Z pohybů myši nebo stylu psaní dovedou během chvilky poznat, zda je uživatel skutečně tím, za koho se vydává. Řešení od brněnského startupu ThreatMark aktuálně chrání bankovní účty asi 20 milionů lidí po celém světě. CEO společnosi Michal Tresner prozradil v rozhovoru pro StartupJobs Newsroom, jak tzv. behaviorální biometrie funguje a co je zapotřebí k odhalení odcizené identity.
Koho a před čím ThreatMark chrání?
Naše technologie je schopna velmi komplexně zkoumat chování jakéhokoli člověka, jenž se pohybuje v online prostředí - tím myslím například v chráněné aplikaci. Představte si třeba, že máte nějakou webovou či mobilní aplikaci, a my sledujeme veškerý pohyb uživatele při práci s ní: na jaké stránky v té aplikaci naviguje, jakým způsobem hýbe myší, jakým způsobem interaguje s jednotlivými elementy na stránce, ať už jde o nějaká vstupní pole, tlačítka a podobně. Díváme se třeba i na to, jakým způsobem píše na klávesnici, jaká je dynamika úhozů při psaní a celá řada dalších parametrů - rychlost pohybu myši, zrychlení, rychlost double clicku, scrollování, úhel nájezdu myši na tlačítko a tak dál.
Stovky těchto parametrů sbíráme v reálném čase, každých deset milisekund, a data pak předáváme do našeho machine learningového modelu, což je jakýsi systém umělé inteligence, a snažíme se identifikovat anomálie mezi jednotlivými relacemi uživatelů. Takže pokud jde o navracející se uživatele, kteří už vícekrát pracovali s aplikací, tak víme, jak se chovali v minulosti právě v té široké škále parametrů chování, a jsme schopni identifikovat, jestli se tahle relace nějakým způsobem neodlišuje od těch předchozích.
K čemu je to dobré?
Pokud je odchylek už moc, tak vyhodnotíme, že chování uživatele je natolik podezřelé, že to vypadá, že je to spíš podvodník, který se jen vydává za legitimního uživatele.
Když si představíte nějakou aplikaci chráněnou přihlašovacími údaji, typicky loginem a heslem, tak my víme, co by to podle ID mělo být za uživatele, a pokud se pod tím samým ID někdo chová velmi anomálně, tak řekneme, že to není ten daný uživatel. A neřekneme to samozřejmě jemu, ale řekneme to tomu byznysu, který provozuje aplikaci. Což jsou v našem případě v 99 procentech banky.
Kolik času je zapotřebí, abyste poprvé zanalyzovali chování uživatele?
Máme celou řadu modelů a různých detekčních schopností, takže je několik věcí, které už při prvním styku uživatele s aplikací mohou působit jako podezřelé chování. Třeba víme, jakým způsobem vypadá chování někoho, kdo jen simuluje, že je člověk, ale ve skutečnosti je to robot nebo nějaký skript, který se snaží automaticky napodobovat chování uživatele. V takových případech můžeme používat již přednaučený profil z jiných uživatelů, takže při první interakci poznáme, že dochází k podezřelému chování. Mohou to být buď právě roboti, nebo někdo, kdo jde z nějaké anonymizační sítě či má počítač infikovaný malwarem.
Pokud jde přímo o porovnání uživatele s jeho předchozími relacemi, tak na to, abychom zjistili, zda je to skutečný uživatel, nebo někdo jiný, potřebujeme jen dvě interakce s aplikací. Samozřejmě čím víc jich je, tím je rozpoznání přesnější. Od páté interakce už je to velmi přesné.
Je to tedy tak, že vaším hlavním přímým klientem jsou banky, které si kupují váš software a nasazují jej na své online bankovnictví?
Možností aplikace je celá řada, ale začínali jsme v detekci podvodů, anglicky „fraud detection”, kde klientem je bankovní instituce. Svou technologii zabalíčkovali do produktu, kterému říkáme AFS (Anti Fraud Suit), a ten je aplikací naší technologie pro bankovní sektor. Banky si jej od nás koupí, nějakým způsobem jím obohatí své online kanály, ať už je to internetové nebo mobilní bankovnictví, a my potom v reálném čase bance říkáme, jestli uživatel, který právě teď pracuje v jejich bankovní aplikaci, je nějakým způsobem podezřelý.
Podezřelý buď může být kvůli tomu, že mu někdo převzal identitu, tedy s aplikací pod vaším jménem pracuje někdo jiný, nebo víme, že jste to vy, ale třeba máte na svém počítači nějakou infekci, která může způsobit, že se nějaký útočník vzdáleně připojí do vašeho počítače i do vašeho bankovnictví a převede vám peníze na svůj účet. Útoků na bankovní aplikace je celá řada a my detekujeme úplně všechny, které jsou pro online banking relevantní.
