Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
Изобретение относится к решениям для безопасного взаимодействия пользователя с удаленными сервисами. Технический результат заключается в обеспечении заявленного назначения. Способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами содержит этапы: выполняют начальную классификацию сайта удаленного сервиса, при этом создается семантическая модель сайта удаленного сервиса; выявляют признаки активности пользователя при взаимодействии пользователя с сайтом удаленного сервиса с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя; определяют на основании выявленных данных идентификатор ресурса с использованием семантической модели сайта удаленного сервиса; анализируют выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей; выявляют мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности. 3 з.п. ф-лы, 3 ил., 3 табл.
Область техники
Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами.
Уровень техники
В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, поставщиков пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные банковские операции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным выполнение банковских операций без использования пластиковой карты или реквизитов банковского счета.
Кроме того, существуют различные механизмы защиты средств пользователя от несанкционированного доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двухэтапная аутентификация: после ввода в браузере на сайте банка аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.
Однако, стоит отметить, что существует множество мошеннических (англ. fraud) атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение (например, инструменты удаленного администрирования) также позволяет злоумышленникам красть данные учетных записей (и прочие конфиденциальные данные) пользователей и проводить транзакции с подтверждением без ведома пользователя.
Известны технологии, использующие для защиты пользователей от мошеннической активности, так называемый цифровой отпечаток устройства пользователя (англ. device fingerprint). Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения, или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве последнее считается недоверенным.
Так, публикация US 20150324802 описывает технологию аутентификации транзакций пользователя. При аутентификации используются цифровые отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).
Однако зачастую на устройстве пользователя не установлено никаких средств противодействия мошеннической активности (например, антивирусных приложений). Также зачастую пользователи совершают взаимодействие с банковскими сервисами не посредством банковских приложений, которые могут содержать дополнительные инструменты выявления мошеннической активности (например, функции SDK от производителей антивирусных приложений) и сообщать банку дополнительные сведения об устройстве пользователя и транзакции, что затрудняет или делает невозможным выявление мошеннической активности.
Настоящее изобретение позволяет выявлять мошеннические активности при взаимодействии пользователя с банковскими сервисами посредством браузера.
Сущность изобретения
Настоящее изобретение предназначено для выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами, содержащий этапы, на которых: выявляют признаки активности пользователя при взаимодействии пользователя с удаленными сервисами с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя; анализируют с помощью облачного сервиса безопасности выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей; выявляют с помощью облачного сервиса безопасности мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
Согласно другому варианту реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является действие пользователя.
Согласно одному из частных вариантов реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является идентификатор ресурса, на котором пользователь выполняет активность.
Согласно одному из частных вариантов реализации предоставляется способ, в котором идентификатор ресурса выявляется с помощью облачного сервиса безопасности с использованием семантической модели сайта удаленного сервиса.
Согласно одному из частных вариантов реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является устройство пользователя, с которого выполняется активность.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структуру системы выявления мошеннических активностей.
Фиг. 2 отображает схему способа выявления мошеннических активностей.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг. 1 отображает структуру системы выявления мошеннических активностей.
Система выявления мошеннических активностей состоит из браузера 110, выполняющегося на вычислительном устройстве пользователя 100, скрипта 120, выполняющегося в браузере 110, удаленного сервера 130, который предоставляет сервисы пользователю, и с которым взаимодействует пользователь посредством устройства 100, и облачного сервиса безопасности 140, с которым взаимодействует скрипт 120.
Вычислительное устройство пользователя 100 (далее по тексту устройство 100) содержит программную среду исполнения (например, операционную систему), в которой выполняется браузер 110.
В общем случае при взаимодействии пользователя посредством браузера 110, выполняющегося на устройстве 100, с удаленным сервером 130, удаленный сервер передает браузеру 110 веб-страницу, которая в свою очередь содержит файл сценария - скрипт 120 (например, написанный на языке JavaScript).
