CH715740A2 - Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten. - Google Patents

Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten. Download PDF

Info

Publication number
CH715740A2
CH715740A2 CH00046/20A CH462020A CH715740A2 CH 715740 A2 CH715740 A2 CH 715740A2 CH 00046/20 A CH00046/20 A CH 00046/20A CH 462020 A CH462020 A CH 462020A CH 715740 A2 CH715740 A2 CH 715740A2
Authority
CH
Switzerland
Prior art keywords
user
user device
data
end user
server
Prior art date
Application number
CH00046/20A
Other languages
English (en)
Inventor
Deutschmann Ingo
Burstrom Per
Lindblad Philip
Julitz David
Original Assignee
Bahaviosec Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/246,974 external-priority patent/US20190147451A1/en
Application filed by Bahaviosec Inc filed Critical Bahaviosec Inc
Publication of CH715740A2 publication Critical patent/CH715740A2/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Social Psychology (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Storage Device Security (AREA)

Abstract

Zwei benutzerauthentifizierte Sitzungen werden zwischen zwei verschiedenen Servern (110, 120) oder Benutzern von zwei verschiedenen Finanzinstituten verglichen. Auf der Grundlage von Vergleichen von bereinigten Tastendruckzeiten, positions- oder bewegungsbezogenen Eingaben und anderen Eingaben wird festgestellt, dass die Sitzungen mit dem gleichen Benutzer stattfanden/laufen. Wenn dieser Benutzer als betrügerischer oder böswilliger Akteur bei einem Server oder einer Bankinstitution identifiziert wird, werden diese Daten über einen weiteren Server (100) ohne Weitergabe vertraulicher Informationen mit dem anderen Server oder der anderen Finanzinstitution geteilt, so dass der zweite Server oder die zweite Finanzinstitution trotz fehlender Identifizierung des Benutzers selbst die an diesen Benutzer gesendeten Daten ändern kann, um Betrug und unbefugten Zugriff auf die Daten eines anderen zu verhindern.

