Kurallar ve Açıklamaları

11 - Device IP Location Changed (Android iOS Web)

12 - Location Changed in Current Session (Android iOS Web)

Geolocation bilgisi ip adresi üzerinden temin edilmektedir.Uygulama SDK -Snippetten toplamış olduğu ip adresini kendi bünyesinde brandırdığı veri tabanıyla sorgular.Veri tabanından yaptığı sorguyla Ülke,Şehir bilgisini dönmektedir.Ülke bilgisi %90-%95 doğrulukla çalışmaktadır.Şehir bilgisi %60-85 arası çalışmaktadır.(Ip üzerinden konum tespiti yapan tüm uygulamalarda doğruluk değeri ortalama bu şekildedir.)IP adresine dayalı olarak cihazın coğrafi konumunda değişiklik tespit edildi.Bu olay, korunan mobil veya web uygulamasındaki mevcut kullanıcı oturumu sırasında cihazın coğrafi konumu değiştiğinde ortaya çıkar.

13 - User IP location changed (Android iOS Web)

27 - Access to malicious domain (Android iOS Web)

Malicious domain bilgisi GroupIb-Intellegince ekiplerinden,internette yer alan açık kaynak sistemlerden referans alınarak oluşturulmaktadır.Bu bilgi doğrultusunda uygulamadan gelen verilerek karşılık tetiklenmektedir.

32 - TOR Used (Android iOS Web)

Bu kural TOR ağından bir bağlantı kurulup kurulmadığına bakmaktadır. Uygulamanın silinip silinmediğine bakmaz sadece TOR ağından web sitesine yada mobil uygulamanın kullanılıp kullanılmadığını bakar.

GroupIb'nin FraudProtection ve diğer ürünlerinde işaretlenmiş olan oturumlardan birisiyle eşleşmiş ise bu kural tetiklenmektedir.

92 - Suspicious Mobile Application (Android)

Şu anda, bu kuralla tespit edilen uygulamanın doğrudan silinme kaydı mevcut değildir. Ancak, Burgan Bank Mobile için etkinleştirilen Rule 2520, şüpheli bir uygulamanın silinme kaydını tespit etmektedir (bu, mutlaka Rule 92 ile tespit edilen uygulama olmak zorunda değildir). Ayrıca, cihazdan kötü amaçlı yazılımların son silinmesini tespit eden Rule 2532 bulunmaktadır; ancak bu uyarıda uygulama detayları iletilmemektedir.

"Bir cihazın ele geçirilip geçirilmediği sorusu, “login_blocklist” listesindeki Login ID (Kimlik) detaylarının varlığına dayanmaktadır. Bu liste sistem listesi olup, tamamen her müşteri tarafından ayrı ayrı yönetilmektedir. Ele geçirilmiş Logins (Kimlikler) bu listeye manuel olarak veya otomatik şekilde eklenebilir. Bunun gerçekleşebilmesi için, Logins (Kimlikler) belirli senaryolara göre ele geçirilmiş olarak tanımlanmalıdır – örneğin belirli kuralların tetiklenmesi kombinasyonu gibi. Ele geçirilmiş Login, bir kişinin kullanıcı adı ve şifresi (veya diğer kimlik doğrulama bilgileri) hesabına yetkisiz kişiler tarafından çalındığında, sızdırıldığında veya başka bir şekilde ele geçirildiğinde tanımlanır."

210 - Android: Accessibility service (Android)

210 numaralı olay türü, genellikle uygulamayla çalışmak için erişilebilirlik hizmetlerinin kullanımının tespit edilmesi durumunda tetiklenir. Bu hizmetler genellikle görme bozukluğu, işitme zorluğu veya cihazla normal etkileşimi sınırlayan diğer engelleri olan kullanıcılar tarafından etkinleştirilir. Bu hizmetlerin bazı işlevleri arasında metinden sese (text-to-speech) dönüştürme, büyütme denetimi ve ekrandaki metni sesli okuma gibi özellikler bulunur. Yapılan analiz, söz konusu olayın kullanıcıya ait oturumların büyük çoğunluğunda tetiklendiğini göstermektedir ki bu da bu müşteri için normal bir davranışa işaret etmektedir. Ayrıca, 210 numaralı olayın tek başına bir tehdit ya da şüphe oluşturmadığını, ancak aşağıdaki gibi diğer olaylarla birlikte görülmesi durumunda risk teşkil edebileceğini belirtmemiz gerekir:

918 (Android: Uygulamanın meşru olmayan bir kaynaktan indirilmesi),
260 (Android: Bilinmeyen kaynaklardan indirme özelliğinin etkinleştirilmesi),
255 (Android: Geliştirici modunun etkinleştirilmesi).

