Michal Tresner o behaviorální biometrii v O2 CyberCast #4: Když rychlost dvojkliku odhalí podvodníka

„Člověka poznáme i podle toho, pod jakým úhlem najíždí na ikony, nebo jak dlouho podrží tlačítko Shift,“ popisuje v O2 CyberCastu Michal Tresner ze společnosti Threatmark taje jejich algoritmů. Na základě takzvaného behaviorální profilování dokážou z toho, jak klikáte, rozpoznat i to, jestli pokyn k platbě zadáváte z vlastní vůle, nebo vám někdo našeptává po telefonu. Možná to zní trochu jako sci-fi, nicméně tahle sada behaviorálních technologií chrání finance, ale i cenná data už zhruba 40 milionů lidí.

O2 CyberCast – podcast pro všechny, koho zajímá kyberprostor a jeho bezpečnost. Pořadem provází ředitel bezpečnosti O2 Radek Šichtanc. Tentokrát si povídal s Michalem Tresnerem ze společnosti Threatmark o unikátních algoritmech, které jeho firma vyvíjí, a které chrání finance miliónů lidí po celém světě. Níže nabízíme přepis rozhovoru, celý rozhovor můžete sledovat i na podcastových platformách: Spotify, Apple Podcasts, Google Podcasts a YouTube.

Startup roku 2018 podle měsíčníku Forbes, pátá nejrychleji rostoucí technologická firma ve střední a východní Evropě podle Deloitte, Startup roku dle CzechInvest, podnikatel roku společností EY 2019… a kdo ví, možná někdy v budoucnu i další český jednorožec. „Říkám si občas, že to musí být nějaká statistická chyba,“ říká s nadsázkou Michal Tresner. Pak už ale vážně dodává: 

„S covidem, ale i po něm se na internet dostala řada lidí, kteří tu dřív nebyli. A s tím rostl i počet podvodů a útoků. Často na uživatele, kteří jsou opravdu zranitelní. Zároveň se tím ale akceleroval vývoj a používání technologií, které se tomu snaží bránit.“ 

A ta z dílny Threatmark je jednou z nich. „Naše řešení mapuje chování uživatelů, kteří pracují s nějakou aplikací, třeba s internetovým bankovnictvím. Rozpoznáme, jestli se opravdu přihlásil správný člověk, nebo někdo jiný, sledujeme záměry a dokážeme rozklíčovat, jestli je to legitimní, nebo podvodná aktivita.“ 

V souvislosti s tím, co děláte, se objevují pojmy jako behaviorální profilování nebo biometrie. Co si pod tím představit? 

Díky behaviorální biometrii dokážeme od sebe rozeznat různé fyzické identity. Třeba podle toho, jak dotyčný, v tomto případě uživatel nějaké on-line aplikace, píše na klávesnici, ťuká do displeje, jakou má dynamiku úhozů nebo jak hýbe myší, jsme schopní říct, jestli je to on, nebo ne. Nejde ani o to, co zadává, ale jak to zadává. V téhle oblasti jsme absolutní pionýři, a to celosvětově. 

A nad tím pak stojí behaviorální profilování, komplexní sledování chování toho daného člověka. Jestli se chová normálně, nebo je tam nějaká anomálie. Způsobená třeba tím, že ho po telefonu řídí útočník, který ho k něčemu ponouká. 

Jak vůbec tohle všechno dokážete rozklíčovat? 

Všichni, aniž chceme, dáváme jakémukoli systému obrovské množství informací. Každý z nás má typické překlepy, různým způsobem píšeme velká písmena, a to i na klávesnici, liší se to třeba tím, jak dlouho podržíte Shift. Každý má jinou rychlost dvojkliku, jinak dlouho mu trvá, než na něco klikne… Tohle všechno vás identifikuje stejně dobře jako třeba otisk prstu. 

A my to dokážeme měřit na milisekundové úrovni, v reálném čase analyzovat sofistikovaným strojovým učením a vyhodnotit, jestli jde o chování typické pro konkrétní identitu. Když přijde útočník, který někde získal přihlašovací heslo, tak to poznáme. Protože se chová úplně jinak. 

Předpokládám, že je velký rozdíl mezi desktopem a mobilem… 

Ano, ale my dokážeme pokrýt jakoukoli webovou aplikaci, bez ohledu na to, jestli je na desktopu, nebo mobilu. U desktopu pracujeme s tím, co jsem už zmiňoval: Víme, jak dlouho držíte tu kterou klávesu, ale podobné je to i u myši. Měříme křivky pohybu myší, interakci s elementy i to, pod jakým úhlem najíždíte na tlačítka. 

A u mobilů? 

Ty jsou ještě zajímavější než desktop. Na mobilu fungujeme jen v kontextu té konkrétní chráněné aplikace, ale máme zároveň k dispozici velké množství senzorů. Gyroskop, akcelerometr, kompas, proximity senzor… Takže třeba víme, že židle, na které uživatel sedí, když obvykle dělá tuhle aktivitu, je otočená na severozápad. A anomálií je, když takto orientovaný není. Dokážeme rozpoznat i to, když se někomu, třeba vlivem nějaké nemoci, třesou ruce. I to ho identifikuje. 

Kolik takových parametrů vůbec dokážete nasbírat, abyste mohli s vysokou mírou jistoty říct, že jde o legitimního uživatele? 

Těch parametrů jsou tisíce. Primárně jde ale o to, kolik potřebujeme interakcí s aplikací. A my nepotřebujeme dlouho trénovat. Stačí nám ho „vidět“ jednou, a když se podruhé přihlásí do aplikace, dokážeme rozeznat, že je to on. 