Description

BEREICH DER OFFENGELEGTEN TECHNOLOGIE
[0001] Die offengelegte Technologie bezieht sich auf eine Methode und Vorrichtungen für den Austausch von desinfizierten Daten zur Feststellung von Betrug, wie z.B. speziell in Banksystemen.
HINTERGRUND DER OFFENGELEGTEN TECHNOLOGIE
[0002] Solange es Banken gibt, hat es Betrug gegeben. Banken und andere Institutionen, die Dienstleistungen anbieten, die auf einen autorisierten Zugang angewiesen sind, müssen ihre Kunden vor betrügerischen Akteuren schützen. Da ein physischer oder elektronischer Einbruch in eine Bank in der Regel schwieriger ist als der Einbruch in den Computer eines einzelnen Benutzers, spezialisieren sich die heutigen Bankräuber oft auf die „letzte Meile“ zum Endkunden.
[0003] Im Allgemeinen werden Banktransaktionen in einer digitalen Umgebung durch den Aufbau einer Sitzung zwischen Server und Client-Gerät unter Verwendung sicherer und verschlüsselter Kommunikationsprotokolle erleichtert, was die Angabe von Autorisierungsdaten durch den Benutzer erfordert. Dies basiert meist auf einem Benutzernamen und einem Passwort und/oder einer zweiten starken Authentifizierung, kann aber auch auf biometrischen Lösungen wie einem Fingerabdruck-Scan, einem Iris-Scan oder Techniken mit kontinuierlicher Verhaltensmessung im Hintergrund beruhen. Eine „Benutzersitzung“ für die Zwecke dieser Offenlegung ist definiert als das Betrachten und Herunterladen mehrerer diskreter Informationseinheiten, wie z.B. zusätzlicher paketierter Daten und/oder Webseiten, die auf der Grundlage von Benutzereingaben geladen werden. Beispiele hierfür sind eine Anmeldeseite, eine Übersichtsseite, Aktionsseiten usw. Jede Seite kann aus mehreren Teilen bestehen, wie Felder, Formulare, Listen, Schieberegler und Schaltflächen zur Ermöglichung von Benutzereingaben.
[0004] Um Zugang zu Daten und Anwendungen zu erhalten, die von einem privilegierten Dienstleister, wie z.B. einem Bankdienstleister (BSP), angeboten werden, kann ein Web-Browser oder eine Anwendung verwendet werden, die auf dem Gerät des Kunden läuft, und viele Kunden oder Klienten führen Bankgeschäfte über das Internet mit Hilfe von Bank-Frontends durch, die meist auf ihren eigenen Geräten wie Desktop-Computern, Tablets und Smartphones laufen. In einigen Fällen wird zur Betrugsbekämpfung und zur Einhaltung der allgemeinen Sicherheitsrichtlinien jede Sitzung protokolliert und in einer Datenbank auf einem Server gespeichert. Die Sitzung wird in der Regel durch eine große Anzahl von Deskriptoren beschrieben, und einige der relevanten Deskriptoren sind der User-Agent, d.h. Browser- und Softwareinformationen, Gerätetyp und IP-Adresse. In früheren Patenten vor dieser Erfindung wurden verhaltensbiometrische Deskriptoren mit Merkmalen des Benutzerverhaltens, einschließlich Zeitangaben darüber, wie der Benutzer die Maus tippt oder streicht, bewegt und durch die Formulare und Seiten navigiert, protokolliert.
[0005] Trotz der Bemühungen, das moderne Internet-Banking sicherer zu machen, sind Banktransaktionen immer noch anfällig für die breite Bedrohung, aus der moderner Betrug besteht, von Phishing, Hacking und gestohlenen Kontoinformationen bis hin zu ausgeklügeltem Social Engineering, das perfektioniert wurde, um auch recht eifrige und wachsame Nutzer des modernen Internet-Banking anzulocken. Bei einem Social Engineering-Betrug ist es oft der richtige Benutzer des Kontos, der angelockt wird, um sich anzumelden und eine Transaktion auf einem betrügerischen Front-End-System durchzuführen. Insgesamt gesehen kann die Aufdeckung von Betrug eine sehr harte Nadel im Heuhaufen sein, mit der zusätzlichen Schwierigkeit, nicht zu wissen, wie die Nadel aussieht. Angriffe stellen im Vergleich zu echten Benutzeranmeldungen eine sehr geringe Zahl dar und werden oft erst lange nach Abschluss des Angriffs entdeckt. Einige Aspekte der Sitzungsdeskriptoren eines Angreifers können gefälscht werden, oder es werden mehrere Geräte und automatisierte Skripte eingesetzt, um die Systeme zur Betrugsprävention zu verwirren. Bestehende Methoden werden oft von Fehlalarmen geplagt, was manuelle Arbeit schafft und das Vertrauen verringert.
[0006] Was wir brauchen, ist eine Möglichkeit, Fehlverhalten, Betrug und/oder das Risiko, dass authentifizierte Daten, die an einen Bankbenutzer gesendet werden, von einem Dritten kompromittiert werden, besser zu erkennen.
ZUSAMMENFASSUNG DER OFFENGELEGTEN TECHNOLOGIE
[0007] Ein Verfahren für ein Betrugsmanagementsystem (definiert als „eine Kombination von Geräten, die zur Erkennung von Betrug und zur Verhinderung von Datendiebstahl verwendet werden“) zur Identifizierung von betrügerischem Verhalten (definiert als „Aktionen, die in einem Computernetzwerk über eine Vielzahl von Netzwerkknoten ausgeführt werden, um falsche Informationen zu liefern oder Informationen zu erhalten, die nicht für die empfangende Partei bestimmt sind“) wird hier offengelegt. Dies schließt Anweisungen ein, die von einem Server gesendet werden (definiert als „ein Gerät, das sich an einem Netzwerkknoten in einem paketvermittelten Netzwerk befindet und authentifizierte und/oder verschlüsselte Daten an ein Client-Empfangsgerät an einem anderen Netzwerkknoten im Netzwerk verteilt, das die Daten nach der Authentifizierung empfangen soll, die anzeigt, dass das Client-Empfangsgerät zum Empfang der Daten berechtigt ist“). Der Server verteilt Inhalte über ein paketvermitteltes Datennetzwerk, die verschlüsselt wurden, an eine Client-Empfangsvorrichtung (definiert als „eine Vorrichtung, die von einem Benutzer betrieben wird, der authentifiziert wurde, um sichere / verschlüsselte / authentifizierte Daten zu empfangen“) an einem separaten Netzwerkknoten im Netzwerk. Der Inhalt umfasst Code, der von der Client-Empfangsvorrichtung ausgeführt werden muss (so dass die Anweisungen im Code ausgeführt werden), um betrügerisches Verhalten auf der Client-Empfangsvorrichtung zu erkennen. Die Ergebnisse der Erkennung von betrügerischem Verhalten werden über das paketvermittelte Netzwerk auf der Grundlage von betrügerischem Verhalten zurück an den Server übertragen.
[0008] In einer Verkörperung der offengelegten Technologie wird eine Methode zur Verweigerung des Zugangs zu sensiblen Daten durchgeführt, indem von jedem von mindestens einem ersten Endbenutzergerät und einem zweiten Endbenutzergerät eine Version von Daten auf der Grundlage einer aufgezeichneten Sitzung mit aufgezeichneten Interaktionen empfangen wird. Die „Version“ der Daten ist eine Version, die repräsentativ für Aspekte der Originaldaten ist, wobei die Teile davon, die zur Durchführung der Methode der offengelegten Technologie benötigt werden, noch in einer Form vorliegen, die dazu verwendet werden kann. Zu den aufgezeichneten Interaktionen gehören mindestens ein oder mehrere Tastendrücke und die zeitliche Abfolge jedes Tastendrucks oder zumindest die zeitliche Abfolge einiger Tastendrücke. Die aufgezeichneten Interaktionen können auch die Aufzeichnung von Bewegungen umfassen. Diese Bewegungen können einen oder mehrere Tastendrucke umfassen (welche Tasten gedrückt werden, wann die Tasten rechtzeitig gedrückt werden, wo ein Bildschirm gedrückt wird und wie er bei der Verwendung eines Touchscreens bewegt wird, usw.). Die Version der empfangenen Daten wird zunächst „bereinigt“, was als „identifizierende Information einer bestimmten Person, die entfernt wird“ definiert wird. Dies wird in Verkörperungen der offengelegten Technologie durch Anonymisierung der Tastendrücke erreicht.
[0009] Sobald die oben genannten Schritte ausgeführt sind, wird festgestellt, dass ein Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist. Diese Feststellung kann durch ein System oder Gerät erfolgen, das die Methode der offengelegten Technologie direkt ausführt, oder durch den Erhalt eines Hinweises darauf (d.h., dass die Daten eine Version einer Aufzeichnung von Handlungen zur Begehung von Betrug darstellen) von einer anderen Entität wie dem ersten Endbenutzergerät oder einem Zwischengerät, das die auf dem ersten Endbenutzergerät generierten Daten weitergeleitet hat. Dann wird auf der Grundlage von Ähnlichkeiten der vom ersten Endbenutzergerät und vom zweiten Endbenutzergerät empfangenen Daten festgestellt, dass der Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, derselbe Benutzer ist, der die Interaktionen auf dem zweiten Endbenutzergerät erzeugt hat.
