Loader

5 способов, которыми банки могут защитить мобильные банковские приложения и транзакции

Атаки на мобильный банкинг находятся на рекордно высоком уровне, а изощренность и объем мошеннических атак злоумышленников увеличивается с каждым годом. Исходя из отчета Threat Intelligence за 2021 год, отслеживающего более 200 миллионов устройств по всему миру, в первой половине 2021 года число новых банковских троянов, атакующих устройства и пытающихся украсть одноразовые пароли из SMS, увеличилось на 80%. В июне 2020 года ФБР выпустило предупреждение о кибербезопасности, ожидая увеличения числа атак на клиентов мобильного банка из-за резкого роста использования банковских приложений и снижения непосредственного посещения отделений, частично вызванного пандемией COVID-19. В связи с увеличением числа клиентов, использующих онлайн-банкинг на своих мобильных устройствах, и снижением барьеров входа для злоумышленников, финансовым учреждениям срочно необходимо развернуть расширенную систему безопасности приложений, чтобы защитить как своих клиентов, так и свой бренд.

В недавнем видеоинтервью Грег Ханселл, директор по стратегии данных и управлению продуктами в OneSpan, рассказал о методах и технологиях, которые финансовые учреждения могут использовать для защиты устройств и транзакций клиентов. В этой статье мы познакомим вас с пятью его основными рекомендациями, а также с дополнительными сведениями от экспертов по безопасности.

1. Удалите статические пароли и перейдите на надежную аутентификацию клиентов.
2. Используйте контекстную аутентификацию с поведенческим анализом.
3. Примените безопасный канал со сквозным шифрованием.
4. Примените расширенную защиту приложений и обнаружение вредоносных программ.
5. Повышайте доверие, защищая мобильный банкинг.

Какие существуют типы атак на мобильный банкинг?

Атаки на мобильный банкинг могут включать, но не ограничиваются:

  • Атаки с использованием эмуляторов. В этих атаках мошенники используют скомпрометированные пользовательские устройства (устройства, содержащие вредоносное ПО) для кражи данных и паролей. Преступники передают эти данные эмуляторам, которые имитируют законного пользователя и автоматизируют поток типичных взаимодействий с приложениями, позволяя злоумышленникам перехватывать коды текстовых SMS-сообщений для авторизации и получать одобрение мошеннических банковских транзакций.
  • Замена SIM-карты. Это мошенничество представляет собой тип атаки с захватом учетной записи, при которой мошенники используют методы социальной инженерии для переноса номера мобильного телефона жертвы на новую SIM-карту, что позволяет злоумышленнику выполнять мошеннические транзакции с использованием двухфакторной аутентификации (2FA) с проверкой по SMS. Финансовые учреждения могут помочь снизить риск мошенничества с подменой SIM-карты, интегрировав программную аутентификацию в приложение для мобильного банкинга.
  •  Мобильный фишинг. Злоумышленники отправляют по SMS или электронной почте ссылку, содержащую вредоносную полезную нагрузку. Жертва нажимает на ссылку, и ее могут обмануть, заставив ввести личные данные на веб-страницу, которую они считают подлинной, или неосознанно загрузить шпионское ПО на свое устройство.
  • Мобильные банковские трояны — загрузка файла или стороннего приложения, которая выглядит законной, будь то из магазинов приложений Android или Apple или прямой загрузки с сайта, но на самом деле скрывает вредоносное ПО, нацеленное на мобильные банковские приложения на мобильном телефоне, на который оно загружено. Затем вредоносное ПО может захватывать банковскую информацию и другие конфиденциальные данные, которые пользователь отправляет, чтобы украсть его личность, получить учетные данные для входа, проникнуть в его банковский счет или перехватить переводы средств.

Способы защиты устройства и транзакции от атак мобильного банкинга с помощью уровней безопасности:

1. Удалите статические пароли и перейдите на надежную аутентификацию клиентов.
Первый совет Грега по закрытию уязвимостей касается аутентификации пользователей — шагов, которые клиент проходит, чтобы аутентифицировать себя при входе в систему или при выполнении транзакции.