Удаленным сервером 130 может являться:
- банковский сервер (предоставляемые сервисы: платежи, кредиты, программы лояльности);
- сервер микрофинансовой организации (платежи, кредиты);
- сервер онлайн-магазина (программы лояльности);
- сервер провайдера телекоммуникационных услуг (платежи, программы лояльности);
- сервер логистической (транспортной) компании (платежи, программы лояльности).
Далее по тексту удаленным сервером 130 для большей наглядности является банковский сервер 130.
Скрипт 120 исполняется при открытии в браузере 110 веб-страницы, полученной от банковского сервера 130.
В общем случае настоящее изобретение выявляет сценарии, которые с высокой вероятностью (например, выше заранее установленного порогового значения 0.95) можно отнести к мошенническим активностям при взаимодействии пользователя с удаленным сервером 130.
Сценарий содержит набор (последовательность) активностей (англ. activity) пользователя. Активность пользователя имеет по меньшей мере следующие признаки (признаки более подробно описаны ниже, при описании облачного сервиса безопасности 140):
- действие пользователя, выполняемое в момент активности;
- идентификатор ресурса, на котором пользователь выполняет активность;
- устройство пользователя 100, с которого выполняется активность.
Выявление признаков активности в общем случае выполняет скрипт 120 при взаимодействии пользователя в браузере 110 с веб-страницей, полученной от банковского сервера 130.
В предпочтительном варианте реализации скрипт 120 выявляет следующие действия пользователя при взаимодействии с веб-страницей, полученной от банковского сервера 130:
- навигацию пользователя (т.е. последовательный переход между страницами или элементами страниц с помощью кликов, прокрутки страницы или иных действий);
- фокусировку на элементе веб-страницы (т.е. наведение на заданный элемент курсора мышки или установку фокуса на заданном элементе с помощью клавиатуры или иного устройства ввода);
- ввод данных на странице в том числе с использованием специализированных элементов интерфейса, таких как формы (англ. textarea), поля вводы (англ. edit), поле навигации и т.п.;
- передачу данных в буфер обмена;
- изменения состояния страницы (например, за счет изменения cookie, по истечению времени);
- взаимодействие с элементом интерфейса (нажатие кнопок мыши, в том числе двойное, ввод текста с клавиатуры или нажатие отдельных клавиш, перетаскивание элемента и т.д.);
- управление пользователем модулями и апплетами, встроенными в страницу (к примеру, видеопроигрывателем);
- указанные выше действия со вспомогательными элементами сайта, такими как всплывающие окна (англ. popup), встроенные страницы (англ. iframe) и т.д.
Для выявления идентификатора ресурса (англ. location), на котором находится пользователь при взаимодействии с банковским сервером 130 посредством браузера 110, скрипт 120 выявляет:
- адрес веб-страницы (ее URL);
- ключевые слова на странице (например, слова, встречающиеся более одного раза на веб-странице и имеющие длину более 2х символов);
- лексемы, сформированные на основании текста, содержащегося на сайте, в том числе и свертки, рассчитанные по указанным лексемам;
- свертки на основании скриптов, содержащихся на сайте или вспомогательных элементах сайта, например, всплывающие окна, встроенные страницы и т.д.;
- метаинформацию веб-страницы, включающую в по крайней мере:
заголовок веб-страницы;
данные, указанные в теге <meta>;
адреса подгружаемых библиотек скриптов и листов стилей (англ. CSS), а также параметры указанных библиотек (номера версий, размеры, типы и т.д.);
используемые на странице медиа-ресурсы (изображения, аудио и видео данные);
программные платформы (англ. framework), используемые при создании сайта (к примеру, React, Angular и т.д.);
структуру сайта.
Для выявления устройства пользователя 100 скрипт 120 собирает по крайней мере:
- доступную информацию о браузере 110;
- доступную информацию о приложениях, взаимодействующих с браузером (плагинах или внешних приложений);
- доступную информацию об устройстве пользователя 100 (к примеру IP-адрес, информацию о процессоре и т.д.).