Bu tür olaylar, dolandırıcıların cihazı ele geçirme veya kullanıcı adına işlem yapma girişimlerini gösterebilir.

210 kuralını tetiklenmesi için gereken bazı izinler;

android.permission.BIND_ACCESSIBILITY_SERVICE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_PHONE_STATE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.CAMERA

Bu izinlere ek olarak kullanıcının hareketleri de izlenmektedir. Şüpheli hareketlerde bulunursa (örnek: TCKN veya Müşteri NO: Kopyala yapıştır yapması) 210'nun tetiklenmesine neden olacaktır.

248 - 3DS Leave (Web)

3DS Leave olayı, kullanıcının 3D Secure akışı içerisindeki sayfa/oturum terk etme veya yönlendirme hareketlerini yakalamak için tasarlanmış bir event.

Çalışma mantığı:

3DS Leave, 3D Secure akışı sırasında tarayıcı penceresi veya sayfa context’i değiştiğinde tetikleniyor.
Özellikle yönlendirme (redirect) veya sayfa yeniden yükleme (refresh) gibi durumlarda üretilebiliyor.
Ancak arka plana atma (minimize), sekme değiştirme gibi durumlarda tetiklenmiyor, çünkü kullanıcı aslında “flow”u terk etmiyor, sadece tarayıcı odak dışına çıkıyor.

Aşağıda test ettiğimiz senaryoları bulabilirsiniz, 1-3DS leave sayfa yenilendiği her durumda üretilmekedir. örnek:3DS ödeme sms otp kodu başarılı şekilde girildiğinde doğrulama işleminiz başarılı şekilde gerçekleştirilmiştir sayfsına ardından preprod go güvenli ödeme sayfasına yönlendirmektedir. Sayfa içersinde 2 defa geçiş olduğu için 3DS Leave 2 kere üretilmektedir. 2-Başka bir sekmeye geçildiğinde 3DS leave tetiklenmemektedir. 3-Sayfa yenilendiği (F5) senaryoda 3DS leave tetiklenmemektedir. 4-Sms OTP kodu süre içersinde girilmediği senaryoda "Doğrulama işleminiz iptal edilmştir."Mesajı çıkmakta ve 3DS leave ve 3DS Cancel tetiklenmektedir. 5-Web tarayıcı simge durumuna küçültüldüğünde 3DS leave tetiklenmmemektedir. 6-Sekme kapatıldığında ki senaryoda herhangi bir 3DS type id'si üretilmemektedir. 7-İşlemi iptal et butonu basıldığında ki senaryoda 3DS leave ve 3DS Cancel tetiklenmektedir.

266 - Android: Application hash changed (Android)

"Hash değeri, uygulamanın kod imzası (signing certificate) veya paket dosyası (APK/IPA) üzerinden hesaplanmaktadır. Uygulamada yapılan herhangi bir güncelleme, yeniden imzalama veya paket değişikliği durumunda hash değeri farklılaşır. Bu nedenle, hash değişikliği uygulama bütünlüğünde veya sürümde bir değişiklik olduğunu gösterir."

328 - Android: overlay activity (Android)

"Bu senaryoda sistem, uygulama ekranı üzerinde başka bir katman (örneğin pop-up, sistem bildirimi, başka bir uygulama penceresi vb.) görüntülendiğinde overlay (örtüşme) etkinliği olarak algılama yapar. Algılama, aktif uygulama penceresi üzerinde farklı bir uygulamanın UI katmanı tespit edildiğinde tetiklenir. Dolayısıyla, hangi aktivitenin overlay olarak algılandığı, o anda ön planda olan uygulama penceresi ve overlay kaynağı (ör. sistem izin ekranı, üçüncü taraf uygulama, ekran kaydedici vb.) üzerinden belirlenir."

"“Login from a blocklisted country” senaryosunda, kullanıcının IP adresi üzerinden ülke bilgisi GeoIP veritabanı aracılığıyla tespit edilir. Elde edilen ülke, sistemde tanımlı blocklist ile karşılaştırılır ve eşleşme olması durumunda kural tetiklenir. “Blocklisted country” bilgisi, bu GeoIP sorgusu sonucunda elde edilen ülke verisine dayanmaktadır.Yüksek riskli ülkeler listesinde yer alan IP adreslerinden gelen etkinlikleri izler."