[0010] Sobald die obige Feststellung getroffen ist, dass der erste und zweite Benutzer derselbe Benutzer ist, werden verschiedene zusätzliche Schritte in Verkörperungen der offengelegten Technologie durchgeführt. Die Änderung oder die Anweisung an einen anderen, die weitere Lieferung von Daten an das zweite Endbenutzergerät zu ändern, kann durchgeführt werden, um z.B. weitere betrügerische Aktivitäten oder den Diebstahl von Daten zu verhindern.
[0011] Ein Webserver (siehe Definition unten) kann eingesetzt werden, um Daten vom ersten Endbenutzergerät zu empfangen oder zu senden, wobei ein solcher Webserver von einer Bankinstitution betrieben wird. Ein „Bankinstitut“ ist eine Einrichtung, die finanzielle Transaktionen zwischen anderen solchen Einrichtungen oder Benutzern abwickelt, und im Folgenden wird ein Bankinstitut auch als „Betreiber“ bezeichnet, d.h. als Betreiber der Methode in der offengelegten Technologie. Es sollte verstanden werden, dass „Betreiber“ sich auch auf eine bestimmte juristische Person des Bankinstituts beziehen kann, wie z.B. eine Betrugsbekämpfungsabteilung oder eine IT-Abteilung und/oder Geräte, die ganz oder teilweise zur Durchführung von Methoden und anderen Einschränkungen der offengelegten Technologie betrieben oder unter ihrer Kontrolle stehen. Der Empfang vom zweiten Endbenutzergerät kann auch über einen Webserver erfolgen, wobei sich dieser Webserver von dem oben beschriebenen Server unterscheidet und von einer zweiten Bankinstitution betrieben wird. Jede „Bankinstitution“ ist in vielen Ländern gesetzlich verpflichtet, Benutzerinformationen vor jeder anderen Bankinstitution vertraulich zu behandeln. Bei dieser Methode können durch die Bereinigung der Informationen betrügerische Akteure entdeckt werden, ohne dass vertrauliche Informationen weitergegeben werden.
[0012] Die oben beschriebene Lieferung von Daten an den zweiten Endbenutzer, der als betrügerischer Akteur ermittelt wird, kann somit in Verkörperungen in Echtzeit geändert werden. Ein „betrügerischer Akteur“ ist jemand, von dem angenommen wird, dass er auf ein Gerät zugreift, das Daten an einen Betreiber der Methode der offengelegten Technologie sendet/empfängt, der einen Betrug durchgeführt hat, der eine Handlung durchgeführt hat, die den Verdacht auf Betrug entstehen ließ, oder der eine Sicherheitsverletzung oder eine potenzielle Sicherheitsverletzung wie einen Software-Port auf seinem Gerät hat, von dem erwartet wird, dass er nicht benutzt wird. In einer anderen Verkörperung wird der Schritt des Erhalts einer Version von Daten auf der Grundlage der aufgezeichneten Sitzung des ersten Endbenutzergerätes erst nach und als Ergebnis eines Schrittes der Feststellung durchgeführt, dass ein Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist.
[0013] Die oben genannten Arbeiten können im Rahmen der Nachbearbeitung und des Vergleichs zwischen den Nutzern durchgeführt werden. „Nachbearbeitung“ ist für die Zwecke dieser Offenlegung definiert als Schritte, die durchgeführt werden, nachdem jeder erste und zweite Benutzer seine Interaktionen mit den jeweiligen Webservern und/oder Finanzinstituten abgeschlossen hat, die Teil einer aufgezeichneten Interaktion sind, die auf Betrug oder potenziell betrügerisches Verhalten hinweist. Die aufgezeichnete Sitzung des ersten Endbenutzers und eine Vielzahl zusätzlicher aufgezeichneter Sitzungen, jeweils mit anonymisierten Tastendrücken und Zeitmessungen von Bewegungen einer entsprechenden Bewegung oder eines Berührungsgerätes, werden auf einem Server gespeichert und als Teil der Nachbearbeitung in einigen dieser Ausführungsformen verglichen.
[0014] Die Feststellung, dass ein Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist, ist in einigen Ausführungsformen auf die (Unter-)Feststellung zurückzuführen, dass die aufgezeichnete Sitzung des ersten Endbenutzergerätes mindestens eine der folgenden Eigenschaften aufweist: a) Tastenanschläge oder deren zeitliche Abstimmung, b) Bewegungen eines Bewegungs- oder Berührungsgerätes, die zur Durchführung einer betrügerischen Finanztransaktion verwendet werden. Die Kombination aus der Zeitsteuerung der Tastenanschläge und der Verwendung des Berührungsgerätes kann ebenfalls zur Bestimmung verwendet werden. In einer anderen Verkörperung oder in Kombination damit wird die Feststellung, dass das Benutzergerät unberechtigt ist (was gleichbedeutend mit der Feststellung ist, dass der Benutzer ein betrügerischer Akteur für die Zwecke dieser Offenlegung ist), durch den Erhalt eines Hinweises darauf getroffen, dass ein bestimmter Software-Port auf dem ersten Endbenutzergerät während der aufgezeichneten Sitzung des ersten Endbenutzergerätes benutzt wird. Andere Möglichkeiten zur Feststellung einer unberechtigten Benutzung sind der Vergleich eines Neigungswinkels des ersten Endbenutzergerätes mit der aufgezeichneten Sitzung, die Ausgabe eines Beschleunigungsmessers oder eine andere Ausgabe, die von einem solchen Gerät bereitgestellt wird. Wenn solche Ausgaben zwischen dem ersten und dem zweiten Benutzer übereinstimmen, kann man sagen, dass sie vom selben Benutzer stammen.
[0015] Auf eine andere Art und Weise beschrieben, wird eine Methode zur Feststellung, dass ein Benutzer eines Webservers trotz eines damit verbundenen Benutzernamens und Passworts unberechtigterweise auf ein Benutzerkonto zugreifen kann, durch die Aufzeichnung von Zeit und Eingabe von zumindest text- und positionsbezogenen Eingaben durchgeführt. Der Text wird anonymisiert, und die Aufzeichnung mit geändertem Text wird an einen Drittserver gesendet und von diesem empfangen. Der Drittserver erhält oder erzeugt ferner einen Hinweis, dass die Aufzeichnung mit Daten übereinstimmt, die mit einem Benutzer verbunden sind, der als betrügerisch angegeben ist oder wahrscheinlich einen Betrug begangen hat (ein „betrügerischer Akteur“). Die weitere Zustellung von Daten an den Benutzer als Folge der Angabe wird geändert. Die positionsbezogenen Eingaben können mindestens eine oder zwei Maus, Berührungssensor, Orientierungssensor, Gyroskop und Beschleunigungsmesser umfassen.
[0016] Der Webserver wird von einem ersten Finanzinstitut betrieben, und der Betrug oder der wahrscheinliche Betrug wurde bei einem zweiten Bankinstitut auf der Grundlage der Interaktion mit einem Webserver begangen, der in einigen Ausführungsformen von dem zweiten Bankinstitut betrieben wird. Ein „Bankinstitut“ wird in einigen Ausführungsformen auf der Grundlage rechtlicher Anforderungen, die die Institute dazu verpflichten, keine Benutzerdaten in irgendeiner Form miteinander zu teilen, von einem anderen solchen Bankinstitut zu unterscheiden oder als von diesem getrennt definiert.
[0017] Bei einigen Verkörperungen der offengelegten Technologie wird die Feststellung, dass die Aufzeichnung mit den Daten des Benutzers übereinstimmt, der als Betrüger angegeben wurde oder der wahrscheinlich einen Betrug begangen hat, von einem Drittserver vorgenommen, der die Aufzeichnung vom Webserver und vom zweiten Bankinstitut erhalten hat. In anderen Ausführungsformen wird die Methode erst dann durchgeführt, wenn der Betreiber eines Webservers den Verdacht hat, dass der Benutzer ein betrügerischer Akteur ist. Ein solcher Verdacht kann darauf beruhen, dass ein ausführbarer Code vom Webserver an ein vom Benutzer betriebenes Gerät gesendet wird, um Software-Ports zu scannen und eine Antwort zu erhalten, die anzeigt, dass ein bestimmter Software-Port bereits benutzt wird. Der Verdacht kann stattdessen oder auch darauf beruhen, dass das Benutzerkonto zuvor zur Durchführung einer finanziellen Transaktion verwendet wurde, die nicht abgeschlossen werden konnte. Der Verdacht kann ferner oder stattdessen auf einer Internet-Protokoll-Adresse des Benutzers des Webservers beruhen, die mit der des Benutzers übereinstimmt, der angegeben hat, einen Betrug begangen zu haben oder wahrscheinlich begangen zu haben, oder auf einer Geräte- oder Softwarebeschreibung, die vom Endbenutzergerät gesammelt wurde und mit der des Benutzers übereinstimmt, der angegeben hat, einen Betrug begangen zu haben oder wahrscheinlich begangen zu haben.
[0018] Der Schritt des „Sendens“ kann gleichzeitig mit einem Teil des Schrittes „Aufnehmen“ durchgeführt werden. Der Schritt des „Modifizierens“ wird bei einigen Ausführungsformen zumindest teilweise gleichzeitig mit dem Schritt des „Aufnehmens“ und dem Schritt des „Sendens“ durchgeführt. In anderen Ausführungsformen erfolgt das „Senden“ nach Abschluss des Schritts der „Aufnahme“ und/oder der Schritt der „Modifikation“ nach einer zweiten Bereitstellung des Benutzernamens und des Passworts an den Webserver.