«Если вы используете статические пароли, перейдите на двухфакторную аутентификацию. Если вы используете SMS для аутентификации второго фактора, перейдите на строгую аутентификацию клиента. Если вы используете строгую аутентификацию клиентов, перейдите к динамической компоновке и контекстной аутентификации».

Золотым стандартом банковской безопасности, которого, по мнению Грега, должны придерживаться финансовые учреждения, является строгая аутентификация клиентов с динамической связью и контекстной аутентификацией.
Надежная аутентификация клиента использует многофакторную аутентификацию (MFA) для аутентификации личности клиента во время входа в систему и авторизации транзакции. Многофакторная аутентификация использует не только надежный пароль, но и использует три общих фактора: что-то, что вы «знаете», например PIN-код, что-то, что у вас есть, например мобильное устройство или аппаратный токен, и что-то, чем вы «являетесь», например, биометрический отпечаток пальца или сканирование лица.
2. Используйте контекстную аутентификацию с поведенческим анализом
Контекстная аутентификация, также известная как адаптивная аутентификация, учитывает контекст или поведение, связанное с событием, таким как вход в систему, создание получателя и транзакция. Адаптивная аутентификация и поведенческий анализ просматривают огромные объемы данных, связанных с поведением пользователя, устройством мобильного телефона и транзакцией в режиме реального времени, что приводит к оценке риска. Эта оценка запускает автоматизированные рабочие процессы безопасности, которые обеспечивают точно требуемую безопасность. Грег советует:

«Банки также хотят применять поведенческий анализ. Вы хотите иметь возможность понять, что обычно делает пользователь, когда он обычно подключается и какие типы устройств у него есть. Вам также необходимо убедиться, что вы действительно понимаете их взаимодействие на этом устройстве и с финансовой точки зрения».

Понимая типичное поведение пользователя, банки, финансовые учреждения и организации, предоставляющие финансовые услуги, могут применять дополнительные уровни аутентификации, когда поведение пользователя отклоняется от его обычной деятельности. В своей статье 2021 года Advanced Authentication: A Plan of Attack for Your Authentication Stack эксперт по безопасности Сэм Баккен более подробно объясняет, как это работает:

«Центр оркестровки, в основе которого лежит передовая система предотвращения мошенничества, может использовать искусственный интеллект и машинное обучение для оценки того, соответствует ли поведение пользователя тому, что ожидается от реального человека, совершающего законную транзакцию. Если сигналы риска транзакции вызывают тревогу, цифровая идентификация клиента может быть подтверждена с помощью новой проверки подлинности и второго фактора, что обеспечивает безопасный доступ к приложению».

3. Примените безопасный канал со сквозным шифрованием
Грег советует финансовым учреждениям внедрять сквозное шифрование с безопасным каналом для обеспечения максимальной безопасности мобильных приложений при обмене данными между сервером и iPhone, смартфоном или мобильным устройством клиента.

«Безопасный канал означает, что только устройство пользователя может расшифровать и увидеть одноразовый пароль и детали, относящиеся к нему, а также контекст».

Этот дополнительный уровень защиты работает путем независимого шифрования данных на стороне сервера для расшифровки на мобильном устройстве. Он обеспечивает безопасную передачу данных на устройство и обратно, обеспечивая надежную связь между пользователем и сервером. Этот уровень при использовании с защитой приложений запрещает вредоносным программам перехватывать одноразовые пароли, отправляемые в виде открытого текста, например SMS, и предоставляет серверу расширенный контекст, который принимает решение о пользователе и его устройстве с учетом рисков.

4. Примените расширенную защиту приложений и обнаружение вредоносных программ
Помимо повышения безопасности аутентификации транзакций, Грег также советует банкам применять повышенную безопасность приложений:

«В пространстве мобильного банкинга используйте расширенные средства безопасности приложений, такие как защита приложений, защита от несанкционированного доступа и обнаружение вредоносных программ».