"Long screen sharing” senaryosu, kullanıcının cihazında ekran paylaşımı etkinliğinin belirli bir süre boyunca (örneğin tanımlı eşik süresinden daha uzun) devam etmesi durumunda tetiklenir. İlgili senaryonun tetiklenmemiş olma nedeni, ekran paylaşım süresinin eşik değerin altında kalması veya uygulamanın paylaşım durumunu doğru şekilde raporlamamış olması olabilir."

724 - Suspicion of using cloning software (Android)

“Suspicion of using cloning software” senaryosu, cihaz üzerinde uygulama klonlama araçlarının kullanımına dair belirtiler tespit edildiğinde tetiklenir.Uygulama klonlama şüphesi (paket, yüklü bir uygulamaya ait bilgiler içeriyor) (Örneğin:Burgan bank mobile uygulaması cihaz içersinde klonlandığında bu kural tetiklenmektedir.Banka uygulamasının klonlanmış versiyonunu bulduğunda tetiklenmektedir.)

725 - Cloning software has been detected on the device (Android)

Cihaz üzerinde uygulama klonlama araçlarından bir tanesi bulunduğu taktirde bu kural tetiklenmektedir.Uygulama klonlama araçları son kullanıcılar tarafından çift whatsapp,çift instagram gibi amaçlar için kullanıldığından dolayı son kullanıcı tarafında popülerdir.Dolayısıyla çok fazla tetiklenmesi normal bir durumdur.

764 - Multi-accounting using cloning software (Android)

Son bir saat içinde aynı IP üzerinde klon uygulama kullanan 3’ten fazla cihaz tespit edildi.

865 - Authorization using mule device (Android iOS Web)

Mule cihazı kullanılarak yapılan bir yetkilendirmeyi tespit eder.

Mule cihazına ait yeni bir oturum açma işleminin ortaya çıkmasını tespit eder.

Global ID ile mule cihazından oturum açma.

869 - Authorization using mule's identity (Android iOS Web)

Mule kimliği kullanılarak yetkilendirme gerçekleştirildi.

953 - Android: Application from a non-legitimate source has access to admin privileges (Android)

"Application from a non-legitimate source has access to admin privileges” senaryosu, cihazda resmî mağaza (Google Play veya App Store) dışından yüklenen bir uygulamanın cihaz yöneticisi (Device Admin) yetkilerine sahip olduğunu tespit ettiğinde tetiklenir.

Buradaki “admin privileges” ifadesi root erişimiyle doğrudan ilişkili değildir. Bu terim, uygulamaya cihaz yönetimi veya yüksek erişim izinleri verilmiş olması durumunu ifade eder. Örneğin, bu tür uygulamalar rehbere erişim, SMS okuma, ekran kilitleme, veri silme gibi izinlere sahip olabilir. API üzerinden toplanan aktif yönetici (admin) listesinde meşru olmayan bir kaynaktan yüklenmiş bir uygulama bulunduğunda tetiklenir."

990 - Fraud intelligence: IP with malicous history (Android iOS Web)

IP bilgileri son 30 güne kadar geri gider. Ancak, bu kural artık sistemimizde desteklenmemektedir. Bunun yerine, Rule ID 4500 – Fraudulent subnet’den aktivite (sistem listesi) veya Rule ID 4501 – Fraudulent subnet’den aktivite (global liste) etkinleştirilmesi önerilmektedir.

Giriş konumlarındaki uyuşmazlık, her girişin IP adresi bilgilerine dayanmaktadır; çünkü cihazda GPS izleme izni her zaman etkin olmayabilir.

999 - Active parallel user sessions (Android iOS Web)

Sistem, iki veya daha fazla cihazın aynı kullanıcı hesabına eşzamanlı olarak ya da kısa bir süre içinde (varsayılan eşik – 5 dakika) farklı konumlardan (şehirlerden) erişim sağlaması durumunda bir uyarı tetikler.

Yeni kayıtlı (en fazla 24 saat önce oluşturulmuş) bir oturum, yeni bir cihaz üzerinden gerçekleştiriliyor.

1020 – FI: Fraudulent mobile app is detected (Android)

Group-IB’nin daha önce karşılaştığı bilinen zararlı yazılımların SHA1 değerleri cihazda bulunduğu anlamına gelir ve bu durumda kural tetiklenir.

1120 - IP city changed in the session (Android iOS Web)

Bu kural IP adresine göre çalışmaktadır. GPS bazlı kurallarda olduğu gibi metre veya kilometre cinsinden mesafe ölçümü yoktur. Kural, IP İstihbarat servisimiz son şehir ile mevcut şehir arasında fark tespit ettiğinde tetiklenir (şehir, yerel İnternet Sağlayıcıları tarafından sağlanan bilgilerden kontrol edilir).

