DataVisor utilitza algoritmes multidimensionals per detectar comptes d’usuari fraudulents


Els atacants professionals que volen explotar usuaris legítims de mitjans socials estan registrant massivament comptes d’usuaris abusius de manera que sembli legítima. És gairebé impossible intentar detectar aquests comptes abusius de forma individualitzada abans de fer cap mal. L’algoritme propietari de DataVisor adopta un nou enfocament mitjançant l’anàlisi de diverses dimensions a diversos comptes i descobrir les correlacions ocultes entre aquests comptes d’usuari fraudulents i aturar-les abans que puguin atacar.

Informeu-nos una mica sobre el vostre antecedent i la posició actual a DataVisor.

Vaig rebre el meu doctorat. en Informàtica de la Universitat Carnegie Mellon amb la meva tesi sobre seguretat de xarxa. Després de graduar-me, em vaig incorporar a Microsoft Silicon Valley i va ser allà quan vaig conèixer Fang Yu, amb qui després vaig fundar DataVisor el desembre de 2013. A Microsoft, vam col·laborar en la seguretat de la xarxa i després vam passar a la seguretat del nivell d’aplicacions on vam treballar amb un varietat d’aplicacions que inclouen problemes de frau de Bing, Hotmail, Azure, comerç electrònic i problemes de frau a nivell d’aplicacions.

malgrat això, indicadors com ara signatures de correu electrònic normalment s’acostaven de manera aïllada, i al llarg dels anys vam descobrir que tots aquests problemes estan realment connectats i molts d’ells eren només símptomes de problemes abusius i fraudulents a nivell d’usuari. I arrel del problema, tots requerien molts comptes d’usuari, o bé comptes d’usuari legítims de nova creació o compromesos. Després de set anys treballant junts a Microsoft, volíem un nou marc per examinar l’arrel del problema tenir una visió més àmplia de l’anàlisi del compte en lloc de centrar-se en els símptomes individualment. I, al mateix temps, també necessitàvem una manera de fer un millor seguiment a algú que intenta evadir la detecció fent coses de manera diferent, cosa que ens ha centrat en un enfocament que és molt poc controlat..

Quines són les amenaces més significatives que tenen les empreses i els seus clients / clients / usuaris d’aquests comptes fraudulents?

Al sector social, veiem que s’utilitzen comptes fraudulents per enviar correu brossa i perpetrar atacs de pesca. Les revisions falses poden generar una aplicació que, en realitat, no és més que programari maliciós, i les fitxes falses d’Airbnb prendran dipòsits i publicaran. Els usuaris fraudulents que es plantegen com a consultor financer i publiquen notícies falses (un terme molt popular avui en dia!) Poden augmentar o baixar les existències de l’empresa.

Al sector financer, els atacs que veiem sovint són un robatori d’identitat on es van robar les credencials i s’utilitzaven per obrir comptes. També hi ha compres fraudulentes realitzades amb targetes de crèdit robades, especialment per a productes digitals com iTunes.

Què són les cèl·lules del somni?

Les cèl·lules de son són cada cop més habituals i són una manera eficaç d’evitar la detecció. A les xarxes socials, els comptes nous poden estar subjectes a restriccions, ja que encara no han establert un historial i no se sap si hi ha usuaris reals al darrere. Per exemple, només se’ls pot permetre publicar diverses vegades a la setmana, o les seves transaccions poden limitar-se a un import determinat en dòlars, amb l’esperança de limitar el dany que pot fer un compte abusiu.. Com que els atacants coneixen aquestes limitacions, configuren molts comptes falsos i els “incuben”.

Durant aquest temps, poden tenir alguna activitat legítima que pretengui ser un usuari real per tal d’establir un historial. Algunes de les més sofisticades agraden, per exemple, a altres publicacions i, durant el procés, de vegades es tornen a agradar. Aquest compromís els fa semblar usuaris legítims i actius.

Un cop establerta la reputació del seu compte, el tipus de dany que poden fer és molt superior a un compte nou, ja que s’han incrementat les restriccions inicials d’ús, cosa que els permet obtenir majors beneficis.

Què és el parpelleig del dispositiu i com l’utilitzen els actors dolents per crear comptes fraudulents?

L’empremta digital de dispositius s’ha convertit en una forma molt popular de detectar el frau. Si recordem tots els dispositius que hem vist, podrem distingir fàcilment entre els que sabem que pertanyen a un usuari legítim i els que es van utilitzar per a activitats fraudulentes en el passat. De manera natural, teniu atacants que busquen maneres d’evitar-ho, i el parpelleig del dispositiu és només un d’ells. Si el dispositiu parpelleja, hi ha un dispositiu físic present i el trànsit prové del dispositiu, però els atacants el fan palpejar, així que el dispositiu es mostra com un dispositiu completament nou cada vegada que s’utilitza per configurar un compte fraudulent. D’aquesta manera s’obtenen els mecanismes de detecció que es basen en les empremtes digitals del dispositiu per evitar activitats fraudulentes.

