Online fraudeurs worden met de dag slimmer. Zodra banken en financiële instellingen ze uitroeien, vinden ze nieuwe manieren om het systeem te slim af te zijn.
Een voorbeeld is een zaak die een jaar geleden gebeurde in Engeland toen een vrouw werd gebeld door iemand die zei dat ze van haar mobiele telefoonprovider waren en haar vertelde dat ze te laat was met haar betaling. De vrouw gebruikte haar bankpas om de 60 Britse ponden te betalen die haar was verteld dat ze verschuldigd was, zo begint het artikel in de Times of Israel.
Vijf minuten later kreeg ze een telefoontje van het fraudeteam van haar bank met de mededeling dat ze was opgelicht. Omdat haar bankpas gekoppeld was aan haar bankrekeningnummer, zeiden ze, was het raadzaam om haar geld naar een nieuwe bankrekening te verplaatsen.
Ze vroegen haar om online in te loggen bij de bank en al haar geld te verplaatsen naar een nieuw bankrekeningnummer dat ze haar gaf, in een aantal kleine batches van maximaal 9.000 Britse ponden elk. Nadat elke som was vrijgegeven, vertelden ze haar wanneer ze de volgende batch moest overboeken. En dat deed ze ook.
Helaas was het een dubbele oplichterij. De eerste beller werkte hand in hand met de tweede beller. De vrouw geloofde echter echt dat ze door de eerste beller was bedrogen en dat haar geld in gevaar was. Dus deed ze wat het (nep) fraudeteam haar had opgedragen, haar geld in relatief kleine bedragen overmaken op verzoek van de fraudeurs, om de verdenkingen van het echte fraudeteam van de bank niet aan de orde te stellen.
“De gebruiker was in feite opgelicht en bedrogen om het geld te verplaatsen”, zei Uri Rivner, de mede-oprichter en chief cyber officer van de Israëlische startup BioCatch. Hij werd door de betreffende Britse bank ingeschakeld om hen te helpen met de zaak. “Er is geen technologie die het daadwerkelijk kan stoppen.”
BioCatch, een Israëlische pionier op het gebied van gedragsbiometrie, is een doorbraak in cybersecurity-technologie die mensen identificeert door hoe ze doen en wat ze doen in plaats van door wie ze zijn. Dat wordt traditioneel gedaan door gezichtsherkenning of vingerafdrukken. Door wat ze weten, zoals een geheime vraag, een wachtwoord of wat ze gebruiken voor identificatie, zoals een eenmalige code verzonden per sms.
Iedereen heeft een onderscheidende manier om een muis te bewegen, op een telefoon te tikken of op een toetsenbord te typen, en gedragsbiometrie kan deze patronen meten en analyseren. Wanneer mensen zichzelf identificeren bij hun bank of een online winkel door informatie over zichzelf in te voegen, zoals hun thuisadres of geboortedatum, gebruiken ze langetermijngeheugen in plaats van korte termijn. Dit is te zien aan de manier waarop ze omgaan met hun computer of smartphone, en gedrag dat afwijkt van dit vertrouwde patroon kan als ongewoon worden gemarkeerd en een waarschuwing genereren.
BioCatch heeft software ontwikkeld die 500 bio-gedrags-, cognitieve en fysiologische parameters controleert om unieke gebruikersprofielen en een gepersonaliseerde aanwezigheid op het web te creëren voor elke gebruiker van bank- en e-commerce-sites.
Na door de Britse bank te zijn ingeschakeld ging BioCatch aan het werk. Wat we “vrijwel onmiddellijk” vonden, “zegt Rivner, was dat in het geval van de bedrogen Britse vrouw, na de eerste betaling van geld op het nieuwe bankrekeningnummer,” dat ze willekeurig en nerveus “haar computermuis over het scherm had bewogen. “Ze was nerveus, ze kreeg te horen dat ze moest wachten, ze moest wachten op bevestiging,” zei hij.
De vrouw verliet de bankwebsite niet na de transactie, zoals mensen normaal doen. Ze hing online rond, wachtend op verdere instructies, en terwijl ze wachtte, was ze nerveus. En deze nervositeit werd weerspiegeld in de bewegingen van haar muis.
Ze deed de transactie, zei Rivner, “maar er was iets vreemds aan de manier waarop ze nu met elkaar omging. De muisbeweging was ‘veel, veel langer dan de norm’, zei hij, wat aangeeft dat de persoon ‘niet volledig gefocust’ is op de transactie, maar bezig is met andere dingen.
“Gedragsbiometrie is de wetenschap van het begrijpen van menselijk gedrag,” zei hij. “Het gaat niet alleen om authenticatie. Het is ook je gemoedstoestand.” Hoe meer de cyberonderzoekers de gegevens bestudeerden, hoe meer ze zich realiseerden dat er een gemeenschappelijk patroon was bij mensen die op dezelfde manier waren gedupeerd.
Hoe meer het team onderzocht, des te vaker kwamen de tekenen voor. “Ik kan je niet echt alles vertellen,” zei Rivner. Maar het BioCatch-team stelde een lijst op van ‘honderden van die zeer subtiele gedragssignalen’, zoals aarzeling, stresssignalen en tekenen van dwang of van iemand laten leiden of dicteren.
“Dit zijn allemaal zeer subtiele biometrische signalen van gedrag,” zei hij. Elk van deze signalen, op zichzelf genomen, kan een zwakke voorspeller zijn van iets dat verkeerd is. Maar samen kunnen deze honderden subtiele tekens “vrij nauwkeurig zeggen dat er iets heel erg mis is met deze specifieke activiteit.”
Op basis van dit onderzoek lanceerde BioCatch onlangs zijn ‘spraakoplichtingsdetectiesoftware’, die deze parameters bestudeert op basis van muis- en toetsenbord bewegingen of de manier waarop de persoon op zijn telefoon schuift en veegt. Sommige banken in Engeland gebruiken het nieuwe product al, zei hij. “Het helpt hen nu.”
Het bedrijf onderzoekt nu hoe deze gedragsindicatoren niet alleen kunnen worden gebruikt om financiële criminaliteit op te sporen, maar ook voor andere ‘interessante aanwijzingen’, zei hij. “We hebben veel interessant onderzoek dat we met sommige bedrijven doen, naar extra mogelijkheden die verder gaan dan het detecteren van fraude, en dat is min of meer alles wat ik op dit punt kan zeggen.”