[0019] Eine „Webseite“ für die Zwecke dieser Offenlegung ist „eine diskrete/endliche Menge an Code, die über eine paketvermittelte Datenverbindung über einen Netzwerkknoten empfangen wird und die über Daten verfügt, die ausreichen, um Text und Grafiken zu rendern, die für die Anzeige durch einen Benutzer formatiert sind“, und die über zusätzliche Daten wie Code verfügen kann, der ausgeführt wird, um die Anzeige zu ändern oder Aufgaben auszuführen, die dem Betrachter unbekannt sind. Ein „Browser“ für die Zwecke dieser Offenlegung ist „eine Methode oder ein Konstrukt, das den Code einer Webseite wiedergibt und diese einem Benutzer zeigt“. In einigen Ausführungsformen wird eine Version des Codes beim oder nach dem Herunterladen von Inhalten von jedem einer Vielzahl von eindeutigen URLs (Uniform Resource Locators) ausgeführt. Eine „URL“ ist definiert als eine Textkette, die zum Abruf und/oder zur Identifizierung bestimmter Inhalte verwendet wird, die über ein Datennetz gesendet/empfangen werden sollen. Ein „Webserver“ ist definiert als ein Gerät, das eine „Webseite“ oder eine Vielzahl von Webseiten an einen „Browser“ sendet.
[0020] Jede Vorrichtung oder jeder Schritt zu einer in dieser Offenlegung beschriebenen Methode kann das umfassen oder aus dem bestehen, was sie oder die Teile, aus denen sie besteht, oder die die Vorrichtung oder den Schritt bilden. Der Begriff „und/oder“ umfasst die Elemente, die er sprachlich zusammenfügt, und jedes Element für sich. „Im Wesentlichen“ ist definiert als „mindestens 95 % des beschriebenen Begriffs“, und jede Vorrichtung oder jeder Aspekt einer Vorrichtung oder eines Verfahrens, die bzw. das hier beschrieben wird, kann als „aus“ oder „bestehend“ gelesen werden.
KURZBESCHREIBUNG DER ZEICHNUNGEN
[0021] Abbildung 1 zeigt ein Schema auf hoher Ebene von Geräten, die zur Durchführung von Verkörperungen der offengelegten Technologie verwendet werden.
[0022] Abbildung 2 zeigt eine übergeordnete Tabelle der Schritte, die durchgeführt wurden, um festzustellen, ob ein nicht autorisierter Benutzer mit einem früheren nicht autorisierten Benutzer, der auf einen anderen Server in einer Verkörperung der offengelegten Technologie zugreift, übereinstimmt.
[0023] Abbildung 3 zeigt eine übergeordnete Tabelle mit Schritten, die zur Bestimmung der Frage verwendet werden, ob ein Benutzer nicht berechtigt ist, auf ein Benutzerkonto in Verkörperungen der offengelegten Technologie zuzugreifen.
[0024] Abbildung 4 zeigt ein Blockdiagramm von Geräten auf hoher Ebene, die zur Ausführung von Verkörperungen der offengelegten Technologie verwendet werden.
DETAILLIERTE BESCHREIBUNG VON VERKÖRPERUNGEN DEROFFENGELEGTEN TECHNOLOGIE
[0025] Zwei benutzerauthentifizierte Sitzungen werden zwischen zwei verschiedenen Servern oder Benutzern von zwei verschiedenen Finanzinstituten verglichen. Auf der Grundlage von Vergleichen von bereinigten Tastendruckzeiten, positions- oder bewegungsbezogenen Eingaben und anderen Eingaben wird festgestellt, dass die Sitzungen mit dem gleichen Benutzer stattfanden/laufen. Wenn dieser Benutzer als betrügerischer oder böswilliger Akteur bei einem Server oder einer Bankinstitution identifiziert wird, werden diese Daten ohne Weitergabe vertraulicher Informationen mit dem anderen Server oder der anderen Finanzinstitution geteilt, so dass der zweite Server oder die zweite Finanzinstitution trotz fehlender Identifizierung des Benutzers selbst Daten ändern kann, die an diesen Benutzer gesendet wurden, um Betrug und unbefugten Zugriff auf Daten zu verhindern, die private Daten über eine andere Person enthalten.
[0026] Die Verkörperungen der offengelegten Technologie werden angesichts der folgenden Beschreibung der Zahlen deutlicher werden.
[0027] Abbildung 1 zeigt ein Schema auf hoher Ebene von Geräten, die zur Durchführung von Verkörperungen der offengelegten Technologie verwendet werden. Hier senden die Server 110 und 120 Inhalte über ein Netzwerk, wie z.B. ein verteiltes Weitverkehrsnetz, das nicht im Besitz einer einzelnen Person oder Einheit ist, wie z.B. ein paketvermitteltes Netzwerk mit einer Reihe von Hubs, Switches und Routern, die die Endbenutzergeräte verbinden. Ein solches Netzwerk wird in Verkörperung der offengelegten Technologie als „Internet“ bezeichnet. Die Dienste werden an Netzwerkknoten 98 (physikalische Geräte, die eine elektrische oder drahtlose elektrische Verbindung zum Weitverkehrsnetz ermöglichen) angeschlossen, jeder an einem anderen solchen Knoten. Die Server 110 und 120 werden in Verkörperung der offengelegten Technologie von separaten Unternehmen an separaten Netzwerkknoten betrieben und sind gesetzlich verpflichtet, zumindest einige Daten, die von den jeweiligen Endbenutzergeräten 130 und/oder 140 und anderen Endbenutzergeräten, die zum Senden von Daten an einen der Server 110 oder 120 verwendet werden, empfangen werden, voneinander fernzuhalten.
[0028] Die Endbenutzergeräte 130 und 140 verfügen über sichere paketierte Datennetzverbindungen mit den Servern 110 und 120, wie in der Abbildung dargestellt. Es sollte verstanden werden, dass jeder Server und jedes Endbenutzergerät für mehrere solcher Geräte und Server repräsentativ sein kann. Der Server 100, in Verkörperungen der offengelegten Technologie, hat eine Datennetzverbindung über ein paketvermitteltes Datennetz mit den Servern 110 und 120. In Verkörperungen der offengelegten Technologie werden keine Daten von den Endbenutzergeräten 130 oder 140 an den Server 100 oder vom Server 100 an eines der Endbenutzergeräte 130 oder 140 weitergeleitet. Jedes dieser Geräte verfügt über die mit Bezug auf Abbildung 4 gezeigten Elemente und verbindet sich über ein paketvermitteltes Datennetzwerk mit mindestens einem anderen der Geräte.
[0029] Ein böswilliger, betrügerischer oder nicht autorisierter Benutzer ist jemand, der versucht, eine betrügerische Handlung zu begehen, Daten oder Informationen zu stehlen, die nicht für ihn bestimmt sind, oder der als verdächtiges Verhalten angezeigt wurde, das auf ein solches Verhalten hindeuten könnte. In Verkörperungen der offengelegten Technologie können Informationen über einen solchen Benutzer aufgezeichnet und zwischen den Servern 110 und 120 über Server 100 ausgetauscht werden, wobei eine Schwierigkeit der Gesetze überwunden wird, die den Austausch persönlicher Informationen über einen anderen verhindern, indem sie diese Informationen entfernen oder anonymisieren. Wenn der Server 110 Inhalte an das Endbenutzergerät 130 liefert, kann es sich dabei um sichere Inhalte handeln, die nur für einen authentifizierten Benutzer des Endbenutzergerätes 130 bestimmt sind.
[0030] Das Endbenutzergerät 130 führt Anweisungen aus, die, wenn sie ausgeführt werden, das Verhalten des authentifizierten Benutzers des Endbenutzergerätes 130 erfassen und charakterisieren. Solche Anweisungen sind in den von Server 110 gelieferten Inhalten enthalten und stellen Methoden dar, die eine kontinuierliche Authentifizierung des Benutzers während der Sitzung durchführen. Die Verhaltensmerkmale sind definiert als statistische Maße für mindestens einen oder mehrere Tastendrucke, Tastenlaufzeiten, Mausbewegungen, Gerätebeschreibung, Benutzeragent (d.h. Betriebssystem, Browsertyp, -modell und -version), Bildschirmauffrischungsrate, Drucksensorwerte und mehr.
[0031] Abbildung 2 zeigt eine übergeordnete Tabelle der Schritte, die durchgeführt wurden, um festzustellen, ob ein nicht autorisierter Benutzer mit einem früheren nicht autorisierten Benutzer, der auf einen anderen Server in einer Verkörperung der offengelegten Technologie zugreift, übereinstimmt. Jeder der Server 110 und 120 führt die Schritte im linken Kasten unabhängig voneinander in Verkörperungen der offengelegten Technologie aus. Mindestens ein Server führt alle Schritte aus, während in einigen Ausführungsformen nur ein Server 110 oder 120 den Schritt 299 ausführt. Der Drittserver 100 führt die Schritte im großen rechten Kasten von Abbildung 2 aus und interagiert dabei mit den Servern 110 und 120. Es sollte weiterhin verstanden werden, dass die Server 110 und 120 die Schritte für viele Benutzer von Geräten wie den Geräten 130 und 140 gleichzeitig und/oder zu verschiedenen Zeiten ausführen können, wobei sie Daten verwenden, die sie zuvor von einer früheren Benutzersitzung mit einem oder beiden Servern 110 und 120 erhalten haben. Dies wird angesichts der Beschreibung der in Abbildung 2 dargestellten Schritte deutlicher.