При открытии страницы браузер 110 посылает банковскому серверу 130 идентификационную информацию. Это текстовая строка, являющаяся частью HTTP-запроса, начинающаяся с «User-Agent» и обычно включающая такую информацию, как название браузера 110, версию браузера 110, информацию об операционной системе устройства 100 (название, версия и т.д.), язык операционной системы устройства 100 и прочее. Данные, содержащие упомянутую информацию, могут быть получены скриптом 120 или вычислены облачным сервисом безопасности 140 на основании информации, полученной скриптом 120.
Выявленные об активности пользователя данные скрипт 120 передает облачному сервису безопасности 140. В общем случае скрипт 120 также выявляет, что веб-страница изменилась в результате активности пользователя, если используются динамические веб-страницы (при использовании динамических веб-страниц изменения на веб-странице отображаются в браузере 110, а адрес веб-страницы не изменяется).
Облачный сервис безопасности 140 на основании данных, полученных от скрипта 120, выявляет категории признаков активности пользователя.
Действие пользователя (признак активности), выполняемое в момент активности, в частности, может категоризироваться по следующим выявленным облачным сервисом безопасности 140 категориям:
- просмотр данных на веб-странице, полученной от банковского сервера 130;
- ввод данных на веб-странице, полученной от банковского сервера 130;
- интерактивное взаимодействие с веб-страницей, полученной от банковского сервера 130;
- копирование данных, указанных на веб-странице, полученной от банковского сервера 130;
- осуществление поисковых запросов на веб-странице, полученной от банковского сервера 130;
- выполнение сценариев, заданных на веб-странице, полученной от банковского сервера 130.
Например, облачный сервис безопасности 140 выявил, что пользователь вводит данные (происходит фокусировка на элементе интерфейса веб-страницы и ввод данных в элемент интерфейса на веб-странице), затем нажимает кнопку (происходит взаимодействие с элементом интерфейса на веб-странице). Или же облачный сервис безопасности 140 выявил, что ввода данных нет, есть только интерактивное взаимодействие с элементом интерфейса на веб-странице. Или же облачный сервис безопасности 140 выявил, что пользователь просматривает веб-страницу (нет взаимодействия с элементами, только навигация на основании движения указателя мыши, или зажатия курсорных кнопок на клавиатуре, или скроллинга с сенсорного экрана).
В одном из вариантов реализации облачный сервис безопасности 140 выявляет на основании признаков действия, кем произведено действие, ботом или человеком. При этом признаками бота могут выступать:
1) ввод текста без набивания (т.е. или мгновенно, или с высокой периодичностью ввода символов);
2) равномерный переход от одного элемента к другому (переключение фокуса без движений мыши или без нажатия клавиши табуляции <Tab>);
3) игнорирование элементов веб-страницы, закрывающих фокус (на веб-странице элемент присутствует, но пользователю не виден, однако в него осуществляется ввод, или с ним происходит взаимодействие).
Для выявления категории идентификатора ресурса облачный сервис безопасности 140, анализирует выявленный скриптом 110 адрес веб-страницы, а также выявленные ключевые слова.
Стоит отметить, что облачный сервис безопасности 140 выполняет начальную классификацию веб-страниц, получаемых от банковского сервера 130. В общем случае банковский сервер 130 хранит веб-страницы (их содержимое и код) веб-сайта, а при обращении пользователя к веб-сайту банковский сервер 130 передает веб-страницу браузеру 110, исполняющемуся на устройстве пользователя 100. Начальная классификация выполняется облачным сервисом безопасности 140 до размещения на веб-страницах веб-сайта упомянутого скрипта 120, который выявляет признаки активности при взаимодействии пользователя с банковским сервером 130. Классификация в рамках настоящего изобретения - это категоризация (выявление категории) веб-страницы веб-сайта, хранящегося на банковском сервере 130, на основании совместной встречаемости слов и наиболее встречаемых слов.
В общем случае облачный сервис безопасности 140 выполняет начальную классификацию веб-сайта банковского сервера 130. При этом создается семантическая модель веб-сайта. На вход модели подается адрес веб-страницы (англ. Uniform Resource Locator, URL), ключевые слова веб-страницы, метаинформация веб-страницы (например то, что содержится в html-коде веб-страницы в теге <meta>), а на выходе модель выявляет категорию веб-страницы.
