ATM 詐欺の検知
数百台の ATM があり、それぞれに数千人のユーザーがいる大規模な銀行で働いています。政府のコンプライアンス上の理由から、また顧客を保護するために、これらの ATM に不審なアクティビティの兆候がないかを監視する必要があります。ATM 詐欺の潜在的なリスクを評価するには、不正行為や取引の外れ値や異常値を示すのに役立つ分析を実施する必要があります。また、不正行為の可能性があるユーザーについて調査すべきユーザーについて、セキュリティチームの他のメンバーに推奨する必要もあります。
必要なデータ
- 財務データ
- A CSV または KV ルックアップファイル 導入環境にすでにロードされている ATM ユーザーのリスクスコアの
このユースケースでの Splunk ソフトウェアの使い方
以下の検索に含まれる一部のコマンド、パラメーター、フィールド名は、環境に合わせて調整する必要がある場合があります。さらに、以下に示す検索を最適化するには、必要に応じてインデックスと時間範囲を指定する必要があります。
Splunkでは、1回の検索で数百GBのイベントを検索する場合、データモデル、レポートアクセラレーション、またはサマリーインデックスの使用を検討することを推奨しています。ここで紹介する検索は出発点としては良いですが、データ、検索時間範囲、その他の要因によっては、適切に拡張するためにできることがたくさんあります。
最も頻繁に使用するATMユーザーに関するレポート
ATMを平均的なユーザーよりも多く使用するユーザーは、動機が疑わしいか、資格情報が盗まれている可能性があります。こうしたユーザーが誰なのかを確認して、不審なアクティビティがないかどうかそのユーザーのアカウントを監視するアラートを設定する必要があります。
sourcetype=<ATM transaction data source> |lookup <name of lookup file for ATM user risk scores> user OUTPUT score |stats sum(score) AS Risk_Score count BY user |eventstats avg(count) AS avg stdev(count) AS stdev |where count>(avg+stdev*3.5) |sort - count
この検索についてさらにサポートが必要ですか?クリック ここ 。
ATM出金テストに関するアラート
金融機関の従業員であれば、疑わしいユーザーがATMカードを「テスト」して、最初に少額の引き出しを行って機能するかどうかを確認し、その取引が成功すると多額の引き出しを行うことがあることをご存知でしょう。正規のユーザーが1分という短い時間枠で非常に少額から非常に大量の金額を引き出すことはめったにありません。この不審なアクティビティが発生したときにアラートをトリガーするように作成する必要があります。
sourcetype=<ATM transaction data source> |search action=withdrawal |streamstats count time_window=1m min(amount) AS min max(amount) AS max BY user,location |where count>1 and min<20 and max>9000 |table _time user action min max location |dedup user, location |eval min=tostring(round(min, 2),"commas") |eval max=tostring(round(max, 2),"commas")
この検索についてさらにサポートが必要ですか?クリック ここ 。
最もリスクの高いATMユーザーを特定する
最もリスクの高いユーザーを見つけることは、そのユーザーの疑わしい取引活動が不正行為に関係しているかどうかを判断するのに役立ちます。会社が管理する各ATMについて、各ユーザーのリスクスコアを計算して、監視対象ユーザーのウォッチリストを作成する必要があります。
sourcetype=<ATM transaction data source> |lookup <name of lookup file for ATM user risk scores> user OUTPUT score |stats sum(score) AS Risk_Score count BY user |sort - Risk_Score |head 5
この検索についてさらにサポートが必要ですか?クリック ここ 。
複数のATMに同時にアクセスするユーザーを検知
複数のATMからほぼ同時に出金するユーザーは、詐欺を犯している可能性が最も高いです。特定のユーザーが異なる場所にある2台のATMで非常に短い期間に取引を行ったときにトリガーされるアラートを作成したいとします。
sourcetype=<ATM transaction data source> action=withdrawal |eval amount=tostring(round(amount, 2),"commas") |streamstats time_window=1m dc(location) AS dc list(amount) AS amount list(location) AS location earliest(epoch) AS epoch latest(epoch) AS latest_epoch BY user |where dc>1 |dedup user | eval first_time=strftime(epoch,"%m/%d/%y %H:%M:%S"), last_time=strftime(latest_epoch,"%m/%d/%y %H:%M:%S") |table user amount action location first_time last_time
検出 ATMでの出金がしきい値付近で行われた
多くの国では、取引が規定の限度額を超えた場合、政府に報告する必要があります。疑わしいユーザーが取引を制限額よりわずかに下回っていると、気付かれないことがあります。政府の基準値をわずかに下回る金額の ATM 取引を常時行っているユーザーは、自分の行動を隠そうとしている可能性があります。これらの取引についてレポートして、特定のユーザーについてさらに調査する必要があるかどうかを判断する必要があります。
sourcetype=<ATM transaction data source> |where amount>9800 AND amount<10000 |table _time user action amount |eval amount=tostring(round(amount, 2),"commas")
この検索についてさらにサポートが必要ですか?クリック ここ 。
次のステップ
これらの検索結果を基に、不正行為の可能性があるユーザーについて調査すべきユーザーについて、セキュリティチームの他のメンバーに提案してください。その他の措置には以下が含まれる可能性があります。
- これらの検索を定期的に実行してアクティビティを評価し、不審なユーザーを経時的に追跡します。
- リスクの高いユーザーが行う取引を監視するための検索とアラートを作成します。
- 複数の場所に関連する不正行為に関連する追加情報については、Splunk Enterprise Securityのランドスピード違反のユースケースをご覧ください。
- ユーザーのリスクスコアを他のデータポイントと比較して、ユーザーをウォッチリストに載せる必要があるかどうかを判断します。
コンプライアンスに必要な業界のポリシーや規制には必ず従ってください。
ザの 金融サービス業界向けSplunkの必需品 アプリを使うと、この記事で紹介した検索を自動化できます。また、アプリでは、検索条件を環境に適用する方法、仕組み、難易度、検索を成功させるためにどのようなデータが役立つかなど、より詳細な情報を得ることができます。さらに、金融サービス業界向けSplunk Essentialsアプリには、他にも金融サービス向けの不正検知ソリューションが多数用意されています。
以下にも興味があるかもしれません ATM の使用状況のモニタリング ビジネスサービスに関する洞察のため