[0032] Wenn Sie zunächst das linke Feld, die von einem oder beiden Servern 110 und 120 ausgeführten Schritte besprechen, wird in Schritt 210 eine authentifizierte Sitzung mit einem Endbenutzer eröffnet. Dies kann auf dem Empfang eines Benutzernamens und eines Passworts oder eines anderen Authentifizierungsmechanismus von einem Endbenutzergerät einschließlich biometrischer Daten wie Fingerabdruck oder Iris-Scan basieren. Nach der Authentifizierung werden die Daten zwischen dem Server 110 oder 120 und dem Endbenutzergerät in den Schritten 220 (Aufzeichnung des eingegebenen Textes und des Zeitpunkts der Eingabe) und 225 (Aufzeichnung der positionsbezogenen Eingaben) aufgezeichnet. Die positionsbezogenen Eingaben werden in Schritt 320 von Abbildung 3 ausführlicher besprochen. Um nun zur Diskussion von Abbildung 2 zurückzukehren, können die Schritte 220 und 225 mittels eines Skripts ausgeführt werden, das auf dem Endbenutzergerät, wie z.B. Gerät 130 oder 140, ausgeführt wird, das mit einer Webseite vom Server 110 oder 120 geliefert wird und/oder auf Daten basiert, die von einem Endbenutzergerät an einen der Server gesendet werden. Diese Daten können jedoch sensible Daten über das Bankkonto des Endbenutzers, seinen Namen, seine IP-Adresse und andere persönliche Daten enthalten. Die Bewegung von positionsbezogenen Eingaben ist in Verkörperungen der offengelegten Technologie frei von solchen persönlich identifizierbaren Daten, und die von einem betrügerischen Akteur erhaltenen Daten sind an vielen Orten nicht durch Vertraulichkeitsregeln geschützt. Doch selbst ein betrügerischer Akteur könnte Daten zur Verfügung stellen, die repräsentativ für die persönlichen Informationen einer Person sind, selbst wenn sie auf betrügerische Weise erlangt wurden. Daher werden in Schritt 230 die aufgezeichneten Daten, die eine Person identifizieren könnten oder dies tun und/oder vertraulich sind, geändert. Text, der vom Endbenutzergerät und/oder Server 110 oder Server 120 empfangen wird, wird bereinigt, randomisiert, verschlüsselt oder anderweitig verändert (hier wird jede dieser Methoden als „anonymisiert“ bezeichnet). In einigen Ausführungsformen beinhaltet Schritt 230 die deterministische Verschlüsselung von Sitzungsinformationen, um die Rückverfolgbarkeit zu gewährleisten, ohne persönliche Informationen preiszugeben. In einer solchen Verkörperung umfassen die Sitzungsinformationen eine IP-Adresse, Geräte-Hardware-Informationen (Daten, die für ein bestimmtes physisches Gerät eindeutig sind, wie z.B. eine MAC-Adresse, eine Prozessor-ID oder eine Seriennummer) und Geräte-Software-Informationen, wie z.B. eine Betriebssystem- und Web-Browser-Version, ein Banking-Frontend, einen Benutzer-Agenten und ähnliches. Eine solche Methode zur deterministischen Verschlüsselung von Sitzungsinformationen besteht darin, einen Hash-Algorithmus oder ein Verschlüsselungsverfahren pro Teilstring des Sitzungsinformationstextes anzuwenden, ohne den Zufallssaatwert, der als die Zahl definiert ist, die zur Initialisierung eines Pseudozufallszahlengenerators im Verschlüsselungsalgorithmus verwendet wird, zwischen den Geräten zu ändern, der das gleiche Hash-Symbol pro gegebenem Eingabezeichen oder Zeichensatz erzeugt. In einer Verkörperung unterscheidet sich der Seed zwischen den Servern 110 und 120 derart, dass in dem Fall, dass sie beide auf dieselben Originalzeichen oder Teilzeichensätze stoßen und diese verschlüsseln, die sich ergebenden verschlüsselten / gehashten Versionen der Sitzungsinformationen unterschiedliche Symbole aufweisen, wenn sie in Schritt 240 von Server 110 und 120 gesendet und in Schritt 260 vom Server 100 des Drittanbieters empfangen werden. Die Muster der Vorkommnisse können gezählt und zwischen zwei oder mehreren gehashten Aufzeichnungen verglichen werden. Dies liefert einige weitere Abgleichsdaten zwischen empfangenen verschlüsselten Sitzungsinformationen. In einer anderen Verkörperung verwenden die Server 110 und 120 denselben Seed, wodurch ein direkter Vergleich zwischen verschlüsselten Versionen der Sitzungsinformationen möglich ist und Betrugsfälle mit höherer Wahrscheinlichkeit gefunden werden können. Unabhängig von der gewählten Methode der Seed-Behandlung ist der Server 100 im Allgemeinen nicht in der Lage, die Symbole in die Originalzeichen zu entschlüsseln. Auf diese Weise werden persönliche Informationen auf den Servern 110 und 120 sicher geschützt, während die Genauigkeit bei der Bestimmung von Betrugsfällen durch den Vergleich auf Server 100, in Schritt 270 und in Schritt 280 erheblich erhöht wird, um festzustellen, ob der Benutzer derselbe wie ein anderer Benutzer ist, worauf weiter unten noch näher eingegangen wird.
[0033] Während der Text anonymisiert wird, bleiben die Zeitangaben des eingegebenen Textes in der Aufzeichnung aus Schritt 220 erhalten. Die nun anonymisierten Daten, die über den Endbenutzer und/oder das Endbenutzergerät empfangen werden, werden in Schritt 240 an den Drittserver 100 gesendet, ein Gerät, das von einem anderen Netzwerkknoten im Netzwerk betrieben wird und bei dem in einigen Ausführungsformen keine Kommunikation über die authentifizierte Sitzung direkt zwischen ihm und einem Endbenutzergerät gesendet wird. Der Server des Drittanbieters erhält die anonymisierte Aufzeichnung in Schritt 260 von mehreren Servern, wie z.B. den Servern 110 und 120, die auf separaten Aufzeichnungen von separaten Benutzersitzungen basieren. Eine „Benutzersitzung“ ist der Satz von Daten, der zwischen einem Endbenutzer und einem Server während einer Zeit gesendet und empfangen wird, in der private Daten zwischen diesen Servern auf der Grundlage der Authentifizierung der Identität eines Endbenutzers, wie sie in Schritt 210 beschrieben ist, übermittelt werden dürfen.
[0034] In Schritt 250 oder Schritt 270 wird festgestellt, ob die Benutzersitzung unbefugte oder betrügerische Handlungen umfasst oder beinhaltet. Das heißt, diese Feststellung kann entweder durch einen Server 110 / 120 oder dessen Betreiber oder durch den Drittserver 100 erfolgen. In einem Beispiel, bei dem der Server 110 diese Feststellung in Schritt 250 trifft, kann dies das Ergebnis der Feststellung sein, dass ein Software-Port verwendet wird, der darauf hinweist, dass ein unbefugter Benutzer Zugang zu den Daten hat. In einem anderen Beispiel kann ein Finanzinstitut, das den Server 110 betreibt, nach der Aufzeichnung feststellen, daß die Aufzeichnung eine betrügerische Transaktion wie eine unrechtmäßige Übertragung oder eine unrechtmäßige Zahlung enthält. Die Feststellung, dass eine Überweisung oder Zahlung unrechtmässig ist, ist eine Feststellung in Verkörperungen der offengelegten Technologie, die nach vorher eingegebenen Anweisungen auf der Grundlage von Handlungen vorgenommen wird, die von einem Benutzer eines Banksystems und/oder einer Person, die eine solche Feststellung trifft, auf der Grundlage von mindestens einem der folgenden Punkte vorgenommen wird: Versuche, Gelder in ein Land zu überweisen, in das der Benutzer noch nie zuvor überwiesen hat, Verwendung von Kontonummern, die auf einer schwarzen Liste im Empfänger stehen, Versuch, eine Transaktion zu veranlassen, während Daten über ein VPN (virtuelles privates Netzwerk) geleitet werden, und/oder Versuch, eine Transaktion durchzuführen, die fehlschlägt. In Beispielen, in denen der Drittserver die Feststellung trifft, kann dies beispielsweise auf der Grundlage der Aufzeichnungen erfolgen, die mit denen anderer Aufzeichnungen übereinstimmen, die als betrügerisch angegeben wurden, z.B. wo es Übereinstimmungen gibt, wie Tippgeschwindigkeit und Druck-/Flugmerkmale, wie mit einer Touchscreen-Schnittstelle interagiert wurde, in welchem Winkel die Endbenutzergeräte gehalten wurden und so weiter. Die Bestimmung kann auch auf der Grundlage der anonymisierten Sitzungsinformationen erfolgen, wie oben beschrieben. Wenn in Schritt 250 oder 270 kein Betrug oder unbefugter Gebrauch festgestellt wird, stoppt die Methode in Bezug auf die jeweilige Sitzung (kann aber weiterhin neue Sitzungen aufzeichnen oder neue Daten über weitere Benutzersitzungen erhalten und die Schritte aus Abbildung 2 wiederholen).
