使用機器學習和行為分析檢測金融SWIFT交易中的異常活動
全球銀行間金融電信協會(SWIFT)是一個使機構能夠在安全,標準化和可靠的環境中傳輸金融交易資訊的網路。但是,由於已知的系統漏洞,SWIFT欺詐已在銀行和其他機構中得到記錄。在一種情況下,沒有實施用於建立,驗證,授權和傳輸自由格式SWIFT訊息的系統控制,因此業務員能夠重定向資金。
在本文中,我們將研究SWIFT網路的工作方式,審查記錄的欺詐用例,並展示金融機構可以採取哪些措施來預防SWIFT欺詐。
為什麼SWIFT占主導地位?
SWIFT最初建立時只是為了促進金庫和代理交易。如今,基於支付的訊息仍佔其流量的近50%,而現在有43%與安全交易有關。其餘流量流向庫存交易。通過連線200多個國家和地區的11,000多家全球金融機構,每天在SWIFTNet上交換超過1500萬條金融訊息(每年50億條訊息)。
誰使用SWIFT?
SWIFT強大的訊息格式允許巨大的可伸縮性,因此它已逐漸擴充套件以提供以下服務:
- 銀行,經紀機構和貿易行
- 證券交易商
- 資產管理公司
- 票據交換所,存放處和交易所
- 公司營業所
- 資金市場參與者和服務提供商
- 外匯和貨幣經紀
儘管SWIFT不代表客戶持有資金或管理帳戶,但它使全球使用者社群能夠安全地進行通訊。它以可靠的方式交換標準化的金融訊息,以促進全球和本地金融流動,並支援國際貿易和商業。
SWIFT的關鍵元件
圖1:SWIFT基礎結構在眾多金融實體之間提供了安全的交易訊息傳遞
SWIFTNet– SWIFTNet為所有連線的參與的金融機構應用程式提供通用介面。訪問是由每個服務管理員的業務策略決定控制的,而不是受其基礎結構的技術限制的控制。
SWIFTNet連結–對於所有外部介面,業務應用程式都使用SWIFTNet連結(SNL)API訪問SWIFTNet服務。它的後臺程序支援訊息傳遞,安全性和服務管理功能。它已合併到SWIFTAlliance WebStation和SWIFTAlliance Gateway中。
SWIFTAlliance閘道器– SWIFTAlliance閘道器(SAG)允許不同計算平臺上的業務應用程式通過SWIFTNet傳遞訊息。通過主機介面卡(包括WebSphere MQ主機介面卡)接收訊息。
圖2:Alliance Messaging Hub的高階體系結構
聯盟訊息中心–聯盟訊息中心(AMH)通過對多個全球網路的訊息處理來支援客戶的業務活動。它具有可擴充套件性和可定製性,可在各種訊息傳遞服務之間提供路由,並具有多種整合。技術人員可以建立自己的業務流程,轉換,報告定義以及複雜的業務路由。
SWIFT訊息流
SWIFT訊息(FIN)的準備工作涉及以下幾個步驟:
- 訊息建立–使用者訪問“訊息建立”應用程式以建立SWIFT訊息。根據訊息的型別和格式以及金融機構定義的許可和路由來處理每個訊息:
- SWIFT FIN訊息必須經過驗證,授權或同時驗證
- SWIFT系統訊息必須經過授權,但不必經過驗證
- 訊息驗證–訊息驗證應用程式驗證SWIFT FIN訊息中的關鍵欄位,例如起息日,貨幣和金額。在大多數情況下,訊息建立者不會對其進行驗證。而是,驗證者重新輸入關鍵欄位,這些欄位顯示為空白。欄位集必須匹配才能驗證郵件。等待驗證的訊息儲存在訊息驗證佇列(_MP_verification)中。
- 訊息授權–已驗證的SWIFT FIN和系統訊息已由訊息批准應用程式授權釋出,在此過程中進行了直觀檢查。通常,儲存在訊息授權佇列(_MP_authorization)中的授權訊息由主管批准。授權後,會將訊息傳輸到其中指定的網路佇列。Alliance Access自動從網路佇列傳輸訊息。
控制漏洞和已知的SWIFT欺詐問題
根據一家領先銀行的報告,以下兩個案例研究記錄了SWIFT交易中的漏洞。
在第一種情況下,機構沒有建立用於建立,驗證,授權和傳輸自由格式訊息的雙重控制流程,以驗證檢查生成器之間的交易。結果,金融機構及其代理銀行之間有關匯款指令修訂的一系列SWIFT訊息並未引起監管者的注意,以進行審查。
經調查,該銀行發現人員短缺導致主管人員在批准貸款支付之前跳過了盡職調查。由於對入站SWIFT訊息的接收和分發的控制不充分,因此,一名店員利用漏洞來回想起她後來轉入其個人帳戶的貸款收益。
最近的另一起案件涉及濫用交易驗證過程。在三步過程中,製造商在系統中鍵入SWIFT訊息,檢查程式對其進行檢查,並在確認其真實性後由驗證者傳送該訊息。但是,在這裡,訊息的製造者,檢查者,驗證者和接收者中至少有三人證實了建立貸款的陰謀(在本例中為同一人)以使欺詐成為可能。
