Modelos Antifraude basado en Analítica y BigData

Javier Díaz Evans Grupo A3SEC

jdiaz@a3sec.com

Agenda

• Definiciones

• El impacto del riesgo de fraude

• Cómo controlarlo?

2

Definiciones • Brecha deliberada o ilegal de equipos de computo o redes con la intención de

robo de información sensible (se puede utilizar para fraude) o para afectar activos.

Cyberataques / APT

(Seguridad IT)

Cyberataques / APT

(Seguridad IT)

• Acto intencional e ilegal con el fin de privar a otro de propiedad o dinero con su consentimiento a través engaños o métodos desleales. Fraude Fraude

• Acto intencional e ilegal con el fin de privar a otro de propiedad o dinero sin su consentimiento. Robo Robo

• Comportamiento o uso impropio, poco rasonable o excesivo. Abuso Abuso

Diferencia

Always online

Leaves a trail/record

Usually involves a transaction/ purchase

Always illegal

Always financially motivated

Cyberataque/ATP Yes No No Yes No Fraude No Yes Yes Yes Yes Abuso No Yes Yes No Yes

Ejemplos

• Iran hackea sistemas del gobierno de US para obtener planes y la estrategia de embargo.

Criminales hackean sistemas de retail para robar datos de tarjetas de crédito.

Cyberataques / APT

(Seguridad IT)

Cyberataques / APT

(Seguridad IT)

• Jefe de compras crea proveedores falsos y envia transacciones a estos.

•Criminales realizan compras online con datos de tarjetas de crédito robadas.

•Los criminales utilizan phishing para robar datos de credenciales de usuarios y extraer el dinero de sus cuentas.

Fraude / Robo Fraude / Robo

•Clientes de telcos con planes ilimitados que utilizan los planes para revender minutos.

•Gastos de transporte de actividades que pueden realizarse de forma remota. Abuso Abuso

ACFE – Arbol de Fraudes

Triangulo del Fraude

Presión Presión

Oportunidad Oportunidad

Triagulo de Fraude

Triagulo de Fraude

Racionalización Racionalización

Impacto Financiero del Fraude

• Las organizaciones pierden el 5% de sus ingresos por fraude cada año (www.acfe.com).

• El costo total de asegurar el fraude en USA es de USD$40 billion por año (www.fbi.gov).

• El costo del fraude en UK es de UKP$76 billion (National Fraud Authority).

• Las compañias de tarjetas pierden 7 centavos por cada mil dolares en transacciones debido a fraudes (Andrew Schrage, Money Crashers Personal Finance, 2012).

El Fraude es Constante y Costoso

9

- Association of Certified Fraud Examiners • Altos costos anuales: Comercio $200-

250 miles de millones; instituciones financieras $12-15 miles de millones 1

• Crecimiento: Crecimiento de pérdidas en ingresos por fraude en línea: 85% en 2003-12 2

• Daño Reputación/imagen

• Interno y Externo

• Tipos: Robo de credenciales, tarjetas de créito, transferencias bancarias, lavado de activos, créditos educativos, seguros, salud, presupuesto de gobierno, entre otros

• Ninguna industria o reguos es inmune

1. Forrester Feb 2013 2. CyberSource/Visa 2013

Fraudes en Noticias

Tarjetas de Crédito

Robo de Cuentas

Creditos Estudiantiles

“New York Man Admits Role in International $200 Million Credit

Card Fraud Conspiracy”

– FBI.gov, May 2014

“Student Loan Fraud – A National Problem Gone Global”

– Fraud Magazine, June 2014

“Account Takeover: The Fraudsters' Edge. Anti-Fraud Investments at

Banks, Retailers Lagging”

– BankInfoSecurity, Sept 2013

Enfoques de Contención del Fraude

Racionalizacion Racionalizacion Código de ética Código de ética

Manuales de Conducta Manuales de Conducta

Politica de RRHH Politica de RRHH

Evaluación de clima laboral Evaluación de clima laboral

Línea ética Línea ética

Oportunidad Oportunidad BI (parametrización de alertas) BI (parametrización de alertas)

Aplicación Ley de Benford Aplicación Ley de Benford

Modelos Analíticos automatizados Modelos Analíticos automatizados

Procedimientos de data mining Procedimientos de data mining

Línea ética Línea ética

12

Los negocios en línea incrementan el fraude Fugas de Información

Liderado por robo de identidad y datos de

tarjeta

Sin fronteras

Los criminales pueden operar de otros continentes con

impunidad

Robo de Credenciales

El robo de cuentas es sencillo mediante

phishing y malware

Más sofisticación

Los criminales utilizan nuevas tácticas y

cambian de comportamiento para

evadir la detección

Donde y que tipo de herramientas AntiFraude se utilizan

Internet Banking Customer Canales MuliCanal

App TransacGon

Flows Cuentas de Cliente

Internet Banking Normal Transfer V Customer PC Normal Transfer 2

Teller Hacking / Phishing / Pharming

Issue a new CerGficate ATM Acquire accounts info

Fraudulent Transfer V Phone Banking

Fraudulent Transfer 2 Mobile Banking

Hacker

Herramienta 1: Identificación de IPs con mala reputación, malware, CnC.