[0035] Wenn festgestellt wurde, dass eine aufgezeichnete Benutzersitzung und/oder authentifizierte Sitzung betrügerisch/unautorisiert ist, dann wird festgestellt, ob eine andere Sitzung in Schritt 280 durch ihre Aufzeichnung mit einem Endbenutzer, der von demselben betrügerischen Akteur bedient wurde, stattgefunden hat. Dabei kann der „betrügerische Akteur“ ein Mensch, ein Bot (Computergerät, das Anweisungen ausführt, die so aussehen sollen, als ob die Anweisungen von einem Menschen ausgeführt würden) oder ein anderer sein. Für die Zwecke dieser Offenlegung bezieht sich „Aufzeichnung“ auf die Speicherung einer Version derselben der Daten, die von einem Endbenutzer und/oder einem Endbenutzergerät während der authentifizierten Sitzung empfangen wurden. Anders ausgedrückt, zwei verschiedene Benutzersitzungen, die zwischen zwei verschiedenen Servern aufgezeichnet werden, die nach den Gesetzen des Landes, in dem sie tätig sind, keine vertraulichen Daten miteinander austauschen können, interagieren mit einem Benutzer über das gleiche oder zwei verschiedene Endbenutzergeräte. In mindestens einem dieser Fälle wird in einer Verkörperung der offengelegten Technologie festgestellt, dass ein Benutzer, der ein Endbenutzergerät oder ein Endbenutzergerät bedient, dazu benutzt wurde, eine betrügerische Transaktion durchzuführen, oder Informationen über den Betrieb des Geräts geben Anlass zu der Sorge, dass eine betrügerische Handlung durchgeführt wird oder vertrauliche Daten kompromittiert wurden. Jeder dieser Fälle wird in der Nomenklatur aus Gründen der Bequemlichkeit einfach als „betrügerisch“ oder „nicht autorisiert“ bezeichnet.
[0036] Basierend auf einer solchen Feststellung wird Schritt 290 in Bezug auf den zweiten Benutzer, die zweite Benutzersitzung oder das zweite Endgerät des Benutzers durchgeführt, das mit dem des betrügerischen Benutzers oder des Endgerätes übereinstimmt. Als solcher wird ein Server 110 oder 120 über die Möglichkeit instruiert, dass ein Endbenutzer davon ein betrügerischer Akteur oder nicht autorisiert ist, und in Schritt 290 und in Schritt 299 modifiziert ein Server den an den Endbenutzer gesendeten Inhalt, um den Zugang zu den Daten einzuschränken oder den Inhalt anderweitig zu modifizieren, um weiteren Betrug zu verhindern. In einigen Ausführungsformen unterscheidet sich ein Server, auf dem der Betrug entdeckt wird, von einem Server, der den Inhalt modifiziert, und jeder dieser Server kann von einem separaten Finanzinstitut betrieben werden. Der Schritt 299 kann ausgeführt werden, während sich der Endbenutzer, der des Betrugs verdächtigt wird, in einer authentifizierten Sitzung mit einem entsprechenden Server befindet, oder wenn eine spätere authentifizierte Sitzung zwischen dem Benutzer unter Verwendung der Authentifizierungsinformationen (z.B. Benutzername und Passwort) eröffnet wird, unabhängig davon, ob sie mit demselben Server (einschließlich eines von derselben Einrichtung betriebenen) oder mit einem anderen Server (z.B. einem, der von einem noch dritten Finanzinstitut betrieben wird) eröffnet wird.
[0037] Abbildung 3 zeigt eine übergeordnete Tabelle mit Schritten, die zur Bestimmung der unberechtigten Zugriffsberechtigung eines Benutzers auf ein Benutzerkonto in Verkörperungen der offengelegten Technologie verwendet werden. Diese Abbildung zeigt im Detail die Schritte 250 und 270 von Abbildung 2. Eine betrügerische oder nicht autorisierte Transaktion kann auf der Grundlage einer in Schritt 310 abgelehnten Transaktion bestimmt werden. Das heißt, eine Transaktion, die in irgendeiner Weise darauf abzielt, Gelder von einem Konto auf ein anderes Konto oder von einer Entität auf eine andere Entität zu verschieben, die aus welchem Grund auch immer fehlschlägt, kann auf eine betrügerische Aktivität hindeuten und als solche markiert werden, was zu einem „Ja“ oder einer positiven Entscheidung für Schritt 250 und/oder 270 führt. Darüber hinaus kann ein Software-Port, der auf einem Endbenutzergerät verwendet wird, das voraussichtlich verfügbar ist oder von einem betrügerischen Akteur verwendet wird, eine solche Feststellung in Schritt 330 auslösen. Der übergeordnete Fall beschreibt dies näher, der durch Verweis aufgrund des Prioritätsanspruchs einbezogen wird. Die Tastendruck-Zeitpunkte, die mit denen eines bekannten betrügerischen Benutzers / Schauspielers oder Bot in Schritt 340 übereinstimmen, können ebenfalls Ursache für die Feststellung sein, dass eine aufgezeichnete Sitzung von einem betrügerischen Benutzer stammt. In einer solchen Verkörperung kann dann eine Übereinstimmung mit einer anderen aufgezeichneten Sitzung durch einen der anderen in Abbildung 3 gezeigten Vergleichsmechanismen hergestellt werden. Dieser Drei-Wege-Vergleich (transitive Eigenschaft) zwischen verschiedenen Sitzungen und Aktionen kann durch die Kombination eines beliebigen der in Abbildung 3 gezeigten Schritte durchgeführt werden, wobei jeder der Schritte unabhängig von den anderen durchgeführt werden kann.
[0038] Eine Übereinstimmung zwischen Symbolen von verschlüsselter / gehasster IP (Internetprotokolladresse basierend auf IPv4 oder IPv6) oder Geräte- / Softwarebeschreibung in Schritt 350 ist ein weiteres solches Merkmal, das verwendet werden kann, um Benutzersitzungen abzugleichen und betrügerische Handlungen zu finden. Darüber hinaus kann der Vergleich von positionsbezogenen Eingaben in Schritt 320 eine Grundlage dafür sein. Solche Eingaben können von einem Beschleunigungsmesser 312, einer Maus 318, einem Berührungssensor 319, einem Orientierungssensor 314 oder einem Gyroskop 316 stammen, die jeweils Daten darüber liefern, wie ein Endbenutzer mit einem Endbenutzergerät interagiert, einschließlich auf der Grundlage der Orientierung, in der das Gerät gehalten wird, wie hart und schnell man das Gerät durchzieht, bewegt, schüttelt und dergleichen. Sensor-Fehlausrichtung, Gleitkomma-Berechnungsfehler in CPU oder GPU, Anzeigeeigenschaften, Tonaufnahme- und Wiedergabetreue und andere ähnliche Diskrepanzen, die zur Identifizierung eines bestimmten Geräts beitragen, können ebenfalls in Verkörperungen der offengelegten Technologie verwendet werden.
[0039] In Schritt 390 von Abbildung 3 schließlich wird der Inhalt auf einen zweiten Benutzer beschränkt, wobei der Abgleich von Daten aus zwei verschiedenen Benutzersitzungen auf zwei verschiedenen Servern durchgeführt wird.
[0040] Abbildung 4 zeigt ein Blockdiagramm von Geräten auf hoher Ebene, die zur Ausführung von Verkörperungen der offengelegten Technologie verwendet werden. Gerät 500 umfasst einen Prozessor 550, der den gesamten Betrieb des Computers steuert, indem er die Programmbefehle des Geräts ausführt, die diesen Betrieb definieren. Die Programmbefehle des Geräts können in einem Speichergerät 520 (z.B. Magnetplatte, Datenbank) gespeichert und in den Speicher 530 geladen werden, wenn die Ausführung der Programmbefehle der Konsole gewünscht wird. Der Betrieb des Geräts wird also durch die im Speicher 530 und/oder im Speicher 520 gespeicherten Programmbefehle des Geräts definiert, und die Konsole wird durch den Prozessor 550 gesteuert, der die Programmbefehle der Konsole ausführt. Ein Gerät 500 enthält auch eine oder mehrere Eingangs-Netzwerkschnittstellen zur Kommunikation mit anderen Geräten über ein Netzwerk (z.B. das Internet). Das Gerät 500 enthält außerdem eine elektrische Eingangsschnittstelle. Ein Gerät 500 enthält auch eine oder mehrere Ausgangs-Netzwerkschnittstellen 510 für die Kommunikation mit anderen Geräten. Das Gerät 500 enthält auch eine Ein-/Ausgabe 540, die Geräte repräsentiert, die eine Benutzerinteraktion mit einem Computer ermöglichen (z.B. Bildschirm, Tastatur, Maus, Lautsprecher, Tasten usw.). Ein Fachmann wird erkennen, dass eine Implementierung eines tatsächlichen Geräts auch andere Komponenten enthält, und dass Abbildung 4 eine hochrangige Darstellung einiger Komponenten eines solchen Geräts zu Illustrationszwecken darstellt. Ein Fachmann sollte auch verstehen, dass die in den Abbildungen 1 bis 3 dargestellte Methode und die Geräte auf einem Gerät wie in Abbildung 4 gezeigt implementiert werden können.
[0041] Während die offengelegte Technologie mit spezifischem Bezug auf die oben genannten Verkörperungen gelehrt wurde, wird eine Person mit gewöhnlichen Fähigkeiten in der Kunst erkennen, dass Änderungen in Form und Detail vorgenommen werden können, ohne vom Geist und dem Umfang der offengelegten Technologie abzuweichen. Die beschriebenen Verkörperungen sind in jeder Hinsicht nur als veranschaulichend und nicht einschränkend zu betrachten. Alle Änderungen, die in die Bedeutung und den Äquivalenzbereich der Ansprüche fallen, sind in ihren Geltungsbereich einzubeziehen. Kombinationen der oben beschriebenen Methoden, Systeme und Vorrichtungen werden ebenfalls in Betracht gezogen und fallen in den Geltungsbereich der offengelegten Technologie.