Экранирование и усиление приложений — это типы защиты в приложении, в которых используется обфускация (сокрытие, запутывание) кода, обнаружение отладчиком, обнаружение наложений и другие методы для защиты приложений от атак, таких как реверс-инжиниринг и подделка. Они включают меры по увеличению уровня усилий, необходимых злоумышленнику для атаки на приложение.

Sony Bank, японский прямой банк (банк без сети филиалов/виртуальный банк), внедрил экранирование приложений для защиты своего мобильного банковского приложения. Экранирование приложений защищает мобильное приложение Sony Bank, предотвращая методы обратного проектирования с помощью технологии обфускации кода и защиты от переупаковки. Он также активно обнаруживает такие угрозы, как вредоносный кейлоггинг, программы чтения с экрана, отладчики, эмуляторы и оверлейные атаки.

5. Повышайте доверие, защищая мобильный банкинг
В статье 2021 года «Безопасная разработка мобильных приложений: бизнес-обоснование защиты приложений» мы утверждали, что ценность защиты приложений выходит за рамки смягчения мобильных угроз и вредоносного кода на стороне клиента.

«Экранирование приложений также может повысить доверие, улучшить качество обслуживания клиентов и положительно повлиять на рост доходов, их удержание, снижение затрат и их предотвращение…. Исследования показывают, что мобильные пользователи, которые доверяют своему финансовому учреждению защиту своей личной информации, учетной записи и платежной информации, более вовлечены и совершают больше транзакций в мобильном канале. Защита приложений, наряду с комплексной программой безопасности мобильных приложений, значительно снижает риски безопасности мобильных приложений, что, в свою очередь, повышает доверие к банку».

Грег Ханселл поддерживает это заявление, соглашаясь с тем, что применение надлежащего типа безопасности и защита персональных данных клиентов необходимы для повышения уверенности и доверия клиентов к мобильному каналу.

«Если вы примените правильный тип безопасности, вы можете повысить уверенность и доверие к своему цифровому каналу через мобильные устройства».

Как начать работу с экранированием мобильных приложений для защиты мобильных приложений и банковских услуг

Разработать успешное приложение для мобильного банкинга непросто, и команды разработчиков сталкиваются с давлением со всех сторон. Хотя важно создать, протестировать и опубликовать приложение как можно быстрее, также необходимо защитить приложения для мобильного банкинга.
Защиту мобильных приложений легко начать, и ее можно применить за считанные минуты. Некоторые из крупнейших банков и финансовых учреждений в мире полагаются на OneSpan App Shielding, чтобы соответствовать строгим требованиям безопасности мобильных приложений, не замедляя выпуск своих приложений. Цифровой банк NewB использует экранирование приложений и облачную аутентификацию для защиты пользователей своих мобильных приложений и их транзакций. Что касается скорости интеграции, они сказали: «Нам потребовалось всего несколько дней, чтобы настроить функцию экранирования мобильного приложения OneSpan для защиты мобильного банковского приложения NewB, которое мы только что разработали».
Райффайзен Италия также использует экранирование мобильных приложений для защиты своего приложения и первым выпустил эту технологию на рынок в Италии. Теперь банк может обнаруживать и блокировать атаки на свое приложение-аутентификатор в режиме реального времени, не прерывая работу клиентов. App Shielding было легко интегрировать и не обременять разработчиков. ИТ-директор банка Александр Киссветтер посоветовал финансовым учреждениям, желающим сделать то же самое, «выбрать сильного партнера со стратегическим видением того, куда может пойти ваша цифровая трансформация в будущем».

По вопросам организации индивидуальных демонстраций, партнерских тренингов OneSpan и пилотных проектов обращайтесь, пожалуйста к нашей команде в Вашей стране:
Украина info.ua@oberig-it.com, +38 093 801 04 41
Казахстанinfo.kz@oberig-it.com, +7 775 395 0803.
Беларусьinfo.md@oberig-it.com, +373 686 76535.
Узбекистан, Кыргызстан, Туркменистанinfo.uz@oberig-it.com, +99897 746 83 40.

Источник: https://bit.ly/3tLUW6s