4.11. Сервис FraudTrack

4.11.1. Общее описание

Система FraudWall является решением, все компоненты которой устанавливаются только в банке. На стороне клиента каких-либо агентов либо специфического программного обеспечения не ставится.

FraudWall также не является облачным решением - вся обработка и хранение данных осуществляется только внутри банка.

С одной стороны, это хорошо - получить несанкционированный доступ к антифрод-системе практически невозможно. Но с другой стороны, такой подход не позволяет учитывать информацию о состоянии компьютера клиента - есть ли на нем вредоносное программное обеспечение, удаленное подключение и т.д.

Для устранения этого недостатка, FraudWall позволяет интегрироваться с облачными решениями сторонних производителей. Данные решения на стороне клиента банка запускают специализированное программное обеспечение, осуществляющее поиск банковских троянов, подозрительной активности на компьютере и т.д.

Результат проверки компьютера клиента банка поступает на сервера облачного провайдера. В свою очередь, FraudWall запрашивает у облачного провайдера результат проверки, а затем учитывает его при анализе платежных поручений, создаваемых в системе ДБО. Такая технология носит название сервис FraudTrack.

Внимание

Поддержка сервиса FraudTrack является опциональной и лицензируется отдельно

FraudWall поддерживает следующих облачных провайдеров:

4.11.2. Схема работы сервиса FraudTrack

Общая схема работы сервиса FraudTrack показана на рисунке:

Рисунок 29. Общая схема работы сервиса FraudTrack

Общая схема работы сервиса FraudTrack

Сервер управления при необходимости соединяется с серверами облачного провайдера и получает от них информацию, связанную с состоянием компьютера клиента банка. В дальнейшем, данная информация учитывается при анализе платежных поручений в системе ДБО - если в процессе создания платежки были зафиксирована подозрительная активность на компьютере клиента, такой платеж будет считаться более подозрительным.

4.11.3. Конфигурирование сервиса FraudTrack

Конфигурирование сервиса FraudTrack осуществляется через интерфейс Система\Сайты в группе параметров FraudTrack:

Рисунок 30. Конфигурирование сервиса FraudTrack

Конфигурирование сервиса FraudTrack

4.11.4. Конфигурирование межсетевого экрана для работы сервиса FraudTrack

Непосредственное взаимодействие с серверами облачного провайдера осуществляет сервер управления - он является инициатором установки TCP-соединения.

На межсетевом экране необходимо дополнительно открыть доступ с сервера управления на сервера облачного провайдера по соответствующим портам.

4.11.5. Особенности интеграции с IBM Trusteer Pinpoint Malware Detection

  1. Перед началом конфигурирования FraudTrack необходимо подготовить файл в формате PKCS#7, содержащий секретный ключ, сертификат, а также полную цепочку сертификатов удостоверяющих центров. Секретный ключ и сертификат формируются согласно документации к IBM Trusteer Pinpoint Malware Detection, а затем совместно с набором сертификатов удостоверяющих центров экспортируется в файл формата PKCS#7 (при экспорте в качестве пароля необходимо использовать только цифры и латинские буквы).

    Внимание

    Обратите внимание - сертификат для общения с серверами облачного провайдера - это не сертификат, указываемый при конфигурировании Web-сайта ДБО.

  2. В параметре "URL доступа к API облачного провайдера" необходимо указать URL, сформированный с учетом Application code (см. документацию по IBM Trusteer Pinpoint Malware Detection) по следующему примеру:https://1.2.3.4/88888/api/session

    где 88888 - это присвоенный Application code

  3. Для удобства конфигурирования правил, FraudWall соотносит уровни риска IBM Trusteer Pinpoint Malware Detection по следующему алгоритму:

    Таблица 4. Соответствие уровней риска

    Уровень IBM Trusteer Pinpoint Malware Detection Уровень FraudWall
    0 - 200 незначительный
    201 - 400 небольшой
    401 - 600 средний
    601 - 800 большой
    801 - 1000 очень большой

4.11.6. Особенности интеграции с Group-IB Bot-Trek Secure Bank

  1. В качестве файла с SSL-сертификатом можно указывать файл, содержащий цепочку сертификатов удостоверяющих центров (в PEM-формате)

  2. Для удобства конфигурирования правил, FraudWall соотносит уровни риска Group-IB Bot-Trek Secure Bank по следующему алгоритму:

    Таблица 5. Соответствие уровней риска

    Уровень Group-IB Bot-Trek Secure Bank Уровень FraudWall
    1 (low) небольшой
    2 (medium) средний
    3 (high) очень большой

4.11.7. Особенности интеграции с Kaspersky Fraud Prevention Cloud

Для взаимодействия с сервером Kaspersky Fraud Prevention Cloud необходимо сформировать PKCS#12 файл (файл формата pfx) содержащий клиентский сертификат, закрытый ключ, а так же цепочку сертификатов сервера KFP Cloud.

Файлы с сертификатами и закрытый ключ предоставляются представителями Kaspersky Lab. Цепочку сертификатов сервера KFP Cloud так же можно экспортировать из браузера в формате PEM (Base64), зайдя на Web страницу сервера KFP Cloud и открыв на просмотр ssl-сертификат сервера.

Сборка осуществляется с помощью утилиты openssl. Для этого Вы можете скопировать все полученные файлы на сервер FraudWall в каталог /tmp и выполнить следующую команду: openssl pkcs12 -export -out kfp.pfx -inkey "закрытый_ключ" -in "клиентский_сертификат" -certfile "цепочка_сертификатов_KFPCloud"

Команда попросит ввести пароль, на котором будет зашифрован полученный файл kfp.pfx. Файл kfp.pfx необходимо забрать с сервера FraudWall и указать в настройках FraudTrack, в Web интерфейсе системы Система->Сайты->FraudTrack в пункте "Файл с сертификатом". В пункте "Пароль доступа к секретному ключу файла" укажите пароль введенный при выполнении команды openssl.