Claims (21)

1. Ein Verfahren zum Verweigern des Zugriffs auf sensible Daten, das die folgenden Schritte umfasst: von jedem von mindestens einem ersten Endbenutzergerät und einem zweiten Endbenutzergerät empfangen: eine Version von Daten auf der Grundlage einer aufgezeichneten Sitzung, die aufgezeichnete Interaktionen enthält, wobei die aufgezeichneten Interaktionen mindestens enthalten: Tastendrücke und Zeitpunkte jedes Tastendrucks der genannten Tastendrücke; und Bewegungen, einschließlich mindestens einer der folgenden: Drücken von Knöpfen, Bewegung und zeitliche Abstimmung der genannten Knöpfe und deren Bewegung; wobei diese Version der empfangenen Daten durch Anonymisierung der Tastendrücke bereinigt wurde; die Feststellung, dass ein Benutzer, der diese Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist; Bestimmen, basierend auf Ähnlichkeiten der von dem ersten Endbenutzergerät und dem zweiten Endbenutzergerät empfangenen Daten, dass der Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, derselbe Benutzer ist, der die Interaktionen auf dem zweiten Endbenutzergerät erzeugt.
2. Verfahren nach Anspruch 1, wobei auf der Grundlage der Feststellung, dass der erste Benutzer und der zweite Benutzer ein und derselbe Benutzer sind, ein anderer modifiziert oder angewiesen wird, die weitere Lieferung von Daten an das zweite Endbenutzergerät zu modifizieren.
3. Die Methode nach Anspruch 2, wobei: sagte, dass der Empfang von diesem ersten Endbenutzergerät über einen ersten Webserver erfolgte, der von einem ersten Bankinstitut betrieben wurde; dass der Empfang von dem zweiten Endbenutzergerät über einen zweiten Webserver erfolgte, der von einem zweiten Bankinstitut betrieben wird; und sagte, dass die weitere Lieferung von Daten in Echtzeit modifiziert wird, während der zweite Endbenutzer versucht, auf sichere Daten von dem zweiten Webserver zuzugreifen.
4. Verfahren nach Anspruch 1, bei dem der Schritt des Empfangens einer Version von Daten auf der Grundlage der aufgezeichneten Sitzung des ersten Endbenutzergerätes erst nach und als Ergebnis des Schrittes der Feststellung ausgeführt wird, dass der Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist.
5. Verfahren nach Anspruch 4, bei dem die aufgezeichnete Sitzung des ersten Endbenutzers und eine Vielzahl zusätzlicher aufgezeichneter Sitzungen, die anonymisierte Tastendrücke und Zeitabläufe von Bewegungen einer jeweiligen Bewegung oder eines Berührungsgerätes umfassen, auf einem Server gespeichert und als Teil der Nachbearbeitung derselben verglichen werden.
6. Das Verfahren nach Anspruch 4, wobei die Feststellung, dass ein Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist, auf der Feststellung beruht, dass die aufgezeichnete Sitzung des ersten Endbenutzergerätes mindestens eine der Tastenanschläge und Bewegungen einer Bewegung oder eines Berührungsgerätes umfasst, die zur Durchführung einer betrügerischen Finanztransaktion verwendet werden.
7. Verfahren nach Anspruch 1, wobei die Feststellung, dass ein Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist, auf die Feststellung zurückzuführen ist, dass ein bestimmter Software-Port auf dem ersten Endbenutzergerät während der aufgezeichneten Sitzung des ersten Endbenutzergerätes verwendet wird.
8. Das Verfahren nach Anspruch 4, bei dem die Feststellung, dass der Benutzer, der die Interaktionen auf dem ersten Endbenutzergerät erzeugt, nicht autorisiert ist, auf der Feststellung beruht, dass eine unrechtmäßige Übertragung durchgeführt wurde.
9. Verfahren nach Anspruch 1, wobei ein Neigungswinkel des ersten Endbenutzergerätes in dessen aufgezeichneter Sitzung enthalten ist und in dem Schritt der Bestimmung, dass das zweite Benutzergerät von demselben Benutzer wie das erste Benutzergerät bedient wird, verglichen wird.
10. Verfahren nach Anspruch 1, bei dem deterministisch verschlüsselte Sitzungsinformationen von dem ersten Endbenutzergerät in dessen aufgezeichnete Sitzung aufgenommen und in dem Schritt der Bestimmung, dass das zweite Benutzergerät von demselben Benutzer wie das erste Benutzergerät bedient wird, verglichen werden.
11. Ein Verfahren zur Feststellung, dass ein Benutzer eines Webservers nicht berechtigt ist, auf ein Benutzerkonto zuzugreifen, obwohl ihm ein Benutzername und ein Passwort zugeordnet sind, wobei das Verfahren von: Aufnahmezeitpunkt und Eingabe von zumindest text- und positionsbezogenen Eingaben; Anonymisierung des besagten Textes; Senden der durch die Anonymisierung modifizierten Aufzeichnung an einen Drittserver; einen Hinweis darauf erhalten, dass diese Aufzeichnung mit Daten übereinstimmt, die mit einem Benutzer in Verbindung stehen, von dem angegeben wurde, dass er einen Betrug begangen hat oder wahrscheinlich begangen hat; die weitere Lieferung von Daten an den genannten Benutzer als Ergebnis der genannten Indikation zu modifizieren.
12. Verfahren nach Anspruch 11, wobei die positionsbezogenen Eingaben mindestens zwei von einer Maus, einem Berührungssensor, einem Orientierungssensor, einem Gyroskop und einem Beschleunigungsmesser umfassen.
13. Die Methode des Anspruchs 11, wobei der Webserver von einem ersten Finanzinstitut betrieben wird und der Betrug oder der wahrscheinliche Betrug bei einem zweiten Bankinstitut auf der Grundlage der Interaktion mit einem von dem zweiten Bankinstitut betriebenen Webserver begangen wurde.
14. Das Verfahren des Anspruchs 13, bei dem eine Feststellung, dass die Aufzeichnung mit den Daten übereinstimmt, die mit dem Benutzer verbunden sind, von dem angegeben wurde, dass er einen Betrug begangen hat oder wahrscheinlich einen Betrug begangen hat, von einem Drittserver vorgenommen wird, der die Aufzeichnung von dem Webserver und von dem zweiten Bankinstitut erhalten hat.
15. Das Verfahren des Anspruchs 11, wobei der Schritt des Sendens erst dann durchgeführt wird, wenn ein Betreiber eines Webservers den Verdacht hat, dass der Benutzer ein betrügerischer Akteur ist.
16. Das Verfahren nach Anspruch 15, wobei der Verdacht auf dem Senden von ausführbarem Code von dem Webserver an ein von dem Benutzer betriebenes Gerät zum Scannen von Software-Ports und dem Empfangen einer Antwort basiert, die anzeigt, dass ein bestimmter Software-Port bereits benutzt wird.
17. Die Methode von Anspruch 15, bei der der Verdacht darauf beruht, dass das Benutzerkonto zuvor zur Durchführung einer finanziellen Transaktion verwendet wurde, die nicht abgeschlossen werden konnte.
18. Verfahren nach Anspruch 11, wobei der Schritt des Sendens gleichzeitig mit einem Teil des Schrittes der Aufzeichnung durchgeführt wird.
19. Das Verfahren nach Anspruch 18, wobei der Schritt des Modifizierens weiterhin zumindest teilweise gleichzeitig mit dem Schritt des Aufzeichnens und dem Schritt des Sendens durchgeführt wird.
20. Verfahren nach Anspruch 11, bei dem der Schritt des Sendens nach Abschluss des Schrittes des Aufzeichnens und der Schritt des Änderns nach einer zweiten Bereitstellung des Benutzernamens und des Passworts an den Webserver durchgeführt wird.
21. Die Methode des Anspruchs 15, bei der der Verdacht auf deterministisch anonymisierte Sitzungsinformationen des Benutzers des Webservers basiert, die mit denen des Benutzers übereinstimmen, von dem angegeben wurde, dass er einen Betrug begangen hat oder wahrscheinlich begangen hat.
CH00046/20A 2019-01-14 2020-01-14 Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten. CH715740A2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US16/246,974 US20190147451A1 (en) 2018-11-27 2019-01-14 Collaborate Fraud Prevention