Dá se nějak kvantifikovat množství útoků v bankovnictví?
Kdybych měl říct číslo, tak je to hodně individuální. Některé banky mají phishingových útoků desítky ročně, některé třeba jeden nebo dva, ale pak jsou i banky, které jich mají stovky ročně. Takové ale v ČR převážně nejsou.
Je velký rozdíl, jestli se jedná o český, nebo zahraniční trh. Ten český je poměrně dobře chráněný jazykovou bariérou, kdy se útočníkům nevyplatí připravovat útoky v českém jazyce, protože jazyková bariéra zužuje množství lidí, na které nakonec mohou zaútočit. Ale i na českém trhu je vidět, jak se minimálně v posledním roce v souvislosti s covidem razantně zvedá množství útoků, zejména phishingu. Nárůst je zhruba pětinásobný oproti roku 2019, což je poměrně hodně i na český prostor.
Proč ten nárůst v souvislosti s pandemií?
Primární důvod je ten, že útočníci většinou využívají nepozornosti koncových uživatelů - málokterý útočník cílí přímo na banky, koncoví uživatelé jsou snazší terče. Vedle nepozornosti využívají také jejich strachu. A právě události v souvislosti s covidem a pandemií vytváří dobrou živnou půdu pro strach. Útočníci posílají uživatelům nějaké informace, které v nich mají vyvolat obavu, například že se v jejich okolí našli nakažení lidé, a pro to, aby něco ověřili, mají někam kliknout. Nebo že je banka vyzývá ke zkontrolování účtů, protože k něčemu došlo v souvislosti s covidem.
Covid tam je často jen jako takový nosný příběh, ale scénář za ním je stejný, je to snaha donutit uživatele se přihlásit do bankovnictví, ale přitom odkaz nevede na jeho banku, ale na stránky útočníka, kde útočník posbírá tyhle legitimní přihlašovací údaje.
A to je princip phishingu.
Tohle je princip řekněme nejčastější formy phishingu, jakou teď vídáme. Existuje celá řada modifikací, ale takhle dnes většinou phishing funguje: přijde vám email, tam je nějaké prohlášení, které vás jako uživatele trochu vyděsí, máte tam odkaz, jenž se tváří jako stránky internetového bankovnictví vaší banky, a přitom jsou to podvodné stránky, které tak jen vypadají. Tam od vás posbírají přihlašovací údaje.
Otázkou posledních cca dvou let je, že phishing už je tak sofistikovaný, že neposbírá jen váš login a heslo, ale posbírá napřed login a heslo a pak vás vyzve i k zadání nějakého druhého faktoru, takže ani dvoufaktorová autorizace proti těmto útokům nechrání, protože uživatelé, kteří jsou schopni na podvodné stránky zadat login a heslo, jsou schopni tam zadat i kód, který jim přijde esemeskou. V ten moment už má útočník většinou vše, co potřebuje k převedení peněz.
Když k podvodnému jednání dojde a vy jej detekujete, co následuje?
Máme několik možností, které se vždy liší od konkrétní dohody s danou bankou. Úplně nejjednodušší je, že pokud zaznamenáme podezřelé chování, můžeme instruovat přihlašovací systém v bance, aby vyzval uživatele k zadání nějakého dodatečného autentizačního faktoru. To je nejjednodušší a nejautomatizovanější způsob, jak tomuto čelit.
Ten druhý, který se s výše popsaným nejčastěji kombinuje, je, že bance řekneme, že dochází k podezřelému chování, a ta spustí jakýsi proces manuálního ověření transakce, takže to třeba předá na nějaké operátory, kteří dál zkoumají transakci, prověřují, co ví o daném uživateli, jestli už náhodou v minulosti neprodělal nějaké problémy, a v posledním kroku většinou použijí call centrum pro to, aby zavolali uživateli a zeptali se ho, zda opravdu ví o tom, že platil takovouto transakci.
Předpokládám, že po pachateli už se pak nějak zvlášť nepátrá…
Existují různé typy útoků, přičemž po těch, které jsou, řekněme, málo sofistikované, se většinou moc dál nepátrá, protože se to ekonomicky nevyplatí - je jich celá řada a úspěšnost je strašně malá. Pak jsou ale sofistikovanější kampaně, kdy dojde k velkým ztrátám, třeba v řádu desítek milionů, a to už stojí za to, aby se mašinerie pátrání spustila.
