hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud
TRANSCRIPT
![Page 1: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/1.jpg)
Śledzenie ruchów klientaMonitoring, wizualizacja danych przy użyciu narzędzi big data
Michał Olczak, Radosław [email protected] [email protected]
![Page 2: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/2.jpg)
2
FRAUDY W BANKOWOŚCI ELEKTRONICZNEJMAN IN THE BROWSER – WYŁUDZENIE HASŁA, DANYCH AUTORYZACYJNYCH, AUTOMATYCZNE PRZELEWY, PRZEKIEROWANIE NA KOPIĘ STRONY:
ZEUS, CITATEL, TINBA, VAWTRAKPHISHING – WYŁUDZENIE LOGINU I HASŁAPODMIENIARKI NR RACHUNKÓW:
WIRUS ANALIZUJĄCY PAMIĘĆ PROCESÓWWIRUS ZMIENIAJĄCY ZAWARTOŚĆ SCHOWKA
ŹRÓDŁA INFEKCJI – MAILING (FAKTURA ZA TELEFON), DZIURY W PRZEGLĄDARKACH, ACROBAT
Źródło: http://blog.phishlabs.com/
![Page 3: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/3.jpg)
3
REKLAMACJA?Użytkownik zostawia całą masę śladów w logach. Używamy frameworku Wicket, która bardzo wspiera dostarczanie informacji:
21:04:33.005 [WebContainer : 27] a:Centrum24 - time=117,event=Interface[
target:ThirdPartyTransferInputPage$ThirdPartyTransferForm(content:mainColumn:form), page: com.bzwbk.centrum24.web.page.transfer.input.ThirdPartyTransferInputPage(7), interface:IFormSubmitListener.onFormSubmitted],
response=PageRequest[com.bzwbk.centrum24.web.page.transfer.confirmation.TransferConfirmationThirdParty(8)],sessioninfo=[
sid=WC9kGxTD2w7XaPd1tCIJAIa,uid=12345678,ip=89.228.199.131,ua=Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0,lang=pl],
sessionstart=Mon Jul 15 21:02:41 CEST 2013,requests=49,totaltime=4406,activerequests=2,maxmem=12884M,total=12884M,used=8091M
Co zostało zwrócone
ID, IP, dane przeglądarki
W co kliknął
![Page 4: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/4.jpg)
4
WOLUMEN –40 GB DZIENNIE
2 LATA DANYCH~30TB DANYCH O AKTYWNOŚCI UŻYTKOWNIKÓW.
![Page 5: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/5.jpg)
5
RAPORTOWANIE W SPRAWIE REKLAMACJI
BADANIE AKTYWNOŚCI UŻYTKOWNIKA NA PRZESTRZENI MIESIĘCY W KONTEKŚCIE NP.
• Lokalizacji IP• User agent
![Page 6: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/6.jpg)
6
• BADANIE AKTYWNOŚCI UŻYTKOWNIKA NA PRZESTRZENI MIESIĘCY• Lokalizacja IP –> lokalizacja geograficzna• Pula urządzeń -> OS, przeglądarki, aktualizowanie
przeglądarek• Profilowanie -> długość sesji, ilość kliknięć na
sekundę, popularne godziny, dni logowań, lokalizacje
![Page 7: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/7.jpg)
7
TOR i inne podejrzane IP
Wyłapywanie „online” podejrzanych logowań w
oparciu o słownik IP lub lokalizacji (np. Rosja)
PrzeglądarkiFraudy często są wykonywane z tej samej
przeglądarki, maszyny, ale np. różne IP
danego regionu – monitoring online
podejrzanych przeglądarek
Lokalizacja – nice to have
Wykrywanie zbyt dużej zmiany geograficznej
(odległość + czas)
Nowe urządzenia – nice to haveLogowanie totalnie niezgodne z profilem
użytkownika – lokalizacja, czas, ip,
urządzenie, liczba kliknięć
MONITORING „ONLINE” – BUDOWANIE SILNIKA REGUŁ PRZY POMOCY OOZIE, PIG, HIVE ITP.
![Page 8: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/8.jpg)
8
WIZUALIZACJA DANYCH – KIBANA + ELASTIC SEARCH
• WSPARCIE WIZUALNE DLA RAPORTÓW
• INDEKS - FULL TEXT SEARCH• MAPA ZDARZEŃ
![Page 9: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/9.jpg)
9
PROBLEMY, BŁĘDY
• ANALITYKA OPARTA NA HADOOPIE• Problemy z Flume• Co z real time? Storm?• Czy to najlepsze miejsce do trzymania eventów?
• BRAK PORZĄDNEGO KLASTRA • raporty za dłuższe okresy generują się wiele godzin• Dane muszą być mocno skompresowane
• FORMAT DANYCH MA ZNACZENIE• Serde• Kompresja• Format danych – kolumnowy?
![Page 10: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/10.jpg)
10
PLANY
• FINGERPRINTING• User agent to za mało• Biometria• Lokalizacja
• REAL TIME• Storm, Kafka, HBASE• Scoring bezpieczeństwa danej sesji• Sprzężenie zwrotne
• MOBILE I INNE APLIKACJE
![Page 11: Hadoop case study w bankowości elektronicznej: wspomaganie detekcji efraud](https://reader038.vdocuments.site/reader038/viewer/2022100501/55a7838b1a28ab133e8b48fb/html5/thumbnails/11.jpg)
11
DZIĘKUJĘ
Michał Olczak@michalolczak