Виртуальные машины отлично подходят для задач, связанных с защитой информации и безопасного исполнения компьютерных программ, тестирования кода или исследования производительности программного обеспечения. Однако когда речь идет о получении финансовых услуг онлайн, обнаружение виртуальных машин зачастую бывает довольно серьезной проблемой для экспертов по оценке рисков. В последнее время мы заметили рост числа использования виртуальных машин в потоке заявок и сегодня мы хотим поделиться с вами статистическими данными по их процентному соотношению в различных макрорегионах, а также осветить наиболее эффективные подходы по выявлению данной угрозы.
Виртуальные машины: что это такое и как они связаны с методологией оценки риска?
Суть одной из методологий JuicyScore по предотвращению фрода на основе детального анализа устройств заключается в аккуратной и точной аутентификации, выявлении различных параметров, характеризующих устройство, окружение и методы его использования. Одна из частей нашей методологии касается виртуальных машин. Эта тема стала очень актуальной в последнее время: мы наблюдаем довольно сильный всплеск числа виртуальных устройств в регионах нашего присутствия.
Что такое виртуальное устройство или машина? Это любой тип устройства (стационарный компьютер, планшет, смартфон и т.д.), смоделированный при помощи специального программного обеспечения или программного кода. По сути своей это устройство ничем не отличается от любого физического компьютера/ноутбука/смартфона или даже сервера. Оно также имеет процессор, память, диски для хранения файлов и данных, при необходимости может подключаться к Интернету. Однако в отличие от физических устройств с материальными носителями данных, процессором и памятью, виртуальные машины или программно-определяемые компьютеры на физических серверах существуют только в виде кода.
Виртуальное устройство существенно упрощает работу всей IT-инфраструктуры компании, а также повышает производительность благодаря оптимизации использования ресурсов. Например, можно объединить несколько серверов в одну виртуальную машину или наоборот - разбить одну мощную машину на несколько более мелких серверов, в зависимости от текущих нужд компании. Безусловно, виртуальные машины не предназначены для проведения операций, связанных с финансовой деятельностью человека, поэтому использование таких технологий в процессе получения финансовых продуктов и услуг онлайн может свидетельствовать о недобросовестных намерениях пользователя, а значит, несет риск для бизнеса.
Существует несколько типов виртуальных машин. Первый тип - это различные программные решения с признаками виртуализации. Например, приватный режим в браузере или LockDown режим на устройстве. Зачастую такие механизмы используют для защиты приватности пользователей. Данные решения с признаками виртуализации, как правило, не несут существенных рисков, иногда риск подобных программных решений может быть выше среднего.
Второй тип можно отнести к наиболее опасным - собственно виртуальная машина - система, которая эмулирует аппаратное обеспечение компьютера, при этом она может быть как программной, так и аппаратной. Необходимо различать типы виртуальных машин, чтобы эффективно бороться с каждым из них.
Средний уровень фрода для виртуальных машин
В рамках анализа эффективности отслеживания виртуальных машин мы рассмотрели статистику по выборке переменных: оценили средний риск не только по виртуальным машинам, но и по всем записям.
По результатам нашего анализа, риск по всем заявкам, в которых было обнаружено использование виртуальных машин, был в среднем в 1.3-1.5 раз выше, чем средний риск по всем записям. В то же время те компании, которые не обращают внимание и не занимаются фильтрацией виртуальных машин, имеют уровень дефолта в 2,5-3 раза выше среднего.
Также мы провели оценку динамики роста использования виртуальных машин в различных регионах за последние 6 месяцев.
Так, за последние полгода мы заметили рост использования виртуальных машин. Увеличение случаев их использования в период декабрьских праздников вполне объяснимо. Из-за того, что многие кредиторы с трудом справляются с резко возросшей необходимостью в кредитных средствах ввиду предпраздничных покупок, недобросовестные пользователи надеются остаться незамеченными в таком объемном потоке заявок.
Кроме того, мы проанализировали распределение трафика по виртуальным машинам за последние 2 месяца в разбивке по регионам. Ниже приведен процент заявок с виртуальными машинами от всего потока заявок:
Существующие подходы выявления виртуальных машин
Классический способ выявления виртуальных машин основывается на анализе характеристик и параметров операционной системы. Однако данный метод недоступен, если речь идет о веб-приложении. В этом случае на помощь приходит целый ряд решений и способов, основными недостатками которых являются значимые ошибки первого и второго рода:
- Выявление виртуальных машин через значимые аномалии. Плюсом данного подхода является то, что он обладает наименьшей ошибкой второго рода:
a. Аномалии рендеринга;
b. Аномалии экрана и свойств графики;
c. Аномалии свойств оперативной памяти и ряд других направлений;
2. Выявление через тесты на производительность:
a. Производительности графики (например, FPS и графические характеристики рендеринга);
b. Производительность операционной памяти;
c. Производительность жесткого диска;
d. Производительность звуковой карты и ряд других направлений;
3. Выявление виртуальных машин через анализ на целостность установленного ПО. Данное направление является наиболее перспективным и эффективным для веб-приложений, это связано с тем, что виртуальные машины значимо отличаются по наполнению/ функциональности от реальных устройств.
Как известно, не существует единого универсального подхода, позволяющего каждой компании эффективно бороться со всеми типами рисков - каждый эксперт по риск-менеджменту постоянно находится в поисках баланса достаточной информативности данных и стабильного, окупающего себя подхода. Исходя из нашего опыта, наиболее эффективные антифрод и риск-менеджмент решения должны уметь обнаруживать риск в режиме реального времени, иметь высокую информативность данных для повышения качества моделей и систем принятия решений, а также анализировать поведение пользователя и хорошо уметь выявлять скрытые корреляции.