На этапе классификации по набору слов, выделенных из URL либо из заголовков на странице, облачному сервису безопасности 140 необходимо определить наиболее вероятную категорию. Для этого облачный сервис безопасности 140 использует подход, в котором каждое слово из набора «голосует» за связанные с этим словом категории. "Голос", отдаваемый словом за категорию, должен отражать значимость (частоту использования) слова для заданной категории, и в то же время "голоса" широкораспространенных слов должны иметь меньший вес, чем "голоса" слов, специфичных для категории. В качестве веса слова для категории облачный сервис безопасности 140 использует значение TF-IDF слова, учитывающее частоту слова и его распространенность, и обладающее необходимыми для "голосования" свойствами. TF-IDF (от англ. TF - term frequency, IDF - inverse document frequency) - статистическая мера, используемая для оценки важности слова в контексте документа (например, веб-страницы), являющегося частью коллекции документов или корпуса документов. Вес некоторого слова пропорционален частоте употребления этого слова в документе и обратно пропорционален частоте употребления слова во всех документах коллекции. В рамках настоящего изобретения документом является текст, размещенный на веб-странице, таким образом, облачный сервис безопасности 140 использует корпус текстов для оценки слова.
Облачный сервис безопасности 140 с помощью поискового робота (англ. crawler) выполняет обход веб-страниц веб-сайта банковского сервера 130. В одном из вариантов реализации облачный сервис безопасности 140 выполняет обход только общедоступных страниц. В другом варианте реализации облачный сервис безопасности 140 дополнительно выполняет обход личного кабинета пользователей (и тех страниц, которые доступны после авторизации). В еще одном из вариантов реализации облачный сервис безопасности 140 дополнительно выполняет обход приложенных документов (англ. attach), размещенных на веб-страницах. Обход веб-страниц веб-сайта банковского сервера 130, выполняемый облачным сервисом безопасности 140 с помощью поискового робота, может быть также рекурсивным и итерационным, то есть выполняется обход не только сайтов заданного адреса, но и сайтов, адреса которых найдены на веб-страницах веб-сайта банковского сервера 130, и относятся ко внешним адресам относительно веб-сайта банковского сервера 130.
В результате обхода с помощью поискового робота облачный сервис безопасности 140 собирает корпус текстов, которые соответствуют какой-либо категории, то есть тексты, описывающие услуги или предложения банковского сервера 130. Например, в разделе веб-сайта про счета на веб-страницах есть множество текстов о сберегательных счетах с разными условиями, тексты в свою очередь содержат значительное количество слов. Также облачный сервис безопасности 140 собирает все слова, из которых состоит адрес веб-страницы. Также облачный сервис безопасности 140 собирает все доступные из метаинформации (например, заголовков) веб-страниц слова. Стоит понимать, что веб-сайты банковских серверов 130 зачастую созданы по общепринятым стандартам, имеют структурированные заголовки, используют навигацию по «хлебным крошкам» (англ. breadcrumbs). Но как правило веб-сайты банковских серверов 130 оптимизируют при создании и дальнейшей поддержке для поиска, поэтому в адресах, в метаинформации и в содержимом веб-страниц пытаются правильно использовать слова, которые относятся к теме поиска. Например, чтобы поисковые роботы известных поисковых систем (Google, Yahoo, Yandex) могли обойти веб-сайт банковского сервера 130, а при запросе пользователя к поисковой системе поисковая система выдавала информацию, релевантную запросу пользователя, а веб-страницы с веб-сайта банковского сервера 130 попадали в результаты поиска.
Облачный сервис безопасности 140 выявляет, какой категории из набора категорий (представлены в Таблице 1), важных для целей выявления мошеннической активности, соответствует идентификатор ресурса, информация о котором предоставлена скриптом 120.
Для подготовки корпуса текстов облачный сервис безопасности 140 использует разделы с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Собранный корпус текстов представляет собой N текстовых документов, где N равно числу категорий.