Ara que aquests comptes fraudulents són cada cop més difícils d’identificar, com pot identificar millor el motor d’aprenentatge de màquines no supervisades de DataVisor, l’activitat i els comptes fraudulents?

Aquesta és una bona pregunta. Evidentment, és una tasca molt difícil, ja que hi ha tot tipus d’enfocaments molt sofisticats per corregir aquests comptes fraudulents. A més de les que hem esmentat, les cel·les intermitents i les cèl·lules intermitents, les VPN poden fer que aquests usuaris del compte semblin estar dispersos arreu del món, quan, de fet, es configuren des d’una mateixa ubicació..

De fet, a DataVisor agafem el contrari. En lloc de confiar en l’experiència passada per detectar un comportament cibercriminal, no fem cap hipòtesi sobre què faran els atacants. D’aquesta manera tenim l’oportunitat de detectar aquestes amenaces. En segon lloc, estem analitzant aquests comptes en més d’una dimensió de l’activitat de l’usuari. Per exemple, l’empremta digital del dispositiu és una dimensió, l’edat del compte i el nivell d’activitat són altres dimensions. Quan ens fixem en una sola dimensió, és molt més fàcil deixar-nos enganyar. Tanmateix, quan analitzem de manera integral una varietat d’atributs de compte diferents, inclosa la informació sobre el perfil, quant temps ha estat actiu en el compte, l’adreça IP, el tipus de dispositiu, així com el comportament del compte, quan es van iniciar la sessió, quan van realitzar una compra, quan van enviar contingut de forma activa, tenim una millor idea del compte en general. I basant-nos en això, abordem el que anomenem Aprenentatge automàtic no vigilat que analitza els comptes i la seva activitat,

Aquesta detecció no es fa mirant només un compte per determinar si es tracta d’un compte perillós o no, sinó per fer-ho escanegeu diversos comptes per trobar semblances i patrons d’activitat. Sabem que els atacants professionals no estan creant aquests comptes fraudulents a la vegada, ja que no és la manera de fer les coses de gran rendiment. Explotaran grans, i per això necessiten molts comptes. Quan els mateixos atacants orquestren aquests comptes, hi ha alguna cosa col·lectiu sobre aquests comptes; la clau és trobar quines dimensions estan correlacionades. Per tant, no fem cap suposició i no ho fem Els algorismes analitzen els molts atributs d’aquests comptes mirant-los tots junts per detectar aquestes associacions ocultes. D’aquesta manera, emetrem una xarxa molt àmplia per descobrir aquests patrons automàticament. Aquesta és l’essència de l’aprenentatge automàtic no vigilat; no basant-se en experiència històrica ni en dades d’etiquetes anteriors, sinó que s’aprofita l’aprenentatge automàtic de la IA i les tècniques d’anàlisi de dades grans per descobrir aquests nous patrons automàticament d’aquests comptes i els seus atributs..

Per exemple, aquí es dóna el cas d’un timbre de frau que utilitza informació personal adquirida mitjançant un incompliment de dades per sol·licitar targetes de crèdit noves en aquests noms. Si no veieu aquestes aplicacions de forma individual, no veieu gaire, ja que tota la informació sembla legítima. El nom coincideix amb l’edat i altres dades personals, la puntuació de crèdit sembla correcta i cap dels sol·licitants es va trobar a una base de dades de fraus.

Tanmateix, si mireu aquestes aplicacions a través de la lent de l’aprenentatge automàtic no vigilat i teniu en compte altres dades, com ara l’empremta digital, l’adreça de correu electrònic que s’utilitza per crear el compte, l’adreça IP així com el navegador i el dispositiu que s’utilitzava., els patrons comencen a sorgir. Tots ells van sol·licitar el mateix tipus de producte. Cada adreça de correu electrònic es crea a partir de la mateixa combinació de nom, inicial inicial i aniversari, totes les adreces IP provenen de centres de dades i utilitzen dispositius iPhone similars i antics amb el mateix sistema operatiu, tot utilitzant els mateixos navegadors. Així doncs, al mirar la imatge més gran que no pas individualment, DataVisor va poder descobrir aquestes correlacions sospitoses i detectar més de 200 aplicacions fraudulentes..

Què passa quan DataVisor identifica un compte com a fraudulent?

Hi ha moltes maneres d’afrontar els comptes que s’han etiquetat com a sospitosos. Per exemple, un servei de xarxes socials podria bloquejar completament els comptes identificats com a d’alta confiança. També hi poden optar comptes sospitosos en quarantena i imposen polítiques més estrictes per limitar la seva activitat, perquè puguin mantenir-se actius, però no poden fer mal. En altres casos, el servei pot prendre mesures per validar més aquests comptes.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map