Атаки на мобільний банкінг знаходяться на рекордно високому рівні, а витонченість та обсяг шахрайських атак зловмисників збільшується з кожним роком. Виходячи зі звіту Threat Intelligence за 2021 рік, що відстежує понад 200 мільйонів пристроїв по всьому світу, у першій половині 2021 року кількість нових банківських троянів, що атакують пристрої та намагаються вкрасти одноразові паролі із SMS, збільшилася на 80%.

У червні 2020 року ФБР випустило попередження про кібербезпеку, очікуючи збільшення кількості атак на клієнтів мобільного банку через різке зростання використання банківських додатків та зниження безпосереднього відвідування відділень, частково викликаного пандемією COVID-19. У зв’язку зі збільшенням кількості клієнтів, які використовують онлайн-банкінг на своїх мобільних пристроях, та зниженням бар’єрів входу для зловмисників, фінансовим установам терміново необхідно розгорнути розширену систему безпеки програм, щоб захистити як своїх клієнтів, так і свій бренд.

У нещодавньому відеоінтерв’ю Грег Ханселл, директор зі стратегії даних та управління продуктами в OneSpan, розповів про методи та технології, які фінансові установи можуть використовувати для захисту пристроїв та транзакцій клієнтів. У цій статті ми познайомимо вас із п’ятьма його основними рекомендаціями, а також із додатковими відомостями від експертів з безпеки.

1. Видаліть статичні паролі та перейдіть на надійну автентифікацію клієнтів.
2. Використовуйте контекстну автентифікацію із поведінковим аналізом.
3. Застосуйте безпечний канал із наскрізним шифруванням.
4. Застосуйте розширений захист програм та виявлення шкідливих програм.
5. Підвищуйте довіру, захищаючи мобільний банкінг.

Які існують типи атак на мобільний банкінг?

Атаки на мобільний банкінг можуть включати, але не обмежуються:

  • Атаки з використанням емуляторів. У цих атаках шахраї використовують скомпрометовані пристрої користувача (пристрої, що містять шкідливе ПЗ) для крадіжки даних і паролів. Злочинці передають ці дані емуляторам, які імітують законного користувача та автоматизують потік типових взаємодій із додатками, дозволяючи зловмисникам перехоплювати коди текстових SMS-повідомлень для авторизації та отримувати схвалення шахрайських банківських транзакцій.
  • Заміна SIM-картки. Це шахрайство є типом атаки із захопленням облікового запису, при якій шахраї використовують методи соціальної інженерії для перенесення номера мобільного телефону жертви на нову SIM-карту, що дозволяє зловмиснику виконувати шахрайські транзакції з використанням двофакторної аутентифікації (2FA) з перевіркою по SMS. Фінансові установи можуть допомогти знизити ризик шахрайства з заміною SIM-картки, інтегрувавши програмну автентифікацію до програми для мобільного банкінгу.
  • Мобільний фішинг. Зловмисники відправляють по SMS або електронній пошті посилання, що містить шкідливе корисне навантаження. Жертва натискає на посилання, і його можуть обдурити, змусивши ввести особисті дані на веб-сторінку, яку вони вважають справжньою, або несвідомо завантажити шпигунське програмне забезпечення на свій пристрій.

Мобільні банківські трояни — завантаження файлу або сторонньої програми, яка виглядає законною, будь то з магазинів програм Android або Apple або прямого завантаження з сайту, але насправді приховує шкідливе програмне забезпечення, націлене на мобільні банківські програми на мобільному телефоні, на який воно завантажено . Потім шкідливе ПЗ може захоплювати банківську інформацію та інші конфіденційні дані, які користувач надсилає, щоб вкрасти особистість, отримати облікові дані для входу, проникнути в його банківський рахунок або перехопити перекази коштів.

Способи захисту пристрою та транзакцій від атак мобільного банкінгу за допомогою рівнів безпеки:

1. Видаліть статичні паролі та перейдіть на надійну автентифікацію клієнтів.