Из-за ограниченного размера собранного корпуса текстов объемы текстов для разных категорий значительно отличаются. Распространенные слова, присутствующие в текстах большинства категорий, могут приводить к неверной оценке наиболее вероятной категории. Для устранения этих недостатков облачный сервис безопасности 140 в частных вариантах реализации:
- нормирует частоты слов в категориях на размер корпуса текстов категории, то есть сумма нормированных частот слов для категории равна 1.0;
- использует для распространенных слов, важных для определения категорий (например, «payment») поправки в корпус текстов для коррекции веса слова в соответствующей категории.
В одном из вариантов реализации для расчета TF-IDF облачный сервис безопасности 140 использует следующие формулы.
Пусть:
D - корпус текстов (документов),
N = |D| - число категорий (документов) в корпусе текстов,
d | ∈ D - текст (документ), связанный с категорией.
Тогда:
- нормированная частота слова в документе,
- сглаженная обратная частота по всем документам,
tƒidƒ(t, d)=tƒ(t, d) * idƒ(t, D) - вес слова в категории, являющийся произведением двух сомножителей.
В результате облачный сервис безопасности 140 упорядочивает слова по значимости (TF-IDF), пример предоставлен в Таблице 2.
Далее облачный сервис безопасности 140 выделят слова из URL разделов с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Для выделения слов из URL облачным сервисом безопасности 140 могут использоваться следующие допущения:
- прописная буква, следующая после строчной, считается началом нового слова;
- все не алфавитные символы считаются разделителями;
- дополнительно используется список распространенных в исследуемой тематике слов, для разбиения URL на слова в случае отсутствия различий в регистре и других потенциальных разделителей;
- все слова длинной менее 3 символов игнорируются.
Далее облачный сервис безопасности 140 выделят слова из метаданных (например, заголовков) веб-страниц разделов с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Тексты заголовков корректны с точки зрения орфографии и не требуют дополнительной обработки, как в случае с выделением слов из URL.
В одном из вариантов реализации облачный сервис безопасности 140 также использует лексемный анализ. Слова и фразы (некоторый текст) разбиваются облачным сервисом безопасности 140 на лексемы (текстовые последовательности, заданные правилами). Например, выделяются по N следующих друг за другом символов, и на основании заранее подготовленных таблиц частот использования лексем облачный сервис безопасности 140 выделяет слова текста веб-страницы, слова из URL, а также слова из метаданных. Например, выделены могут быть и слова, и части слов, и целые предложения, и даже свертки из них. Такое выделение позволяет облачному сервису безопасности 140 с одной стороны считать слова с ошибками одинаковыми словами, а с другой стороны, наоборот, выявлять эти ошибки и отдельно на них реагировать. Например, Go0gle.com и google.com - это и одно и тоже слово, связанное с поисковыми и прочими сервисами, а с другой Go0gle.com - это скорее всего попытка фишинга и т.п.
В результате, как было упомянуто выше, облачный сервис безопасности 140 создает и обучает семантическую модель веб-сайта банковского сервера 130.
На вход семантической модели подается выявленная скриптом 120 информация об идентификаторе ресурса, а на выходе модель выявляет категорию веб-страницы. Стоит понимать, что в некоторых случаях бывает сложно выявить адрес для так называемых одностраничных банков (когда страница подгружается динамически, не меняя адрес, или когда в адресах могут быть случайные символы). Однако, упомянутая семантическая модель не требует данных URL для выявления категории.
Семантическая модель веб-сайта банковского сервера 130 может переобучаться (дополняться) облачным сервисом безопасности 140. В одном из вариантов реализации модель веб-сайта банковского сервера 130 может переобучаться во время обращения пользователя к банковскому серверу 130. В другом варианте реализации модель веб-сайта банковского сервера 130 может переобучаться в случае достижения заданного количества обращений (например, порогового значения в 1000 обращений) пользователей к банковскому серверу 130. В еще одном из вариантов реализации модель веб-сайта банковского сервера 130 может переобучаться по заданному временному интервалу (например, раз в сутки). В еще одном из вариантов реализации модели веб-сайта банковского сервера 130 может переобучаться в случае выявления облачным сервисом безопасности 140, что веб-сайт банковского сервера 130 был обновлен.
