Schutz vor Online-Banking-Bedrohungen: Dafür gibt es eine App

Frauke De Graeve, 3. September 2019
Protecting against Online Banking Threats: There’s an App for That

Von Fitness bis Finanzen haben mobile Apps unser tägliches Leben verändert. Menschen nutzen ihre Telefone nicht nur für Mobile Banking, sondern nutzen auch ihre Mobilgeräte und Apps, um ihre Online-Banking-Transaktionen zu sichern.

Viele Mobile-Banking-Nutzer sind auch begeisterte Konsumenten von Online-Banking. Im Jahr 2018 wurde die Deloitte Zentrum für Finanzdienstleistungen führte eine Umfrage unter 17.100 Verbrauchern in 17 Ländern durch. Laut dem Unternehmen „nutzen Mobile-Banking-Kunden, die auf unsere Umfrage geantwortet haben, weiterhin in großem Umfang Online-Banking-Kanäle: 94% nutzen den Online-Kanal mindestens einmal im Monat.“

Menschen tragen ihre Telefone überall mit sich herum und es ist zur Routine geworden, das Telefon beim Online-Banking auf einem Laptop oder Desktop-Computer griffbereit zu haben. Dies ermöglicht eine elegante Lösung für Anwendungsfälle wie Out-of-Band-Authentifizierung und Signieren von Transaktionsdaten zum Schutz vor Man-in-the-Middle- (MitM) und Man-in-the-Browser- (MitB) Angriffen. Leider ist es immer noch allzu einfach, Malware unwissentlich auf einen Computer oder Laptop herunterzuladen - und Opfer von Finanzbetrug zu werden. Die Verwendung eines vertrauenswürdigen Mobilgeräts als zusätzliche Sicherheitsebene beim Online-Banking ist eine einfache Möglichkeit, sich gegen anspruchsvolle Online-Bedrohungen zu verteidigen.  

Als Deloitte sich ansah, wie wahrscheinlich es ist, dass die Verbraucher ihre Zahl erhöhen Nutzung von Online- und Mobile-Banking Sicherheit war das Hauptanliegen, das sie zurückhielt. Weltweit würden 56% der Befragten das Online-Banking stärker nutzen, wenn eine stärkere Datensicherheit vorhanden wäre. In diesem Blog betrachten wir eine bestimmte Art von Sicherheit für das Online-Banking: App-basiert Signieren von Transaktionsdaten .

PSD2- und Transaktionsdatensignierung (Dynamic Linking)

In Europa müssen Banken und andere Finanzinstitute (FIs), die ihre Online- und Mobile-Banking-Erfahrungen weiterentwickeln, auch die folgenden Bestimmungen einhalten Überarbeitete Richtlinie über Zahlungsdienste (PSD2) . PSD2 legt Anforderungen an die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) sowie fest dynamische Verknüpfung , auch als Transaktionsdatensignatur bekannt.

Der europäische Gesetzgeber hat die Anforderung der dynamischen Verknüpfung eingeführt, um Man-in-the-Middle-Angriffen (MitM) entgegenzuwirken. In einem typischen Man-in-the-Middle-Szenario fängt ein Cyberkrimineller die Kommunikation zwischen dem Kunden und dem Bankenserver ab und ändert die Details eines Zahlungsvorgangs, ohne dass der echte Zahler dies bemerkt. Eine der Möglichkeiten, den Kommunikationskanal zwischen dem Laptop des Kunden (oder einem anderen Gerät) und der Bank zu übernehmen, kann ein böswilliges Wi-Fi-Netzwerk sein, das als öffentlicher Hotspot angeboten wird. Menschen nutzen öffentliche Hotspots und bemerken nicht, dass sie ihre Finanztransaktionsdaten möglicherweise über ein Netzwerk übertragen, das von einem schlechten Akteur kontrolliert wird. Stellen Sie sich eine echte Überweisung von 100 Euro an einen Freund vor, die in eine betrügerische Überweisung von 1000 Euro an einen Betrüger umgewandelt wird!

Die Anforderung für die dynamische Verknüpfung von PSD2 besteht aus drei Teilen. Zunächst muss der Zahler die Transaktion authentifizieren, indem er einen Authentifizierungscode über die Transaktionsdaten berechnet, z. B. den Transaktionsbetrag und Informationen, die den Zahlungsempfänger identifizieren. Der Authentifizierungscode muss mit den Transaktionsdaten verknüpft werden, damit jede Änderung der Transaktionsdetails den Code ungültig macht.

Zweitens muss die Vertraulichkeit und Integrität der Transaktionsdaten während des gesamten Authentifizierungsprozesses geschützt werden, damit ein schlechter Akteur die Details nicht abfangen und ändern kann. Dies stellt sicher, dass der Authentifizierungscode basierend auf den echten Transaktionsdetails berechnet wird.