1403 - Referer is mobile application (Android iOS Web)

FP sistemi, Android üzerinde çalışan mobil uygulamadan korumalı bir kaynağa geçişi tespit etti.

1713 - High-risk application is installed (Android)

Senaryo aktif değildir.İstenildiği taktirde aktif edilebilir.Bankanın belirtmiş olduğu yüksek riskli uygulamalar eklenebilir.Kullanıcı cihazına, yüksek riskli listede yer alan bir uygulama yüklendi.

1721 - Not unique date of installation (Android)

Bir mobil uygulama fraud protection sistemi tarafından cihazın kurulum tarihinin daha önce başka bir oturumdada tespit edilmesi durumunda tetiklenir.Normalde her cihazın kurulum tarihi benzersizdir ancak kurulum tarihinin farklı cihazlarda veya oturumlarda tekrar görülmesi;sahte cihaz ortamı,klonlanmış cihaz imajı veye manipule edilmiş cihaz ayarları gibi olası durumları işaret eder. Olay, sistem yükleme tarihinin benzersiz olmadığını her tespit ettiğinde tetiklenir.

1724 - Activity from restricted country (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Bu kural,kullanıcı faliyetlerinin sistem tarafından tahdit olarak tanımlanan bir ülkeden gerçekleştirildiğinin tespit edilmesi durumunda tetiklenir.Fp cihazın gps verilerini ve konum doğrulama mekanizmalarını analiz eder.Eğer oturum tahditli bir ülkeden gerçekleşmiş ise sistem bu aktiviteyi potansiyel risk olarak işaretler.(Tahditli ülkeden kasıt bankacılık uygulamasının faaliyette olduğu ülke dışında başka bir ülkeden kullanımı söz konusu ise gerçekleşen durumdur.)Sistem tahditli bir ülkeden gelen etkinliği her tespit ettiğinde tetiklenir.Bu kurallar, sistem tahditli veya yüksek riskli bir ülkeden aktivite tespit ettiğinde tetiklenir. Bu listenin içeriği tamamen her müşteri tarafından yönetilir, ancak tarafımızdan da bakımı yapılmaktadır.

1725 - Activity from high-risk country (GPS) (Android iOS Web)

1726 - Activity outside origin country (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem kullanıcının orijinal ülkesinin dışından gelen etkinliği her tespit ettiğinde tetiklenir.

1727 - Activity from unknown geolocation (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem bilinmeyen bir coğrafi konumdan gelen etkinliği her tespit ettiğinde tetiklenir.

1728 - Country IP doesnt match GPS location (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem IP adresi ile coğrafi konum arasında ülke uyumsuzluğu her tespit ettiğinde tetiklenir.

1733 - Not unique date of installation, more than N devices (Android)

"Cihazların işletim sistemi tarafından raporlanan kurulum /tarih bilgisinin aynı değer olarak birden fazla cihaz kimliğinde( DeviceId-Devicefingerprint)ortaya çıkması halinde tetiklenir.Normal koşullarda her fiziksel cihazın kurulum tarihi bensersiz veya hetorejen olur.Aynı kurulum tarihinin n adetten fazla olması şu şüpheleri doğurur:

Otomatik ve ölçekli kötü amaçlı kurulum(bothfarm) *Cihaz imajının birden çok cihaza klonlanması *Emulator veya sanal cihaz kullanımı *Cihaz saatinin /manipülasyonunun eş zamanlı olması ile oluşturulan sahte kayıtlar Bu kontrol tek başına yeterli değildir;ancak diğer sinyaller (ip,gps tutarsızlığı,device fingerprint eşleşmesi vb)ile birleştirildiğinde yüksek riskli bir durum oluşturur."

1801 - Android: Customer origin application downloaded from a non-legitimate source (Android)

Android cihazdaki müşteri orijinli uygulamanın, Google veya Huawei Mağazası dışındaki bir kaynaktan indirildiği durumlarda tetiklenir.Bunların dışında telefon üreticilerinin kendi resmi uygulama mağazaları dışındada indirilmiş ise tetiklenmektedir.

2519 - Android: A variation of Inattv is installed. (Android)

Uygulama bilinmeyen bir kaynaktan indirilmişse, kara liste içerisinde yer alıyorsa veya regex ile sistemi atlatmaya yönelik bir desen (pattern) içeriyorsa, 2519 kuralı tetiklenecektir. Uygulamaları beyaz liste (whitelist) ve kara liste (blocklist) yöntemleriyle sınıflandırarak çalışır ve bilinmeyen kaynaklardan yüklenen uygulamaları denetler. Ayrıca, belirli isim kalıpları (regex) üzerinden de tespit yapabilir.