Перша порада Грега із закриття вразливостей стосується аутентифікації користувачів – кроків, які клієнт проходить, щоб автентифікувати себе під час входу до системи або під час транзакції.

“Якщо ви використовуєте статичні паролі, перейдіть на двофакторну автентифікацію. Якщо ви використовуєте SMS для автентифікації другого фактора, перейдіть на сувору автентифікацію клієнта. Якщо ви використовуєте суворуу аутентифікацію клієнтів, перейдіть до динамічної компонування та контекстної аутентифікації».

Золотим стандартом банківської безпеки, якого, на думку Грега, повинні дотримуватися фінансові установи, є сувора аутентифікація клієнтів з динамічним зв’язком та контекстною аутентифікацією.

Надійна аутентифікація клієнта використовує багатофакторну аутентифікацію (MFA) для аутентифікації особи клієнта під час входу до системи та авторизації транзакції. Багатофакторна автентифікація використовує не тільки надійний пароль, але й використовує три загальні фактори: щось, що ви знаєте, наприклад PIN-код, щось, що у вас є, наприклад мобільний пристрій або апаратний токен, і щось, чим ви є, наприклад, біометричний відбиток пальця або сканування обличчя.

2. Використовуйте контекстну автентифікацію із поведінковим аналізом

Контекстна аутентифікація, також відома як адаптивна аутентифікація, враховує контекст або поведінку, пов’язану з подією, такою як вхід до системи, створення одержувача та транзакція. Адаптивна автентифікація та поведінковий аналіз переглядають величезні обсяги даних, пов’язаних із поведінкою користувача, пристроєм мобільного телефону та транзакцією в режимі реального часу, що призводить до оцінки ризику. Ця оцінка запускає автоматизовані робочі процеси безпеки, які забезпечують необхідну безпеку. Грег радить:

«Банки також бажають застосовувати поведінковий аналіз. Ви хочете мати можливість зрозуміти, що зазвичай робить користувач, коли він зазвичай підключається та які типи пристроїв у нього є. Вам також необхідно переконатися, що ви дійсно розумієте їхню взаємодію на цьому пристрої та з фінансової точки зору».

Розуміючи типову поведінку користувача, банки, фінансові установи та організації, що надають фінансові послуги, можуть застосовувати додаткові рівні автентифікації, коли поведінка користувача відхиляється від його звичайної діяльності. У своїй статті 2021 Advanced Authentication: A Plan of Attack for Your Authentication Stack експерт з безпеки Сем Баккен більш докладно пояснює, як це працює:

«Центр оркестрування, в основі якого лежить передова система запобігання шахрайству, може використовувати штучний інтелект та машинне навчання для оцінки того, чи відповідає поведінка користувача тому, що очікується від реальної людини, яка здійснює законну транзакцію. Якщо сигнали ризику транзакції викликають тривогу, цифрова ідентифікація клієнта може бути підтверджена за допомогою нової автентифікації та другого фактора, що забезпечує безпечний доступ до додатка».

3. Застосуйте безпечний канал із наскрізним шифруванням

Грег радить фінансовим установам впроваджувати наскрізне шифрування з безпечним каналом для забезпечення максимальної безпеки мобільних програм при обміні даними між сервером та iPhone, смартфоном або мобільним пристроєм клієнта.

«Безпечний канал означає, що лише пристрій користувача може розшифрувати та побачити одноразовий пароль та деталі, що стосуються нього, а також контекст».

Цей додатковий рівень захисту працює за допомогою незалежного шифрування даних на стороні сервера для розшифровки на мобільному пристрої. Він забезпечує безпечну передачу даних на пристрій та назад, забезпечуючи надійний зв’язок між користувачем та сервером. Цей рівень при використанні із захистом програм забороняє шкідливим програмам перехоплювати одноразові паролі, що надсилаються у вигляді відкритого тексту, наприклад SMS, і надає серверу розширений контекст, який приймає рішення про користувача та його пристрій з урахуванням ризиків.