Nedokážu říct, jaká je úspěšnost vypátrání útočníků, to už řeší orgány činné v trestním řízení, ale my v tom procesu vystupujeme jako někdo, kdo připravuje podklady pro vyšetřování, zatímco banka má v režii to, jestli útok předá dál k vyšetřování, či ne.
Kolik bank je mezi vašimi klienty?
Pokud bychom se bavili o České republice, tak naše řešení chrání zhruba polovinu české populace.
Existuje nějaký další nástroj podobného střihu, který banky mohou používat k ochraně klientů?
Banky, které se snaží opravdu odpovědně přistupovat k ochraně klienta, což bohužel nejsou všechny, investují poměrně dost do různých systémů, jež mají detekovat podvody nebo kyberútoky. Pokud jde obecně o detekci podvodů v online kanálech, tak některé banky používají až několik řešení právě proto, aby zastavily různé typy útoků. Naše řešení je mimo jiné unikátní v tom, že je může použít jako své jediné řešení banka, která žádný jiný systém nemá, a stejně tak banka, která už nějaké řešení má, ale tím naším může svou stávající ochranu perfektně doplnit.
Nejčastější případ je, že banka má nějaký systém, který zkoumá, jak která platba, již provedete v online bankovnictví, vypadá: jestli neplatíte na nějaký účet, na který jste ještě peníze neposílali, jestli částka není příliš velká atd. Takové řešení většinou střední a větší banky mají, ale obvykle neví nic o tom, co se děje v relaci uživatele. Vůbec nevědí, jestli jeho chování není podezřelé, už když píše login nebo když zadává transakční větu. Transakční anomálie řeší až v případě, kdy se jim platba dostane do banky. A my jim dáváme možnost zareagovat na potenciální útok ještě několik minut a někdy i dnů před tím, než dojde k podvodné platbě. Máme totiž sondy, které detekují útok ještě v zárodku, třeba když útočník připravuje nějakou phishingovou kampaň, a hlavně několik minut před tím, než pošle podvodnou transakci, už víme, že je tam několik podezřelých indikátorů a že jde pravděpodobně o útočníka.
Kde dál aplikujete své nástroje mimo bankovnictví?
Když bych mluvil jen o systému behaviorálního profilingu a takzvané behaviorální biometrie, což je jako kdyby jeho podkategorie, která říká, jak konkrétně se chováte při psaní na klávesnici, hýbání myší nebo jiné interakci s aplikací, tak tohle všechno jsou vědní obory, které se snaží validovat, zda vaše identita je opravdu vaše, jestli ji někdo neukradl. A tohle samotné zjištění se dá uplatnit kdekoli na internetu, kde figuruje přihlašování k nějakým citlivým informacím. Mohou to být e-shopy, online burzy, směnárny, sázkové kanceláře, zkrátka vše, kde máte nějaký přihlašovací dialog a musíte chránit data. Všude tam se dá naše řešení uplatnit.
Další use case, se kterým experimentujeme, se týká uživatelů, které jsme nikdy předtím neviděli, kteří se teprve registrují k nějaké online službě, ať už je to účet u banky či diskusní forum. Pro takovéto uživatele nemáme vytvořený profil, a tudíž nedokážeme jednoduše poznat, zda je to skutečně daný uživatel, nebo ne. Jsme však schopni ho na základě behaviorálního profilingu a biometrie zařadit do nějaké z cílových skupin podle toho, do jaké skupiny ten byznys, s kterým spolupracujeme, chce, aby uživatel patřil.
Můžete to zjednodušit?
Představte si třeba, že e-shop chce vědět, kteří uživatelé nakonec koupí něco, co bude za hodně peněz, a kteří uživatelé buď nic nekoupí, nebo koupí něco za málo peněz. A my jsme schopni na základě tohoto sledování říct, zda bude daný uživatel spíš patřit do skupiny uživatelů, kteří koupí něco za hodně peněz, anebo spíš do té druhé skupiny. To funguje tak, že od e-shopu dostaneme tzv. labely a natrénujeme svou AI neuronovou síť na to, aby rozpoznala, jak vypadá biometrické chování uživatelů, kteří patří do jedné nebo druhé skupiny.
To tedy znamená, že určitá skupina lidí má společné znaky v rámci behaviorálního biometrického profilu?
Ano, dá se to tak říct. Určité podobnosti uživatelů je možné zjistit. Je to vědní disciplína, kterou se teď zabývá hodně velkých nadnárodních firem. My jsme udělali několik takových pilotních projektů, kde jsme byli schopni rozpoznat několik skupin uživatelů. Jsme schopni rozpoznat třeba i věk uživatele podle toho, jakým způsobem se chová v online prostředí.