3228 - Android: Application from an non-legitimate source has access to read sms. (Android)

Bu kural, resmi olmayan bir kaynaktan yüklenen bir uygulamanın sms okuma veya alma yetkisine sahip olması durumunda tetiklenir.

4105 – Crocodilus malware detection by issuer (Android)

Crocodilus malware ailesini geliştiren kişi veya grupların bilinen imzaları cihazdaki bir uygulamada tespit edilirse, bu kural tetiklenir.

4410 - Android: Application from an non-legitimate source has access to NFC (Android)

Bildiğiniz gibi NFC erişimi ile uygulamalar temassız ödeme yapabilir. Uygulama şüpheli ise, bilgi sızdırmak veya yetkisiz ödeme yapmak için her türlü saldırıyı gerçekleştirebilir;

ödemelerde sahte bağlantılar kullanma,

farklı ödeme noktalarına yönlendirme,

hassas bilgileri kopyalayıp üçüncü taraf bir sunucuya/ortağa gönderme.

Doğrudan ödeme yapabilme yeteneği nedeniyle bu alarmın önemi yüksektir.

Bankanın EFMS sistemi aynı oturumda bu alarmı bir işlemle birlikte görürse, işlemi engellemesi ve kullanıcıyı ilgili uygulama hakkında bilgilendirmesi kuvvetle tavsiye edilir.

Kuralın kendisi zaten yüksek düzeyde tehdit gösteriyor; lütfen bunu not edin. Ayrıca bu kural, 4410 + 210 (Android: Erişilebilirlik servisi) veya 4410 + 328 (Android: overlay/üst üste bindirme aktivitesi) ile kombinasyon halinde de kullanılabilir.

4118 – Auto-Generated Android Package Name Detected (Android)

Android uygulamalarının paket adları normalde com. / org. gibi ön eklerle başlar. Bu kural, uygulama adı genel uygulama paketleme standartlarına uymadığında tetiklenir.

11 - Device IP Location Changed (Android iOS Web)​

12 - Location Changed in Current Session (Android iOS Web)​

13 - User IP location changed (Android iOS Web)​

27 - Access to malicious domain (Android iOS Web)​

32 - TOR Used (Android iOS Web)​

58 - New login from compromised device (Android iOS Web)​

92 - Suspicious Mobile Application (Android)​

203 - Sign in with compromised login (Android iOS Web)​

210 - Android: Accessibility service (Android)​

248 - 3DS Leave (Web)​

266 - Android: Application hash changed (Android)​

328 - Android: overlay activity (Android)​

393 - Login from a blocklisted country (Android iOS Web)​

716 - Long Active Screen Sharing session (Android iOS)​

724 - Suspicion of using cloning software (Android)​

725 - Cloning software has been detected on the device (Android)​

764 - Multi-accounting using cloning software (Android)​

865 - Authorization using mule device (Android iOS Web)​

866 - New login belong to mule device (first device for login) (Android iOS Web)​

867 - Login with Global ID from mule device (Android iOS Web)​

869 - Authorization using mule's identity (Android iOS Web)​

953 - Android: Application from a non-legitimate source has access to admin privileges (Android)​

990 - Fraud intelligence: IP with malicous history (Android iOS Web)​

997 - Sign-in into user account from different locations (cities) within a short period of time (20 mins, customizable) (Android iOS Web)​

999 - Active parallel user sessions (Android iOS Web)​

1100 - New client device with new login (Android iOS Web)​

1020 – FI: Fraudulent mobile app is detected (Android)​

1120 - IP city changed in the session (Android iOS Web)​

1403 - Referer is mobile application (Android iOS Web)​

1713 - High-risk application is installed (Android)​

1721 - Not unique date of installation (Android)​

1724 - Activity from restricted country (GPS) (Android iOS Web)​

1725 - Activity from high-risk country (GPS) (Android iOS Web)​

1726 - Activity outside origin country (GPS) (Android iOS Web)​

1727 - Activity from unknown geolocation (GPS) (Android iOS Web)​

1728 - Country IP doesnt match GPS location (Android iOS Web)​

1733 - Not unique date of installation, more than N devices (Android)​

1801 - Android: Customer origin application downloaded from a non-legitimate source (Android)​

2519 - Android: A variation of Inattv is installed. (Android)​

3228 - Android: Application from an non-legitimate source has access to read sms. (Android)​

4105 – Crocodilus malware detection by issuer (Android)​

4410 - Android: Application from an non-legitimate source has access to NFC (Android)​

4118 – Auto-Generated Android Package Name Detected (Android)​