全球银行间金融电信协会（SWIFT）是一个使机构能够在安全，标准化和可靠的环境中传输金融交易信息的网络。但是，由于已知的系统漏洞，SWIFT欺诈已在银行和其他机构中得到记录。在一种情况下，没有实施用于创建，验证，授权和传输自由格式SWIFT消息的系统控制，因此业务员能够重定向资金。

在本文中，我们将研究SWIFT网络的工作方式，审查记录的欺诈用例，并展示金融机构可以采取哪些措施来预防SWIFT欺诈。

为什么SWIFT占主导地位？

SWIFT最初创建时只是为了促进金库和代理交易。如今，基于支付的消息仍占其流量的近50％，而现在有43％与安全交易有关。其余流量流向库存交易。通过连接200多个国家和地区的11,000多家全球金融机构，每天在SWIFTNet上交换超过1500万条金融消息（每年50亿条消息）。

谁使用SWIFT？

SWIFT强大的消息格式允许巨大的可伸缩性，因此它已逐渐扩展以提供以下服务：

• 银行，经纪机构和贸易行
• 证券交易商
• 资产管理公司
• 票据交换所，存放处和交易所
• 公司营业所
• 资金市场参与者和服务提供商
• 外汇和货币经纪

尽管SWIFT不代表客户持有资金或管理帐户，但它使全球用户社区能够安全地进行通信。它以可靠的方式交换标准化的金融消息，以促进全球和本地金融流动，并支持国际贸易和商业。

SWIFT的关键组件

                             图1：SWIFT基础结构在众多金融实体之间提供了安全的交易消息传递

SWIFTNet – SWIFTNet为所有连接的参与的金融机构应用程序提供通用接口。访问是由每个服务管理员的业务策略决定控制的，而不是受其基础结构的技术限制的控制。

SWIFTNet链接–对于所有外部接口，业务应用程序都使用SWIFTNet链接（SNL）API访问SWIFTNet服务。它的后台进程支持消息传递，安全性和服务管理功能。它已合并到SWIFTAlliance WebStation和SWIFTAlliance Gateway中。

SWIFTAlliance网关 – SWIFTAlliance网关（SAG）允许不同计算平台上的业务应用程序通过SWIFTNet传递消息。通过主机适配器（包括WebSphere MQ主机适配器）接收消息。

                                                图2：Alliance Messaging Hub的高级体系结构

联盟消息中心–联盟消息中心（AMH）通过对多个全球网络的消息处理来支持客户的业务活动。它具有可扩展性和可定制性，可在各种消息传递服务之间提供路由，并具有多种集成。技术人员可以创建自己的业务流程，转换，报告定义以及复杂的业务路由。

SWIFT消息流

SWIFT消息（FIN）的准备工作涉及以下几个步骤：

1. 消息创建–用户访问“消息创建”应用程序以创建SWIFT消息。根据消息的类型和格式以及金融机构定义的许可和路由来处理每个消息：
   • SWIFT FIN消息必须经过验证，授权或同时验证
   • SWIFT系统消息必须经过授权，但不必经过验证
2. 消息验证–消息验证应用程序验证SWIFT FIN消息中的关键字段，例如起息日，货币和金额。在大多数情况下，消息创建者不会对其进行验证。而是，验证者重新输入关键字段，这些字段显示为空白。字段集必须匹配才能验证邮件。等待验证的消息保存在消息验证队列（_MP_verification）中。
3. 消息授权–已验证的SWIFT FIN和系统消息已由消息批准应用程序授权发布，在此过程中进行了直观检查。通常，保存在消息授权队列（_MP_authorization）中的授权消息由主管批准。授权后，会将消息传输到其中指定的网络队列。Alliance Access自动从网络队列传输消息。

控制漏洞和已知的SWIFT欺诈问题

根据一家领先银行的报告，以下两个案例研究记录了SWIFT交易中的漏洞。

在第一种情况下，机构没有建立用于创建，验证，授权和传输自由格式消息的双重控制流程，以验证检查生成器之间的交易。结果，金融机构及其代理银行之间有关汇款指令修订的一系列SWIFT消息并未引起监管者的注意，以进行审查。

经调查，该银行发现人员短缺导致主管人员在批准贷款支付之前跳过了尽职调查。由于对入站SWIFT消息的接收和分发的控制不充分，因此，一名店员利用漏洞来回想起她后来转入其个人帐户的贷款收益。