Стоит понимать, что при таком подходе семантическая модель веб-сайта, полученная облачным сервисом безопасности 140 при анализе нескольких банков, может работать и для других банков. Кроме того, если необходим другой регион или другой язык, необходимо пополнить модель по меньшей мере одним корпусом текстов слов другого языка (очевидно из примера в Таблице 2). Для этого облачный сервис безопасности 140 с помощью поискового робота выполняет обход веб-страниц английской, итальянской, испанской и т.д. версий сайта. Одна модель может содержать несколько языков, так как категория веб-страницы не меняется от выбранного пользователем языка.
В одном из вариантов реализации для обучения модели и выделения категорий облачный сервис безопасности 140 дополнительно использует прочие источники (например, веб-сайты банковских сервисов, на которых не функционирует скрипт 120, либо новостные издания, посвященные банковской тематике, используя различную периодику) для сбора более обширных корпусов текстов и дообучения модели. В одном из вариантов реализации облачный сервис безопасности 140 выполняет полное переобучение модели (например, для актуализации категорий, если некоторые категории более не используются и не являются актуальными, или если результат функционирования настоящего изобретения неудовлетворителен, то есть возникают частые ошибки первого и второго рода при выявлении категорий).
Для выявления признаков устройства пользователя 100 облачный сервис безопасности 140, анализирует полученную от скрипта 120 информацию.
В зависимости от IP-адреса устройства 100 облачный сервис безопасности 140 может выявить репутацию IP-адреса, а также есть ли признаки того, что IP-адрес устройства 100 анонимизируется. По данным «User-Agent» облачный сервис безопасности 140 может выявить, использовалось ли устройство 100 ранее (на основании анализа предыдущих сессий пользователя), или это новое устройство 100. В одном из вариантов реализации облачный сервис безопасности 140 дополнительно анализирует, в рамках одной или нескольких сессий совершается активность пользователя.
В результате облачный сервис безопасности 140 выявляет сценарий, содержащий набор (последовательность) активностей пользователя, который относит к мошеннической активности пользователя при взаимодействии с удаленным сервером 130.
В различных вариантах реализации облачный сервис безопасности 140 для выявления подозрительных последовательностей активностей пользователя использует следующие гипотезы и допущения:
- подозрительная последовательность содержит пару "идентифицирующих мошенническую активность" активностей - начальную и рискованную, далее по тексту - пара (например, редактирование профиля, затем успешный перевод средств на кошелек);
- начальная активность всегда предшествует рискованной в последовательности фактов, упорядоченной по времени;
- пара не обязательно смежная, то есть между активностями пары может быть произвольное число других активностей;
- пара может принадлежать различным сессиям пользователя;
- расстояние по времени между стартовой и рискованной активностью не должно превышать заданной величины.
Облачный сервис безопасности 140 выявляет сценарий с использованием логических выражений над выявленными признаками активностей пользователя. Логические выражения (примеры представлены ниже в Таблице 3) используют:
- текстовые идентификаторы (имя категории, слово, подстрока или категория устройства);
- логический оператор:
|| - логическое «ИЛИ»,
&& - логическое «И»,
! - отрицание;
прочие (например, XOR, объединение результатов);
- оператор сравнения и число (для задания уточняющих условий на категории устройства пользователя).
В различных вариантах реализации облачный сервис безопасности 140 для подозрительных последовательностей выявляет пару по следующим условиям:
- семантическая категория активности соответствует заданному логическому выражению;
- категории активности действия пользователя соответствуют заданному логическому выражению;
- в выделенных из содержимого идентификатора ресурса активности словах присутствуют слова, соответствующие заданному логическому выражению;
- в содержимом идентификатора ресурса активности присутствуют подстроки, соответствующие заданному логическому выражению;
- категории устройства пользователя 100 соответствуют заданному логическому выражению.
