Мы живём в эпоху смены парадигмы взаимодействия человека с сетевыми системами, смены того, как люди подтверждают то, что они те, за кого себя выдают. Главные вопросы, которые всегда задавали пользователям, звучали так: «Что вы знаете?» (пароль, PIN-код, девичья фамилия матери), или «Как вы выглядите?» (Face ID, отпечатки пальцев). Теперь же на первый план выходит такой вопрос: «Как вы себя ведёте?».

В наши дни развитие генеративного ИИ и прогресс в разработке вредоносного ПО, вроде RAT (Remote Access Trojan, троян удалённого доступа), позволили киберпреступникам проводить широкомасштабные атаки и даже обходить такие механизмы безопасности, как Face ID или MFA (Multi-Factor Authentication, многофакторная аутентификация, МФА), которые ранее считались «пуленепробиваемыми».

В наши дни анализ поведенческой биометрии становится стандартным подходом к обеспечению безопасности в банках, ответственных за покрытие убытков от киберпреступлений. Этот подход используется в тех случаях, когда внедрённые банками меры безопасности не способны гарантировать защиту от проблем, характерных для новых схем мошенничества.

Теория вычислительного моторного контроля

Когда некто, работая с телефоном, прокручивает элементы выпадающего меню или перетаскивает какой-нибудь ползунок, не особенно об этом задумываясь, его мозг задействует сложную петлю обратной связи, исправляя едва заметные погрешности траектории, возникающие на каждом миллиметре, на каждой миллисекунде жеста.

Первые исследования в сфере поведенческой биометрии были нацелены на то, чтобы отличать поведение человека от поведения робота. Но учёные очень скоро заметили, что с помощью той же технологии можно отличить поведение одного человека от поведения других людей.

Теория вычислительного моторного контроля (Computational motor control theory) — это междисциплинарная сфера знаний, которая объединяет в себе нейробиологию, биомеханику и информатику. Эта теория даёт исследователям базу для понимания дискриминативных признаков поведения людей, которым ранее не уделяли должного внимания.

Исследования показывают: то, что считается «механическим» поведением, те самые неосознанные коррекции действий, осуществляемые мозгом, это именно то, что невероятно усложняет воссоздание поведенческого профиля человека. В 2012 году в Калифорнийском университете Беркли было проведено исследование, результаты которого опубликованы в работе «Touchalytics: On the Applicability of Touchscreen Input as a Behavioral Biometric for Continuous Authentication». В ходе эксперимента были изучены паттерны прокрутки контента у 41 участника исследования, которые просматривали тексты и изображения на своих смартфонах. Было доказано, что уже после 11 жестов прокрутки контента поведенческие модели способны безошибочно распознать конкретного пользователя.

Цифровые «отпечатки пальцев»

В вышеупомянутом исследовании идентифицировано 30 поведенческих характеристик, уникальных для привычного поведения каждого из пользователей при прокрутке материалов. Сюда входят длина перемещения, траектория, скорость, направление, кривизна, время между движениями и даже площадь пальца каждого из участников исследования, касающаяся экрана. Например, некоторые пользователи полностью останавливаются, прежде чем убрать палец с экрана после жеста прокрутки. А другие убирают палец в движении. Учёные назвали это «баллистической» прокруткой.

Надо отметить, что возможности анализа поведения пользователей выходят далеко за рамки исследования особенностей прокрутки контента. Ритм набора текста, перемещение по полям, даже почти незаметные особенности того, как именно пользователь держит телефон, отличают людей друг от друга.

Гонка вооружений в сфере ИИ

Определённые поведенческие сигналы, взятые в изоляции друг от друга, могут помочь банкам выявлять очевидные эпизоды мошенничества. Например — если телефон во время транзакции перевёрнут вверх ногами — это весьма тревожный сигнал. Скорость набора текста, на которую способен лишь сверхчеловек, невозможно ровные перемещения курсора, или транзакция, инициированная устройством, экран которого заблокирован — любое из этих событий может выглядеть весьма подозрительно.

Правда, комплексы поведенческой биометрии — это нечто большее, чем системы, основанные на правилах. Здесь ИИ-модели, используя линейную алгебру и статистику, способны комбинировать мельчайшие нюансы взаимодействия людей и машин для создания персонализированных моделей. Эти модели способны обеспечивать непрерывную аутентификацию пользователя, выполняемую даже после того, как система узнала его в ходе прохождения им «пограничной» проверки, вроде ввода логина и пароля или применения Face ID.

Я работаю в AppGate инженером по машинному обучению. Мы обучаем персонализированные поведенческие модели на данных, полученных с датчиков мобильных телефонов. Эти модели позволяют выполнять интерактивный анализ того, инициированы ли пользователем те движения, которые выполняет его устройство, или любое другое устройство, с которого осуществлён вход в его банковскую учётную запись.

Наши персонализированные модели, ориентированные на выявление аномалий, скомбинированные с глобальными сигналами, обработка которых выполняется по заранее заданным правилам, помогает банкам защищаться от атак типа «Захват аккаунта» (Account Takeover, ATO) и «Захват устройства» (Device Takeover, DTO). Во многих случаях поведенческие модели предлагают защиту более высокого уровня, чем традиционные биометрические маркеры, вроде отпечатков пальцев, или механизмов распознавания лиц пользователей.

