Datele au devenit noua monedă pentru actorii amenințărilor cu scheme sofisticate de escrocherie. În octombrie 2023, banca în cauză s-a confruntat cu un atac agresiv de tip bot care vizează o vulnerabilitate a aplicației în timpul procesului de conectare a clientului. Escrocii aveau ca scop folosirea a 2,1 milioane de acreditări – obținute din dark web ca parte a unui pachet „fraudă ca serviciu” – pentru a identifica clienți adevărați ai băncii.
În timp ce botul a procesat seturi mari de date în doar câteva secunde pentru a se potrivi cu acreditările utilizatorului, odată ce Cleafy a oprit atacul, o campanie smishing a început să valideze în continuare acreditările și să maximizeze numărul de utilizatori identificați. Odată ce fraudatorii au verificat aceste acreditări, au încercat să le autentifice pe aplicația autentică de pe dispozitivele lor pentru a valida în continuare datele, permițând utilizarea lor în fazele ulterioare ale schemei.
La începutul anului 2023, banca a înregistrat un volum scăzut de încercări de înșelătorie, limitate în primul rând la înșelătorii de uzurpare a identității prin apeluri telefonice. Cu toate acestea, octombrie 2023 a marcat debutul unui proces sofisticat, cu mai multe atacuri de campanie frauduloasă care a pus la încercare apărarea băncii în materie de securitate cibernetică.
Cleafy a fost esențial în identificarea și răspunsul la acest atac. Într-o seară, echipa antifraudă a băncii a detectat activitate neobișnuită pe o anumită adresă URL prin tabloul de bord de monitorizare Cleafy. Analiza în timp real Cleafy a măsurat cu precizie domeniul de aplicare al atacului, dezvăluind un bot atac provenit de la peste 100.000 de adrese IP suspecte. A urmat o acțiune imediată. În ciuda botului sofisticat care se sustrăgea de la detectarea de către firewall-ul băncii, Cleafy a permis echipei antifraudă să alerteze rapid aplicația și echipele de securitate perimetrală despre vulnerabilitatea din aplicația băncii.
Această acțiune promptă a condus la crearea unei liste de urmărire pentru utilizatorii vizați de atac. Mulțumită detectării și răspunsului Cleafy, nu au putut fi validate alte acreditări, limitarea fraudătorilor la validarea a doar 1.500 din 2.1 milioane de acreditări furate. Datorită capacităților avansate ale lui Cleafy, banca a trecut cu succes peste această amenințare, salvând milioane de euro și păstrând încrederea clienților.
În urma primei faze, escrocii si-au axat eforturile de direcționare a campaniei de escrocherie prin uzurparea identității celor 1.500 de utilizatori identificați în atacul inițial. Folosind apeluri falsificate, au imitat numărul de telefon al băncii în scopul de a înșela clienții pentru a efectua tranzacții de inversare sub pretextul abordării activităților suspecte.
Banca a primit zilnic zeci de rapoarte de înșelătorie. În această fază, echipa a folosit date de la lista de urmărire a analizei comportamentale a utilizatorilor vizați. Această abordare cuprinzătoare a permis implementarea regulii pentru a crea conștientizarea utilizatorilor vizați și a semnala un comportament suspect. Aceste măsuri au prevenit sute de încercări de înșelătorie, limitând semnificativ potențialul deteriora. Banca a abordat și vulnerabilitatea aplicației care încorporează indicatorii de gardă ai lui Cleafy și datele menționate mai sus, care au ajutat la oprirea mai departe a încercărilor de validare și înșelătorie.
După ce Banca a rezolvat vulnerabilitatea aplicației și campania de escrocherie a fost întreruptă, atacatorii și-au schimbat tactica. Au început să folosească SMS-urile și apeluri falsificate pentru a încerca preluarea conturilor (ATO) cu acreditările validate rămase. Cu toate acestea, Cleafy le-a detectat și le-a oprit rapid încercările.
Prin combinarea datelor de înregistrare a dispozitivelor noi cu informații despre utilizatorii vizați de atacul bot și analiza comportamentală, banca a fost capabilă să detecteze și să blocheze încercările ATO, prevenind efectiv orice fraudă. Deși 50 de clienți au ajuns în punctul de a încerca o tranzacție în timpul unui atac de escrocherie, aceste încercări au fost oprite din cauza corelării în timp real a tuturor indicatorilor, inclusiv indicatorii tranzacționali, cum ar fi plăți instantanee care implicau sume mari și descrieri care conțin expresii precum „inversarea tranzacției”.
Atacatorii persistenţi au recurs apoi la desfășurare Malware Copybara pentru a comite preluarea dispozitivului (DTO), trimiterea de link-uri rău intenționate prin SMS pentru a exploata dispozitivele clientului atunci când se dă clic. Mecanismele robuste de apărare ale lui Cleafy, inclusiv detectarea mobilă a programelor malware și răspunsul proactiv la amenințări, a blocat efectiv aceste încercări.