A co parametry, se kterými se nedá dopředu příliš počítat? Přihlašuju se do bankovnictví a jsem ve stresu, protože pospíchám a ta složenka měla být zaplacená už před měsícem… Asi se budu chovat trochu jinak. 

Ano, to se stává. Ale systém je robustní, takže pracuje i s tím, že se během dne chováme trochu jinak. Tohle odfiltruje a pořád vás dokáže identifikovat. Nicméně když si zlomíte ruku a díky tomu píšete jinak, to už samozřejmě neví. 

V takovém případě pak vysíláme signál, který říká: „Tenhle uživatel se chová jinak než v minulosti.“ Zároveň ale třeba vidíme, že v dalších krocích, při zadání platby, autorizaci, se chová standardně. Když vám vyskočí anomálie jen v jedné z činností, tak to systém registruje, ale potlačí. 

Jak moc je vlastně složité takový algoritmus vyvinout? 

Je to hodně těžké. Na začátku jsme byli naivní a věřili jsme, že dokážeme vyvíjet bez velkého množství dat, bez interakcí od milionů uživatelů. Ale modely pak nebyly tak přesné. Teď chráníme už 40 milionů uživatelů po celém světě a na jejich chování trénujeme naše moduly. A jen v engeneeringu máme asi 50 lidí, včetně těch s PhD. z neurověd. 

Většinu příkladů jsme si doposud odehráli na bankovnictví, jsou právě banky a finanční instituce vašimi hlavními zákazníky? 

Nejvíc spolupracujeme právě s bankami, ale naše technologie dává smysl všude tam, kde se lidé musí přihlašovat, aby získali přístup k citlivým údajům nebo monetárním prostředkům, ať už jsou to peníze, bonusy, prémiové body, nebo tokeny. 

Máme několik pilotních projektů. Od online gamingu až po telco oblast. V gamingu řešíme třeba situaci, kdy provozovatel dává nově registrovaným hráčům bonus. Jsou ale tací, kteří se registrují opakovaně. A my jsme schopní v rámci registračního formuláře rozpoznat, jestli jde o legitimního uživatele, nebo podvodníka. Ten se, na rozdíl od uživatele, který je v aplikaci poprvé, chová jinak. Formulář už zná, data má připravená u sebe, nemusí ani pro občanku do peněženky. Tyto měřitelné odchylky v řádech milisekund indikují, že žádost bude nejspíš podvodná. 

A když narazíte na problém, na nestandardní chování, kde vůbec končí vaše zodpovědnost a začíná zodpovědnost klienta? Radíte klientům, co dál? 

Máme sadu obecných doporučení, jak má být systém nastavený. Ale každá firma je trochu jiná. Někdo radši riskuje vlastní velké ztráty, aby maximalizoval uživatelský zážitek zákazníků. Jinde zase pracujeme s transakcemi obrovské hodnoty a tam si nemůžete dovolit „pustit“ ani jedinou jen trochu podezřelou. 

Předpokládám, že jako klient mám pak volbu, jak na anomálie chci reagovat. 

Klienti mají různé scénáře. Běžné je například to, že při podezření dochází k něčemu, co označujeme jako „step-up“. Chceme po druhé straně nějaký další prvek autentizace. Pokud i jím projde, neznamená to, že ho přestáváme sledovat. Pokud dojde například k platbě, tak i tu chceme autorizovat. A když víme, že šlo o fraud, tak transakce sice vizuálně proběhne, ale mi posíláme notifikaci bance, aby si ji prověřila. 

Existuje v oblasti útoků nějaká sezónnost? 

Průměrná banka v Evropské unii zažívá útoky ve vlnách. Nejde o konstantní aktivitu. Během týdne může přijít o desítky milionů, ale pak je další 2 až 3 měsíce klid. A co se sezónnosti týká, občas si z toho děláme legraci – že i útočníci chtějí peníze na dovolenou a vánoční dárky. Před prázdninami a Vánoci je útoků více. Ale primárně je to dané tím, že uživatelé jsou v těchto chvílích nejvíc zranitelní. 

Odkud se pak nejčastěji útočí? 

Většinou jsou to státy bývalého Sovětského svazu. Což je dané i legislativou. Protože třeba ruská legislativa vlastně říká, že ruský občan útočící na neruské cíle je nepostihnutelný. Útočníci se pak cítí bezpečně. A vliv má také ekonomická situace, útočníci se často rekrutují v zemích s nižší životní úrovní. 

Kam se ve vašem oboru můžete ještě posouvat a rozvíjet? Je vůbec kam? 

Nápadů máme spoustu, ale musíme být efektivní. Přemýšlím třeba nad globální sítí identit a podvodného chování. K tomu ale potřebujeme velké množství dat, respektive zákazníků, kteří budou ochotní nám je poskytovat. 

A chceme dát firmám prostředky, aby lépe spolupracovaly. Protože zatímco organizovaný zločin je opravdu organizovaný, tak legitimní instituce pracují v silech a nejsou propojené. A když ano, tak velmi neefektivně. Tohle se musí změnit. To je další velká věc. 

Kdybyste měl na závěr jako někdo, kdo vidí pod ruce podvodníkům, dát radu, co dělat, nebo naopak nedělat. Jak by zněla? 

Odpověď je těžká, protože už to často není jen o tom, že někdo někam špatně klikne. Často už je těžké rozpoznat, co je podvod a co realita. Nicméně lidé by se měli vzdělávat v oblasti bezpečnosti, měli by být ostražití a zdravě skeptičtí. To je základ. 

Všechny díly O2 CyberCastu o kyberprostoru a jeho bezpečnosti najdete na YouTube, Spotify, Google Podcasts a Apple Podcasts.

Michaela Látalová
Marketingový specialista pro B2B Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.