанести какой-либо ущерб, практически невозможна. Собственный алгоритм DataVisor использует новый подход, анализируя различные измерения по нескольким учетным записям и обнаружение скрытых корреляций между этими мошенническими учетными записями пользователей, остановка их до того, как они смогут атаковать.

Пожалуйста, расскажите нам немного о своем прошлом и текущем положении в DataVisor..

Я получил докторскую степень в области компьютерных наук из Университета Карнеги-Меллона, защитив диссертацию по сетевой безопасности. После получения диплома я присоединился к Microsoft Silicon Valley, и именно там я встретил Фанга Ю, с которым позже основал DataVisor в декабре 2013 года. В Microsoft мы сотрудничали в области сетевой безопасности, а затем перешли к защите на уровне приложений, где работали с различные приложения, включая Bing, Hotmail, Azure, платежи через электронную торговлю и проблемы с мошенничеством на уровне приложений.

тем не мение, индикаторы, такие как подписи электронной почты, обычно подходили изолированно, и за эти годы мы обнаружили, что все эти проблемы на самом деле связаны, и многие из них были просто симптомами злоупотреблений и мошенничества на уровне пользователей. И в корне проблемы все они требовали много аккаунтов пользователей, новые или скомпрометированные законные учетные записи пользователей. После семи лет совместной работы в Microsoft мы хотели, чтобы новая структура выявила корень проблемы, более широкий взгляд на анализ аккаунта, а не на индивидуальные симптомы. И в то же время нам также нужен был способ лучше отследить кого-то, кто пытается избежать обнаружения, делая что-то по-другому, что заставляет нас сосредоточиться на подходе, который в значительной степени является неконтролируемым подходом.

Каковы наиболее значительные угрозы, с которыми компании и их клиенты / клиенты / пользователи сталкиваются с этих мошеннических учетных записей?

В социальном секторе мы видим мошеннические аккаунты, используемые для рассылки спама и фишинговых атак. Поддельные обзоры могут запустить приложение, которое на самом деле является не чем иным, как вредоносным ПО, а поддельные списки на Airbnb будут принимать депозиты и запускать. Мошеннические пользователи, изображающие из себя финансового консультанта и публикующие поддельные новости (очень популярный в наши дни термин), могут повысить или понизить акции компании..

В финансовом секторе мы часто видим атаки, связанные с кражей личных данных, когда учетные данные были украдены и использованы для открытия счетов. Есть также мошеннические покупки, сделанные с помощью украденных кредитных карт, особенно для цифровых товаров, таких как iTunes.

Что такое спящие клетки?

Спящие клетки становятся все более распространенными и представляют собой эффективный способ избежать обнаружения. В социальных сетях, новые учетные записи могут подвергаться ограничениям, поскольку они еще не создали историю и неизвестно, есть ли за ними реальные пользователи. Например, им может быть разрешено публиковать сообщения только несколько раз в неделю, или их транзакции могут быть ограничены определенной суммой в долларах – в надежде ограничить ущерб, который может нанести оскорбительный счет. Злоумышленники знают об этих ограничениях, они создают много поддельных учетных записей и «инкубируют» их.

В течение этого времени они могут иметь законную активность, притворяясь реальным пользователем, чтобы создать историю. Некоторым из более сложных из них, например, понравятся другие посты, и в процессе работы они время от времени возвращаются. Это взаимодействие делает их похожими на законных, активных пользователей.

После того, как они установили репутацию своего аккаунта, тип ущерба, который они могут нанести, намного больше, чем новый аккаунт., поскольку эти первоначальные ограничения на использование были сняты, что позволяет им получать более высокую прибыль.

Что такое перепрошивка устройства и как злоумышленники используют его для создания мошеннических аккаунтов??

Снятие отпечатков пальцев с устройства стало очень популярным способом обнаружения мошенничества. Если мы помним каждое устройство, которое мы видели, то мы можем легко различить те, которые, как мы знаем, принадлежат законному пользователю, и те, которые использовались для мошеннической деятельности в прошлом. Естественно, злоумышленники ищут способы обойти это, и перепрошивка устройства – это только один из них. При перепрошивке устройства присутствует физическое устройство, и трафик идет с устройства, но злоумышленники его прошивают, поэтому устройство появляется как совершенно новое устройство каждый раз, когда оно используется для настройки мошеннической учетной записи. Таким образом они обходят механизмы обнаружения, которые полагаются на дактилоскопию устройства, чтобы избежать мошеннической деятельности.