Логистическая цепочка киберпреступления

Чаще всего жертвами атак, нацеленных на захват аккаунтов или на хищение личных данных, становятся пожилые люди. Традиционная атака обычно выглядит как многошаговая операция, предусматривающая участие множества действующих лиц. Часто атака начинается с фишингового URL или с эпизода применения методов социальной инженерии (тщательно выверенная с психологической точки зрения телефонная манипуляция). На этом этапе преступники собирают учётные данные жертвы и продают их различным криминальным организациям на огромных торговых площадках даркнета, таких, как печально известный сайт Genesis Market. Это — дарнет-форум, на котором было размещено более 80 миллионов записей с учётными данными, украденными у более чем 2-х миллионов человек.

Этими вот «цифровыми отпечатками пальцев» торгуют как обычными товарами. Зачастую они несколько раз переходят из рук в руки, прежде чем дойти до злоумышленника или бота, который попытается взломать аккаунт. Столь сложная и запутанная «логистическая цепочка» значительно усложняет властям поиск виновника или виновников преступлений.

В ходе реализации обычной схемы захвата аккаунта злоумышленник обходит обычную аутентификацию (входит в систему) с устройства, обычно не известного банку, не принадлежащего владельцу аккаунта. Правда, стандартные меры кибербезопасности, используемые большинством банков, способны предотвратить подобные атаки. Эти меры предусматривают применение различных форм анализа устройств, использование одноразовых паролей, многофакторной аутентификации или других способов проверки устройств. Но в последнее время проявляются новые, весьма тревожные тенденции, указывающие на то, что преступники способны обходить даже подобные методы защиты.

Развитие новых подходов к кибератакам

В наши дни существуют вредоносные программы, способные перехватывать данные, вводимые в онлайн-формы, удалённо регистрировать нажатия на клавиши. Они могут даже «вламываться» в телефоны ради перехвата данных многофакторной аутентификации, выполняя атаки типа DTO, которые можно назвать жуткой роднёй атак ATO. А учитывая развитие генеративного ИИ — вполне реальными становятся опасения относительно того, что киберпреступники пока ещё толком и не начинали.

Например, дипфейк-инструмент, используемый киберпреступниками, носящий название ProKYC, позволяет хакерам обходить двухфакторную аутентификацию, распознавание лица и даже процесс подтверждения личности в реальном времени. Всё это делается с помощью дипфейк-видео. Или вот ещё пример — нашумевший RAT BingoMod. Этот троян распространяется по схеме смишинга (через фишинговые URL, отправляемые по SMS) и маскируется под заслуживающий доверия антивирус на Android-телефонах. BingoMod использует разрешения на устройстве, которые позволяют удалённому злоумышленнику по-тихому украсть важную информацию вроде учётных данных пользователей и его сообщений. Это позволяет, например, выполнять денежные переводы, инициированные прямо на заражённом устройстве.

После того, как устройство было скомпрометировано, все традиционные формы аутентификации пользователей, применяемые банками, оказываются под полным контролем атакующего. С точки зрения банка цифровой отпечаток устройства выглядит корректным, его IP-адрес — тоже, коды многофакторной аутентификации и данные, взятые из программ-аутентификаторов, соответствуют ожидаемым. А благодаря расцвету социальной инженерии даже правильные ответы на контрольные вопросы, вроде девичьей фамилии матери, тоже оказываются не особенно надёжным способом защиты от мошенников.

Всё это говорит о том, что единственным спасением от киберпреступности становится проверка поведения пользователей.

Непрерывная аутентификация и снижение количества факторов, мешающих работе пользователей

Растущая изощрённость кибератак и, в свою очередь, усложнение средств кибербезопасности, привели к одному позитивному эффекту, коснувшемуся клиентов онлайн-банкинга. Речь идёт об улучшении пользовательского опыта.

Так как поведенческие модели способны обеспечить непрерывную аутентификацию пользователя, снижается потребность в частом использовании средств многофакторной аутентификации или одноразовых паролей. В результате пользователям комфортнее работать с банковскими приложениями, выполняя действия, несущие финансовые последствия. 

Продукт, над которым я сейчас работаю, называется 360 Risk Control. Он объединяет в себе сигналы систем обнаружения ботов, средства идентификации устройств, «настольные» модели поведенческой биометрии и мобильные решения. Всё это формирует единую систему непрерывного анализа рисков. Анализ выполняется во время всей банковской сессии. Система продолжает работу и после того, как пользователь введёт традиционные имя и пароль или прибегнет к Face ID.

Когда система видит сигналы, указывающие на высокий уровень риска, она может повысить уровень проверки пользователя, запросить дополнительное подтверждение личности или даже полностью отменить транзакцию. А вот когда поведение пользователя совпадает с тем, что записано в его профиле, сеанс взаимодействия с приложением идёт как по маслу.

Итоги

Применение поведенческой биометрии знаменует собой глубокие преобразования в сфере кибербезопасности. Это — переход от активных средств обеспечения безопасности (пользователю при таком подходе необходимо выполнить некое действие) к пассивным (естественное поведение пользователя выступает в роли одного из критериев его идентификации). Это — переход от единоразовых проверок к схемам непрерывной аутентификации, переход от фрагментированного пользовательского опыта к естественной и безопасной работе с важными приложениями.

Дополнительные материалы

• Touchalytics

• ProKYC

• BingoMod 

• FBI Internet Crime Report