Fraude volgt het geld

Fraude associëren we van oudsher met banken, want daar zit het geld. Precies, van oudsher; immers, het geld zit tegenwoordig overal en fraude volgt het geld. De systemen die we gebruiken om concertkaartjes of vliegtickets te bestellen, worden ook door fraudeurs benut. En daar komen nauwelijks mensenhanden bij kijken: bots scannen het internet continu af naar gaten en achterdeurtjes in systemen, om zo een buitenkansje te scoren. Meestal hebben we het misbruik niet eens direct door.

Tekst: Dennis de Leest 

Bescherming tegen fraude begint met te snappen hoe fraudeurs werken. Het zijn vaak onopvallende praktijken, zoals een reguliere online bestelling van een pizza. Niets aan de hand, totdat achteraf blijkt dat enige doel ervan was om te controleren of gestolen creditcards werken. In veel gevallen wordt het menselijk gedrag gekopieerd, headless browsers geheten, bijvoorbeeld een tool die klikt op een advertentie. Normaal gedrag dat geen alarmbellen doet afgaan, alleen doet de tool het veel vaker dan een mens normaliter zou doen. Scalpers zijn bots die bijvoorbeeld gewilde concertkaartjes of collector items opkopen en snel doorverkopen tegen winst. De verkoper zal het zelf niet snel merken, maar het verpest de markt doordat zaken bij de reguliere verkooppunten sneller uitverkocht raken en op de zwarte markt tegen woekerprijzen worden aangeboden.

Dit is inmiddels zo groot, dat internetverkeer van bots (ook die met goede bedoelingen) het menselijk verkeer qua omvang heeft ingehaald. Siri, Alexa en Google stellen bots beschikbaar die fungeren als persoonlijke assistenten bij alledaagse taken. Ze zijn efficiënt, effectief en stellen geen vragen, en dit is precies waarom ze ook aantrekkelijk zijn voor minder goed bedoelde toepassingen. De technologie achter onze favoriete apps, maakt ook fraude via bots mogelijk. Soms direct, zoals hierboven aangegeven, maar ze worden ook ingezet om het internet te crawlen naar gaten in web-applicaties. Eenmaal gevonden, krijgt de fraudeur een seintje en kan hij zelf aan het werk.

Tegenmaatregelen

Fraude en de geraffineerde aanpak van fraudeurs zijn allebei zo complex dat er geen simpele tegenmaatregel is. Volledige garantie is niet haalbaar, maar door verschillende verdedigingslagen aan te brengen, is fraude op zijn minst te ontmoedigen en in het beste geval wel tegen te gaan.

Speciale Web Applicatie Firewalls (WAF) met zogeheten full-proxy mogelijkheden bieden een dergelijke, meerlaagse bescherming. Een WAF kan identiteiten, zoals gebruikers of bots, controleren en nagaan wat de reputatie van die identiteit is. Op basis van een risicoprofiel is zo’n gebruiker of bot dan te blokkeren door de toegang te ontzeggen. De beveiliging is ook op te schroeven door multi-factor authenticatie toe te passen, waarbij gebruikers op verschillende manieren zich moeten identificeren. Hier speelt ook IP-intelligentie een rol bij, zodat bijvoorbeeld op basis van de geolocatie of bronnetwerk van een verbinding een reputatie-gebaseerde context worden gemaakt. Als daarbij iets verdachts wordt gevonden, kan een verbindingsverzoek met een netwerk worden afgewezen.

Hierbij is van belang dat de IT-infrastructuur programmeerbaar is. Bots en fraudeurs veranderen voortdurend van tactiek, dus tools moeten in staat zijn ook snel in te spelen op die veranderingen en hetzelfde beveiligingsniveau te blijven bieden. Een applicatie-proxy kan ook worden gebruikt om phishing-pogingen te achterhalen, door sites te blokkeren wanneer ze content van frauduleuze sites proberen op te halen (zoals afbeeldingen). De proxy kan dan een seintje aan de beheerder geven, zodat de sites kunnen worden geïdentificeerd en offline worden gehaald. Middels anti-scraping technologie zijn websites te maken die lastig automatisch te kopiëren zijn.

Een andere vorm van bescherming vormt de controle van het ingaand én uitgaand verkeer. Op die manier zijn datalekken tegen te houden of ze nu opzettelijk of per ongeluk gebeuren. Ten slotte kan een WAF controleren of handelingen wel ‘menselijk’ zijn op basis van gedragsanalyse en zo een geautomatiseerde verdediging opzetten.

De tijd dat fraude alleen bij banken gebeurde ligt al ver achter ons. Het is een verschijnsel in allerlei sectoren, en maakt slachtoffers onder zowel bedrijven als consumenten. Het tegengaan van fraude is alleen mogelijk met een holistische aanpak - een combinatie van strategie, technologie en doorzettingsvermogen. Applicatie-proxies kunnen hierbij helpen omdat ze op de juiste plek staan in het netwerk: vóór de applicatie. De mix van applicatiebeveiliging, netwerkbeveiliging, toegangscontrole, intelligentie en endpoint-inspectie is de beste tegenmaatregel om fraude te minimaliseren.

Dennis de Leest is senior Field Systems Engineer bij F5 Networks en trendwatcher op security-vlak.