Herramienta 2: Fraude Web – basado en georefenciación de IP, resolución de pantalla, tipo de navegador, velocidad, fuerza bruta, navegación anómala.

Herramienta 3: Validación de cuentas, números de tarjetas, CVE, saldos, tipos de transacciones

Herramienta 4: Herramienta para detectar transacciones anomalas y comportamientos extraños del cliente

Herramienta 5: Herramienta de analítica para identificar anomalias y fraudes

Retos Actuales

VISION AMPLIADA DEL FRAUDE

• En promedio las org cuentan con 4.9 herramientas; silos de fraude

• Visión parcial de las etapas de fraude

• Soporta necesidades limitadas de los equipos antifraude

- Visa CyberSource 2013

ESCALABILIDAD Y VELOCIDAD • No es posible escalar si el volumen de

datos incrementa

• Las busquedas pueden tomar mucho tiempo en ejecutarse

• Los datos deben ser exportados para su análisis

DIFICILES DE IMPLEMENTAR; ROI LIMITADO • Múltiples bases de datos e interfaces

• Personalizaciones y servicios complejos

• Generalmente se requiere integrar varios productos de fabricantes

RIGIDO E INFLEXIBLE • Limitado ciertos a datos estructurados

y ciertas fuentes de información

• La normalización reduce el contexto del fraude

• Dificil de modificar las busquedas o reportes basado en nuevas técnicas de fraude

2013-08-09 16:21:38 10.11.36.29 98483 148 TCP_HIT 200 200 0 622 - - OBSERVED GET HTTP/1.1 0 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; www.neverbeenseenbefore.com InfoPath.1; MS-RTC LM 8; .NET CLR 1.1.4322; .NET CLR 3.0.4506.2152; ) User John Doe,"

[2013-09-04-14.45.54.608000] proc_source="B24A", tmst_target="2013-09-04-14.45.54.724000", serv_id="ISS", proc_input="MAST", proc_target="B24H", interface_acq="BNET_1", interface_iss="02008", cod_msg="1110", oper_rrn="090448764439", card_id="526430VS350Y2992", oper_amount="000000008000", oper_ currency="978", oper_country="380", term_id="00599307", circuito="", sett_merc="4722", bin_acq="002111", id_merc="329017246168", prcode="003000", action_code="000", approval_code ="H8H766", oper_ mod_input="1", channel="O", flag_dupl="Y", flag_onus="N", auth_rout_dst="INTFHI93", auth_ rout_id="HISO_AUTH", msg_subst="", ndg="0000000078507391", station_acq="STA-BNET-MI1", acceptor =“ TRAWEL SPA\\MILANO\ 380", tmst_ins="2013-09-04-14.48.56.277466", lpar="B"

15

LA EVIDENCIA DIGITAL: Clave para la detección Fuentes

AAA

Web Proxy

Sistemas de Autorización

Referring URL

20130806041221.000000 Caption=ACME-2975EB\JohnDoe Description=User account Built-in account for administering the computer/domainDo\n=ACME-2975EB InstallDate=NULLLocalAccount = IP: 10.11.36.20 TrueName=Administrator SID =S-1-5-21-1715567821-926492609-725345543 500SIDType=1 Status=Degradedwmi_ type=UserAccounts

Source IP User Name

Card ID Amount

Source IP

Client ID

Merchant ID

16

Tipo de Fraude Patrón de Fraude Industria

Servicios Financieros

Ecommerce

Salud

Telcos

Educación

Robo de Cuentas Muchas transacciones entre $9-10k

Muchas cuentas que acceden desde una única IP

Facturación Fraudulenta

Facturación de farmaceuticos fuera del area de experiencia

Abuso de Roaming Uso excesivo de roaming por ciertos operadores a través de una red especifica

Fraude Créditos Estudiantes accediendo desde direcciones IP de países de alto riesgo y ausencia de estudiantes

Robo de Cuentas

IoTIoT

Big DataBig Data

Big DataBig Data

Big DataBig Data

Machine LearningMachine Learning SupervisadoSupervisado, No , No SupervisadoSupervisado

cc: tanakawho - https://www.flickr.com/photos/28481088@N00

SupervisadoSupervisado

No SupervisadoNo Supervisado

cc: spike55151 - https://www.flickr.com/photos/20561948@N00

Machine LearningMachine Learning •• RegresionesRegresiones •• AutocorrecciónAutocorrección •• Ranking de páginas de GoogleRanking de páginas de Google •• Recomendaciones de NetflixRecomendaciones de Netflix •• Detección de FraudesDetección de Fraudes •• Reconocimiento Facial, Escritura.Reconocimiento Facial, Escritura. •• Carros autonomosCarros autonomos

cc: kalleboo - https://www.flickr.com/photos/82365211@N00

Y la Inteligencia Artificial Cognitiva?

DEMO

24

Preguntas

25