最近的另一起案件涉及滥用交易验证过程。在三步过程中，制造商在系统中键入SWIFT消息，检查程序对其进行检查，并在确认其真实性后由验证者发送该消息。但是，在这里，消息的制造者，检查者，验证者和接收者中至少有三人证实了创建贷款的阴谋（在本例中为同一人）以使欺诈成为可能。

金融机构的关键检测用例

• 很少有金融机构希望或能够发现一个人作为SWIFT消息制造者与另一个人作为检查者之间的异常关系。研究表明，当给定的检查者成为关联消息制造者的最频繁授权者时，可能会发生欺诈性交易。
• FIN消息授权者应不同于消息创建者或验证者。如果从同一终端或同一个人执行FIN消息的创建和授权，或授权和验证，则可以检测到可疑交易。
• 制造者和检查者通常在其正常终端和正常工作时间内执行FIN消息活动。通过监视制造者和检查者的异常登录活动，可以检测到欺诈活动。

Exabeam Advanced Analytics如何防止SWIFT欺诈

为了检测异常和异常活动，Exabeam Advanced Analytics使用机器学习和行为分析为用户和设备创建基准。它可以从Windows Active Directory（AD），代理，防火墙，安全警报，数据库和其他应用程序中获取日志。

根据最近的部署，可以从SWIFT Alliance Gateway日志中捕获至少七个事件类型。其中三个与SWIFT消息（消息创建，验证和授权）有关，而四个与登录活动有关。

                                            图3：在Exabeam Advanced Analytics中创建的SWIFT事件

工作原理：Exabeam Advanced Analytics收到Alliance Gateway日志后，将为特定的SWIFT相关活动解析，规范化并创建事件，如图3所示

                                       图4：Advanced Analytics中的一个用户会话显示了应用程序事件

使用机器学习和行为分析来创建会话时间表，以为每个用户和设备创建活动基线。如图4所示，与SWIFT相关的事件以及从其他环境日志（例如Windows，代理，电子邮件，打印机等）创建的其他事件已被缝合到用户的时间轴上。

                                 图5：高级分析显示 了与用户的应用程序活动相关的学习的行为模型

行为模型可以从Alliance Gateway日志（图5）中学习不同的条件，例如：

• 每个用户及其部门处理的FIN消息类型
• 处理SWIFT消息的一周中的时间
• 每个SWIFT用户使用的普通设备

通过学习的行为模型和已建立的风险规则，Advanced Analytics使用其风险引擎来检测异常或异常的SWIFT活动。例如：

• 在同时也是特定授权者最大用户的消息制造者之间发生SWIFT消息授权时发出警报。

工作原理：行为模型可让Advanced Analytics学习特定授权者的消息创建者，以及特定验证者的消息创建者。如果创建者是授权者的最大用户（> 30％），则Advanced Analytics会触发警报。可以为授权者和验证者创建类似的模型和规则。

其他检测规则示例包括：

• 当制造者和检查者（验证者或授权者）使用同一台机器时发出警报。
• 创建者和授权者是同一用户时发出警报。
• 在异常时间内创建FIN消息时发出警报。
• 在为不寻常的国家/地区创建FIN消息时发出警报。
• 当从先前未与创建者关联的终端发生FIN消息创建时发出警报。

在类似于SWIFT的应用程序中检测到异常和欺诈活动

以下示例显示Exabeam如何检测金融应用程序中的异常活动和风险活动。

                                                            图6：L为用户赢得了正常行为

First Exabeam创建正常用户行为的基准。通过使用机器学习和行为建模，Advanced Analytics为组织的所有用户学习应用程序活动类型（图6）。

                                                  图7：过多，异常的应用程序对象访问/事务

通过进一步学习活动（例如应用程序对象访问）的行为模型，图7显示了Advanced Analytics风险引擎已检测到来自访问了约300个应用程序对象的用户的异常活动。

                                   图8：Advanced Analytics比较对等组以检测异常活动

图8显示了如何根据对等组比较来检测异常活动

                                             图9：Advanced Analytics在不寻常的时间跟踪用户访问

在图9中，Exabeam通过跟踪正在休假的用户的访问来检测可疑活动

         图10：Advanced Analytics评估所有活动并分配风险评分，这些评分可以基于预先设置的阈值生成相应的警报

这里，Advanced Analytics根据正常，同级组比较和异常行为分配风险评分。

结论

使用Exabeam UEBA来检测异常和异常活动，金融机构可以分析SWIFT日志以及其余的基础架构日志。除了快速检测和关联SWIFT事件以及其他与基础架构相关的事件之外，它还提供了完整的可见性。几种开箱即用的检测方法使您可以创建其他行为模型和规则，以进行更精细的检测。