金融機構的關鍵檢測用例
- 很少有金融機構希望或能夠發現一個人作為SWIFT訊息製造者與另一個人作為檢查者之間的異常關係。研究表明,當給定的檢查者成為關聯訊息製造者的最頻繁授權者時,可能會發生欺詐性交易。
- FIN訊息授權者應不同於訊息建立者或驗證者。如果從同一終端或同一個人執行FIN訊息的建立和授權,或授權和驗證,則可以檢測到可疑交易。
- 製造者和檢查者通常在其正常終端和正常工作時間內執行FIN訊息活動。通過監視製造者和檢查者的異常登入活動,可以檢測到欺詐活動。
Exabeam Advanced Analytics如何防止SWIFT欺詐
為了檢測異常和異常活動,Exabeam Advanced Analytics使用機器學習和行為分析為使用者和裝置建立基準。它可以從Windows Active Directory(AD),代理,防火牆,安全警報,資料庫和其他應用程式中獲取日誌。
根據最近的部署,可以從SWIFT Alliance Gateway日誌中捕獲至少七個事件型別。其中三個與SWIFT訊息(訊息建立,驗證和授權)有關,而四個與登入活動有關。
圖3:在ExabeamAdvanced Analytics中建立的SWIFT事件
工作原理:Exabeam Advanced Analytics收到Alliance Gateway日誌後,將為特定的SWIFT相關活動解析,規範化並建立事件,如圖3所示
圖4:Advanced Analytics中的一個使用者會話顯示了應用程式事件
使用機器學習和行為分析來建立會話時間表,以為每個使用者和裝置建立活動基線。如圖4所示,與SWIFT相關的事件以及從其他環境日誌(例如Windows,代理,電子郵件,印表機等)建立的其他事件已被縫合到使用者的時間軸上。
圖5:高階分析顯示了與使用者的應用程式活動相關的學習的行為模型
行為模型可以從Alliance Gateway日誌(圖5)中學習不同的條件,例如:
- 每個使用者及其部門處理的FIN訊息型別
- 處理SWIFT訊息的一週中的時間
- 每個SWIFT使用者使用的普通裝置
通過學習的行為模型和已建立的風險規則,Advanced Analytics使用其風險引擎來檢測異常或異常的SWIFT活動。例如:
- 在同時也是特定授權者最大使用者的訊息製造者之間發生SWIFT訊息授權時發出警報。
工作原理:行為模型可讓Advanced Analytics學習特定授權者的訊息建立者,以及特定驗證者的訊息建立者。如果建立者是授權者的最大使用者(> 30%),則Advanced Analytics會觸發警報。可以為授權者和驗證者建立類似的模型和規則。
其他檢測規則示例包括:
- 當製造者和檢查者(驗證者或授權者)使用同一臺機器時發出警報。
- 建立者和授權者是同一使用者時發出警報。
- 在異常時間內建立FIN訊息時發出警報。
- 在為不尋常的國家/地區建立FIN訊息時發出警報。
- 當從先前未與建立者關聯的終端發生FIN訊息建立時發出警報。
在類似於SWIFT的應用程式中檢測到異常和欺詐活動
以下示例顯示Exabeam如何檢測金融應用程式中的異常活動和風險活動。
圖6:L為使用者贏得了正常行為
First Exabeam建立正常使用者行為的基準。通過使用機器學習和行為建模,Advanced Analytics為組織的所有使用者學習應用程式活動型別(圖6)。
圖7:過多,異常的應用程式物件訪問/事務
通過進一步學習活動(例如應用程式物件訪問)的行為模型,圖7顯示了Advanced Analytics風險引擎已檢測到來自訪問了約300個應用程式物件的使用者的異常活動。
圖8:Advanced Analytics比較對等組以檢測異常活動
圖8顯示瞭如何根據對等組比較來檢測異常活動
圖9:Advanced Analytics在不尋常的時間跟蹤使用者訪問
在圖9中,Exabeam通過跟蹤正在休假的使用者的訪問來檢測可疑活動
圖10:Advanced Analytics評估所有活動並分配風險評分,這些評分可以基於預先設定的閾值生成相應的警報
這裡,Advanced Analytics根據正常,同級組比較和異常行為分配風險評分。
結論
使用Exabeam UEBA來檢測異常和異常活動,金融機構可以分析SWIFT日誌以及其餘的基礎架構日誌。除了快速檢測和關聯SWIFT事件以及其他與基礎架構相關的事件之外,它還提供了完整的可見性。幾種開箱即用的檢測方法使您可以建立其他行為模型和規則,以進行更精細的檢測。