4. Застосуйте розширений захист програм та виявлення шкідливих програм

Крім підвищення безпеки автентифікації транзакцій, Грег також радить банкам застосовувати підвищену безпеку додатків:

«У просторі мобільного банкінгу використовуйте розширені засоби безпеки програм, такі як захист програм, захист від несанкціонованого доступу та виявлення шкідливих програм».

Екранування та посилення додатків — це типи захисту у додатку, в яких використовується обфускація (приховування, заплутування) коду, виявлення наладчиком, виявлення накладень та інші методи захисту додатків від атак, таких як реверс-інжиніринг та підробка. Вони включають заходи для підвищення рівня зусиль, необхідних зловмиснику для атаки на додаток.

Sony Bank, японський прямий банк (банк без мережі філій/віртуальний банк), впровадив екранування програм для захисту свого мобільного банківського додатка.

Екранування програм захищає мобільний додаток Sony Bank, запобігаючи методам зворотного проектування за допомогою технології обфускування коду та захисту від перепакування. Він також активно виявляє такі загрози, як шкідливий кейлоггінг, програми читання з екрану, відладники, емулятори та оверлейні атаки.

5. Підвищуйте довіру, захищаючи мобільний банкінг

У статті 2021 року «Безпечна розробка мобільних додатків: бізнес-обґрунтування захисту додатків» ми стверджували, що цінність захисту додатків виходить за межі пом’якшення мобільних загроз та шкідливого коду на стороні клієнта.

«Екранування додатків також може підвищити довіру, покращити якість обслуговування клієнтів та позитивно вплинути на зростання доходів, їх утримання, зниження витрат та їх запобігання….

Дослідження показують, що мобільні користувачі, які довіряють своїй фінансовій установі захист своєї особистої інформації, облікового запису та платіжної інформації, більш залучені та здійснюють більше транзакцій у мобільному каналі. Захист додатків, поряд з комплексною програмою безпеки мобільних додатків, значно знижує ризик безпеки мобільних додатків, що, у свою чергу, підвищує довіру до банку».

Грег Ханселл підтримує цю заяву, погоджуючись з тим, що застосування належного типу безпеки та захист персональних даних клієнтів необхідні для підвищення впевненості та довіри клієнтів до мобільного каналу.

«Якщо ви застосуєте правильний тип безпеки, ви можете підвищити впевненість та довіру до свого цифрового каналу через мобільні пристрої».

Як розпочати роботу з екрануванням мобільних додатків для захисту мобільних додатків та банківських послуг

Розробити успішну програму для мобільного банкінгу непросто, і команди розробників стикаються з тиском з усіх боків. Хоча важливо створити, протестувати та опублікувати програму якнайшвидше, також необхідно захистити програми для мобільного банкінгу.

Захист мобільних програм легко почати, і його можна застосувати за лічені хвилини. Деякі з найбільших банків та фінансових установ у світі покладаються на OneSpan App Shielding, щоб відповідати суворим вимогам безпеки мобільних програм, не уповільнюючи випуск своїх додатків. Цифровий банк NewB використовує екранування програм та хмарну автентифікацію для захисту користувачів своїх мобільних програм та їх транзакцій. Щодо швидкості інтеграції, вони сказали: «Нам знадобилося лише кілька днів, щоб налаштувати функцію екранування мобільного додатка OneSpan для захисту мобільного банківського додатка NewB, який ми щойно розробили».

Райффайзен Італія також використовує екранування мобільних програм для захисту своєї програми і першим випустив цю технологію на ринок в Італії. Тепер банк може виявляти та блокувати атаки на свою програму-автентифікатор у режимі реального часу, не перериваючи роботу клієнтів. App Shielding було легко інтегрувати та не обтяжувати розробників. ІТ-директор банку Олександр Кіссветтер порадив фінансовим установам, які бажають зробити те саме, «вибрати сильного партнера зі стратегічним баченням того, куди може піти ваша цифрова трансформація в майбутньому».

З питань проведення індивідуальної демонстрації, пілотного тестування рішення OneSpan і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 093 801 04 41

Джерело: https://bit.ly/3tLUW6s

 

Источник

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *