Până în octombrie 2023, o importantă bancă avea puține atacuri de înșelătorie. Însă, acea lună a fost debutul unei campanii frauduloase sofisticate, cu mai multe straturi.

Primă fază

Atunci, banca a avut parte de un bot-attack agresiv care viza o vulnerabilitate din conectarea clientului. Atacatorii și-au propus să verifice 2,1 milioane de acreditări ca parte a unui pachet „fraud-as-a-service” – pentru a identifica clienții autentici.

După ce bot-ul a procesat seturi mari de date în câteva secunde, Cleafy a oprit atacul, însă o campanie de smishing a continuat să valideze acreditările. După ce au verificat acreditările, atacatorii au încercat să se autentifice pe aplicația de pe dispozitivele lor pentru fazele ulterioare ale schemei.

Cleafy a fost esențial în identificarea și răspunsul la acest atac. Echipa antifraudă a băncii a detectat o activitate neobișnuită pe o anumită adresă URL prin tabloul de bord de monitorizare Cleafy. Analiza în timp real a Cleafy a dezvăluit un atac bot din peste 100.000 de adrese IP suspecte. Deși botul a evitat firewall-ul băncii, Cleafy a alertat rapid echipele de securitate despre vulnerabilitatea aplicației. Datorită capacităților de detectare și răspuns ale Cleafy, au fost validate doar 1.500 din cele 2,1 milioane de acreditări furate.

Faza a doua

După prima fază, escrocii și-au îndreptat eforturile către o campanie de escrocherie prin uzurparea identității celor 1.500 de utilizatori din atacul inițial. Folosind apeluri falsificate, au încercat să înșele clienții să efectueze tranzacții sub pretextul de activități suspecte. Banca a primit zeci de rapoarte de înșelătorie. În această fază, a folosit date din lista de urmărire pentru analiza comportamentală a utilizatorilor vizați. Abordarea a permis implementarea regulilor pentru a conștientizarea utilizatorilor vizați și a semnala comportamentul suspect. Măsurile au prevenit cu succes sute de încercări de înșelătorie înainte ca tranzacțiile să fie inițiate, limitând în mod semnificativ daunele potențiale.

Faza a treia

După ce banca a eliminat vulnerabilitatea aplicației și campania de escrocherie a fost întreruptă, atacatorii și-au schimbat tactica. Au început să folosească SMS-uri și apeluri falsificate pentru a încerca preluarea conturilor (ATO) cu acreditările validate rămase. Însă, Cleafy a detectat și a oprit aceste încercări. Banca a reușit să detecteze și să blocheze încercările de ATO, prevenind eficient orice activitate frauduloasă.

Faza a patra

Atacatorii au recurs, apoi, la malwareul Copybara pentru preluarea dispozitivului (DTO), trimițând link-uri rău intenționate prin SMS. Sistemul Cleafy, inclusiv detectarea malware-ului mobil și răspunsul proactiv la amenințări, a blocat aceste încercări. Cleafy a identificat și neutralizat imediat dispozitivele infectate (dintre care a găsit 10), oprind această campanie, protejând clienții Băncii.

Abordarea avansată Cleafy pentru prevenirea proactivă a fraudelor

Pe parcursul acestui atac, Cleafy a avut succes:

Descoperă funcționalitatea: a permis crearea de tablouri de bord de monitorizare de aplicații în timp real, analiza comportamentului și identificarea amenințărilor.
Dispozitiv la apel, analiza comportamentului utilizatorului și analiza riscului de tranzacție: încercări de înșelătorie blocate cu mare precizie.
Investigarea sesiunii și a evenimentelor: verificarea detaliată a activităților în timpul bot-attack.
Detectarea programelor malware mobile: amenințările identificate și contracarate proactiv, inclusiv, variante precum Copybara.
Motorul de reguli: a facilitat automatizarea listelor de urmărire, reguli de detectare și răspuns, asigurând o acțiune rapidă împotriva amenințărilor identificate.
ASK (Global threat intelligence layer): a furnizat actualizări în timp util cu privire la noile variante de malware, permițând răspuns rapid.
Analiza riscului de tranzacție: reguli pentru detectarea și blocarea eficiente a tranzacțiilor suspecte.

Soluţiile Cleafy sunt distribuite în România de compania SolvIT Networks.