Publications (1)

Publication Number Publication Date
CH715740A2 true CH715740A2 (de) 2020-07-15

Family

ID=71527497

Family Applications (1)

Application Number Title Priority Date Filing Date
CH00046/20A CH715740A2 (de) 2019-01-14 2020-01-14 Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten.

Country Status (1)

Country Link
CH (1) CH715740A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11779838B1 (en) * 2021-08-12 2023-10-10 Liminex, Inc. Apparatus and method for identifying digital gaming activity based upon anonymized keystroke data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11779838B1 (en) * 2021-08-12 2023-10-10 Liminex, Inc. Apparatus and method for identifying digital gaming activity based upon anonymized keystroke data

Similar Documents

Publication Publication Date Title
DE60130037T2 (de) Verfahren und system zur web-basierten cross-domain berechtigung mit einmaliger anmeldung
Kienzle et al. Security patterns repository version 1.0
DE102009001718B4 (de) Verfahren zur Bereitstellung von kryptografischen Schlüsselpaaren
US10728279B2 (en) Detection of remote fraudulent activity in a client-server-system
DE60311757T2 (de) System und Verfahren zur Authentifizierung basierend auf zufälliger partieller Mustererkennung
DE60020293T2 (de) Erzeugung eines wiederholbaren kryptographischen Schlüssels basierend auf variablen Parametern
Dougan et al. Man in the browser attacks
DE202009019188U1 (de) Authentifizierung von sicheren Transaktionen
US20130212658A1 (en) System for automated prevention of fraud
US20190147451A1 (en) Collaborate Fraud Prevention
EP1777907A1 (de) Vorrichtungen und Verfahren zum Durchführen von kryptographischen Operationen in einem Server-Client-Rechnernetzwerksystem
Nagpal et al. A survey on the detection of SQL injection attacks and their countermeasures
US20180054429A1 (en) Systems and methods for the detection and control of account credential exploitation
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
Talukder et al. Architecting secure software systems
US20110283351A1 (en) How to stop external and most internal network "Hacking"attacks by utilizing a dual appliance/server arrangement that allows for the use of peering servers and/or client software running on said peering servers or on proxy servers, web servers, or other legacy equipment
Parthiban et al. Web Folder Phishing Discovery and Prevention with Customer Image Verification
Jain et al. Session hijacking: threat analysis and countermeasures
Lepofsky The manager's guide to web application security: a concise guide to the weaker side of the web
CH715740A2 (de) Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten.
Kessler Information security: New threats or familiar problems?
Rauti Towards cyber attribution by deception
Gómez Cárdenas et al. Security challenges of distributed e-learning systems
Vo et al. Protecting web 2.0 services from botnet exploitations
Srinivasan et al. Preventing cloud attacks using bio-metric authentication in cloud computing

Legal Events

Date Code Title Description
PK Correction

Free format text: BERICHTIGUNG INHABER

PCAR Change of the address of the representative

Free format text: NEW ADDRESS: C/O DOERIG, UNTERSTUEDTLISTRASSE 26A, 9470 BUCHS SG (CH)

AZW Rejection (application)