В случае выявления последовательности активностей, характерной для мошеннической активности, облачный сервис безопасности 140 передает информацию об активностях банковскому серверу 130 для расследования возможного инцидента.
Вариант применения настоящей системы описан ниже.
Облачный сервис безопасности 140 выявил с помощью скрипта 120, что пользователь (User Reputation >0.5) ввел данные («interact») на веб-странице с идентификатором ресурса «payments» при взаимодействии с банковским сервером. После взаимодействия на идентификаторе ресурса появилась строка «success». Кроме того, устройство 100 является «новым» (New Device Environment = = 1.0) использует IP-адрес, характерный для анонимизации (Anonymized IP). Кроме того, в течение трех часов до этого в рамках другой сессии облачный сервис безопасности 140 выявил с помощью скрипта 120, что этот же пользователь (User Reputation >0.5) с другого устройства 100 с известного IP-адреса (IP Reputation), пользователь редактировал данные («edit») на веб-странице с идентификатором ресурса «profile». Таким образом, есть вероятность, что совершается мошенническая активность. Известны случаи, когда после редактирования, например, номера телефона в банковском профиле пользователя, в дальнейшем подтверждения платежей происходят по CMC, приходящим на новый телефонный номер, который может принадлежать злоумышленнику. Таким образом, такой сценарий (такая пара активностей) может означать, что совершается мошенническая активность, о чем облачный сервис безопасности 140 передает информацию банковскому серверу 130 для расследования возможного инцидента.
Фиг. 2 отображает схему способа выявления мошеннических активностей.
На этапе 210 выявляют признаки активности пользователя при взаимодействии пользователя с удаленными сервисами 130 с помощью скрипта 120, исполняющегося в браузере 110 на вычислительном устройстве пользователя 100. В одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является действие пользователя. В еще одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является идентификатор ресурса, на котором пользователь выполняет активность. В одном из вариантов реализации идентификатор ресурса выявляется облачным сервисом безопасности 140 с использованием семантической модели сайта удаленного сервиса 130. В еще одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является устройство пользователя 100, с которого выполняется активность.
На этапе 220 анализируют с помощью облачного сервиса безопасности 140 выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей.
На этапе 230 выявляют с помощью облачного сервиса безопасности 140 мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
1. Способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами, содержащий этапы, на которых:
а) выполняют с помощью облачного сервиса безопасности начальную классификацию сайта удаленного сервиса, при этом создается семантическая модель сайта удаленного сервиса;
б) выявляют признаки активности пользователя при взаимодействии пользователя с сайтом удаленного сервиса с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя, при этом признаками активности являются:
- действие пользователя,
- данные для определения идентификатора ресурса,
- устройство пользователя;
в) определяют с помощью облачного сервиса безопасности на основании выявленных данных идентификатор ресурса с использованием семантической модели сайта удаленного сервиса;
г) анализируют с помощью облачного сервиса безопасности выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей;
д) выявляют с помощью облачного сервиса безопасности мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
2. Способ по п. 1, в котором действием пользователя, выявленным скриптом, является:
- навигация пользователя;
- фокусировка на элементе веб-страницы;
- ввод данных на странице, в том числе с использованием элементов интерфейса;
- передача данных в буфер обмена;
- изменение состояния страницы;
- взаимодействие с элементом интерфейса;
- управление пользователем модулями и апплетами, встроенными в страницу;
- указанные выше действия со вспомогательными элементами сайта.
3. Способ по п. 1, в котором данными для определения идентификатора ресурса, выявленными скриптом, являются:
- адрес страницы;
- ключевые слова на странице;
- лексемы, сформированные на основании текста, содержащегося на сайте, в том числе и свертки, рассчитанные по указанным лексемам;
- свертки на основании скриптов, содержащихся на сайте или вспомогательных элементах сайта;
- метаинформация страницы.
4. Способ по п. 1, в котором для выявления устройства пользователя скрипт собирает по крайней мере:
- доступную информацию о браузере;
- доступную информацию о приложениях, взаимодействующих с браузером;
- доступную информацию об устройстве пользователя.