Теперь, когда эти мошеннические учетные записи становятся все более и более трудными для идентификации, как механизм машинного обучения DataVisor Unsupervised лучше идентифицирует мошеннические учетные записи и действия?

Это хороший вопрос. Это, очевидно, очень сложная задача, поскольку существуют различные виды очень сложных подходов к созданию этих мошеннических аккаунтов. В дополнение к тем, которые мы упомянули, мигание устройств и спящие ячейки, виртуальные частные сети могут создавать впечатление, что пользователи этих учетных записей рассеяны по всему земному шару, хотя на самом деле все они настраиваются из одного места..

В DataVisor мы используем противоположный подход.. Вместо того, чтобы полагаться на прошлый опыт для выявления поведения киберпреступников, мы не делаем никаких предположений относительно того, что собираются делать злоумышленники.. Таким образом, у нас есть возможность обнаружить эти угрозы. Во-вторых, мы рассматриваем эти учетные записи в более чем одном измерении активности пользователей. Например, дактилоскопия устройства – это одно измерение, возраст учетной записи и уровень активности – это другие измерения. Когда мы смотрим только на одно измерение, нас намного легче обмануть. Однако когда мы смотрим на множество различных атрибутов аккаунта, включая информацию о профиле, как долго учетная запись была активна, IP-адрес, тип устройства, а также поведение учетной записи – когда они вошли в систему, когда они совершили покупку, когда они активно отправляли контент, у нас есть лучшая идея счета в целом. И на основе этого мы используем подход, который мы назвали Неуправляемое машинное обучение который смотрит на счета и их активность,

Это обнаружение не выполняется путем просмотра только одной учетной записи, чтобы определить, является ли она опасной или нет, а скорее для изучить несколько аккаунтов на предмет сходства и моделей деятельности. Мы знаем, что профессиональные злоумышленники не создают эти мошеннические учетные записи как единое целое, поскольку это не выгодный способ ведения дел. Они собираются эксплуатировать большие, и для этого им нужно много аккаунтов. Поскольку те же самые злоумышленники управляют этими учетными записями, в этих учетных записях есть что-то коллективное; ключ находит, какие измерения коррелируют. Таким образом, мы не делаем никаких предположений, и пусть алгоритмы анализируют многие атрибуты этих учетных записей, просматривая их все вместе, чтобы обнаружить эти скрытые ассоциации. Таким образом, мы создаем очень широкую сеть для автоматического обнаружения этих паттернов. В этом суть неконтролируемого машинного обучения; не полагаясь на исторический опыт или прошлые данные меток, но вместо этого используя машинное обучение ИИ, а также методы анализа больших данных, чтобы автоматически обнаруживать эти новые шаблоны из этих учетных записей и их атрибутов.

Например, вот случай мошенничества с использованием личной информации, полученной в результате взлома данных, для подачи заявки на новые кредитные карты на эти имена. Глядя на эти приложения по отдельности, вы не видите много, потому что вся информация кажется законной. Имя соответствует возрасту и другой личной информации, кредитный рейтинг кажется правильным, и ни один из заявителей не был найден в базе данных о мошенничестве..

Однако, если вы посмотрите на эти приложения через призму машинного обучения без присмотра и рассмотрите другую информацию, такую ​​как цифровой отпечаток, адрес электронной почты, использованный для создания учетной записи, IP-адрес, а также браузер и используемое устройство, модели начинают появляться. Все они подали заявку на один и тот же тип продукта, каждый адрес электронной почты создается из одной и той же комбинации имени, фамилии, имени и даты рождения, все IP-адреса поступают из центров обработки данных и используют аналогичные старые устройства iPhone с той же операционной системой, все используя те же браузеры. Таким образом, глядя на более широкую картину, а не по отдельности, DataVisor удалось обнаружить эти подозрительные корреляции и обнаружить более 200 мошеннических приложений.

Что происходит, когда DataVisor идентифицирует учетную запись как мошенническую?

Есть много способов справиться с аккаунтами, которые помечены как подозрительные. Например, служба социальных сетей может полностью заблокировать учетные записи, определенные как надежные. Они также могут выбрать помещать на карантин подозрительные аккаунты и устанавливать более строгие правила для ограничения их деятельности, поэтому они могут оставаться активными, но не могут наносить урон. В других случаях служба может предпринять шаги для дальнейшей проверки этих учетных записей..