Soudě podle ocenění v soutěžích (Společnost roku 2019 v AI Awards, Startup roku 2018 podle CzechInvestu, vítěz EY Enterpreneur 2019) se vaší firmě obzvlášť v posledním roce či dvou velmi dařilo. Platí to i podle ekonomických ukazatelů?
Za poslední roky jsme v revenue rostli o sto i víc procent ročně. V tomto roce míříme na 2,5 až 3 miliony euro v revenue a příští rok bychom to zase rádi trochu povýšili.
Co se týče dalších čísel, tak naším řešením chráníme aktuálně přes dvacet milionů uživatelů, a pokud se na to podíváte z pohledu toho, že validujeme každé jejich přihlášení, tak momentálně skórujeme až jednu miliardu loginů ročně.
To jsou poměrně slušná čísla na 50členný tým.
Máme teď lehce přes 50 lidí, i když je pravda, že na to, pro jaké zákazníky pracujeme, je to poměrně malý tým. Nicméně se pořád zvětšuje, v následujících dvou měsících nabereme dalších šest kolegů a snažíme se dále růst.
Naší výhodou je, že neděláme custom řešení, máme krabicový produkt, na který stačí vývojáři, jichž je do dvaceti, a supportují je lidé v customer care oddělení. Z dalších oddělení je zajímavé Security operation center, které v podstatě pomáhá našim zákazníkům zůstat krok před útočníky. Stále zkoumají nejnovější kyberútoky, ať už z dat, která k nám proudí z detekčních sond, tak také zkoumají na internetu, kde jaká havěť proudí a co zajímavého se peče v oblasti kyberútoků. Útočníky se snaží trasovat a pomáhat zákazníkům v případě, že jsou pod útokem. Tedy například extrahovat dodatečná data k útoku, tak abychom mohli systém pro zákazníka nastavit tak, aby podobný typ útoku v budoucnu zachytil.
Máte klienty z různých koutů světa, nebo je nějaký konkrétní trh, na který se obzvlášť orientujete?
Dá se říct, že v minulých letech jsme neměli moc velký focus, spíš jsme tak zkoušeli, kde na světě bude o naši technologii zájem. Takže máme nějaké zákazníky v Severní Americe, nějaké v Africe a jiných světadílech. Ale největší množství máme v Evropě, a z toho rozhodně nejvíc v CEE regionu.
Co se týče našeho současného focusu, tak ten míří na západní Evropu, Latinskou Ameriku a Turecko. Na tyto regiony se soustředíme z různých důvodů: Latinská Amerika, protože je tam nejvíc útoků, západní Evropa, protože využíváme referencí, které už tam máme, a Turecko, protože tam mají novou legislativu, která nám nahrává.
Můžete zmínit nějaké své další plány pro blízké a střednědobé období?
Snažíme se kontinuálně vylepšovat svou technologii, kam spadá i zpřesňování schopnosti identifikovat převzetí účtu, protože to je svatý grál detekce fraudu. Když zjistíte, že uživatel, kterého samozřejmě nevidíte, není on, ale někdo jiný, kdo používá jeho přihlašovací údaje, tak jste si skoro jistí, že to je nějaký podvod. A v tom má naše technologie největší přidanou hodnotu.
Také se teď rozmáhá nový typ útoků, kterému se říká authorized push payments. Je to typ sociálního inženýrství, který spočívá v tom, že vám zavolá někdo, kdo se tváří jako technická podpora banky, a řekne vám například, že zachytili nějakou podezřelou platbu na vašem účtu. Tímto způsobem vás donutí, abyste se ze svého počítače přihlásili do banky a převedli peníze na účet, který vám nadiktují.
Tento typ útoku je extrémně těžké odhalit, protože je to situace, v níž úplně selže veškerý zdravý selský rozum lidí. My si myslíme, že naše technologie má potenciál odhalit dokonce i tento typ útoku, právě proto, že oběť v tomhle scénáři vykazuje jiné charakteristiky chování než v běžné situaci. V momentě, kdy se majitel účtu nechává někým ovládat, se chová měřitelně jinak, než kdyby tu transakci chtělo poslat jeho vlastní vědomí. Neřekneme, že tohle je uživatel, který se typicky zachová podobně hloupě, ale řekneme, že teď zrovna tento uživatel vypadá, jako že ho někdo ovládá na dálku a on převádí peníze, aniž by to chtěl sám udělat.
Ale jsme v rámci této oblasti zatím ve výzkumné fázi a nevíme, zda se nám z toho podaří něco vykřesat. Spolupracujeme však již s několika bankami na tom, abychom na tento typ útoků dokázali své řešení připravit.
Foto: ThreatMark