Schließlich muss der Kunde die Transaktionsdaten kennen, die er zur Authentifizierung auffordert. Dies bedeutet, dass die Transaktionsdaten dem Kunden zum Zeitpunkt der Autorisierung vorgelegt werden müssen (auch als „Was Sie sehen, ist was Sie unterschreiben“ bezeichnet).

Wie Cronto-Technologie das Risiko mindert

Cyberkriminelle verwenden Social Engineering- und Banking-Trojaner, um Finanztransaktionen zu ändern und Gelder zu stehlen. Cronto verhindert diese Angriffe, indem es den Transaktionsautorisierungsprozess schützt. Dies ist eine benutzerfreundliche Methode, um schlechte Akteure zu blockieren, die auf Online- und Mobile-Banking abzielen.

Die Cronto-Technologie erledigt dies durch:

  • Einrichtung eines sicheren Kommunikationskanals zum Schutz der Vertraulichkeit und Integrität der Transaktionsdaten
  • Präsentieren der Transaktionsdetails im Klartext dem Kunden, damit er sicherstellen kann, dass sie der beabsichtigten Transaktion entsprechen
  • Berechnung eines Authentifizierungscodes basierend auf den Details der Transaktion

Da Cronto als mobile App verfügbar ist, scannt der Kunde einfach den Cronto-Code (im Wesentlichen ein farbenfrohes Kryptogramm ähnlich einem QR-Code) mit seinem Telefon, um die Details seiner Zahlung zu überprüfen. Der Cronto-Code enthält die verschlüsselten Details der Transaktion. Nur die Bank kann diesen visuellen Code generieren und nur das Telefon des Kunden kann ihn entschlüsseln. Der Kunde kann die Transaktion dann autorisieren, indem er der Bank mit dem vom Cronto-Image generierten Antwortcode antwortet.

Dieser visuelle Ansatz für das Signieren von Transaktionen vereinfacht die Benutzererfahrung, da die zur Überprüfung einer Transaktion erforderliche Benutzerinteraktion verringert wird. Kunden richten ihr Telefon einfach auf den Bildschirm und geben einen Antwortcode in den Browser ein. Auf diese Weise können alle verschlüsselten Transaktionsdetails zwischen der Bank und dem Kunden kommuniziert werden, ohne dass das Risiko besteht, dass Hacker sie abfangen oder manipulieren. Um Cronto in Aktion zu sehen, schauen Sie sich a Video-Demo .

Weit verbreitete Einführung der Cronto-Technologie

Das visuelle Signieren von Transaktionen gehört zu den am häufigsten verwendeten Methoden zum Schutz von Online-Banking-Transaktionen. Wir sehen zunehmend die weltweite Akzeptanz von "Scan and Sign" -Transaktionssignaturen, sowohl im Privat- als auch im Geschäftskundengeschäft, weil sie so einfach zu bedienen sind. Dies ist auch eine bewährte und kostengünstige Methode zum Schutz vor Malware. Zu den ausgewählten Banken, die Cronto implementiert haben, gehören:

Vereinigte Bulgarische Bank

Vereinigte Bulgarische Bank (UBB) gehört zur belgischen KBC-Gruppe, der größten Banken- und Versicherungsgruppe in Bulgarien. Mit einem Marktanteil von fast 11% ist es die drittgrößte Bank in Bulgarien. Im Rahmen der Innovationsstrategie der UBB startete die Bank ihre Mobile-Banking-App UBB Mobile. Um die App vor mobiler Malware zu schützen, wandte sich die Bank an OneSpan Mobile Security Suite , eine Reihe mobiler SDKs zur Integration von Anwendungssicherheit, biometrischer Authentifizierung und Cronto-Technologie. UBB hat die Möglichkeit hinzugefügt, Transaktionen zu signieren, die über Online-Banking mit Cronto initiiert wurden. Die Bank implementiert Cronto um die Anforderungen an die dynamische PSD2-Verknüpfung zu erfüllen und das menschliche Risiko bei Online-Banking-Transaktionen zu verringern. 

Bank of Cyprus

Bank of Cyprus Group ist die führende Bank- und Finanzdienstleistungsgruppe in Zypern. Die Bank bietet eine breite Palette von Finanzprodukten und -dienstleistungen an, darunter Privat- und Geschäftsbanken, Investmentbanken und Versicherungen. Die Bank von Zypern musste die PSD2-Anforderungen für eine starke Kundenauthentifizierung und dynamische Verknüpfung erfüllen. Da die Verordnung jedoch technologieneutral ist, schreibt sie keine spezifische Methode zur Implementierung der Transaktionssignierung vor. Nach mehreren Konsultationen und Demonstrationen, die bestätigten, dass die Lösungen von OneSpan den PSD2-Anforderungen entsprechen, entschied sich die Bank von Zypern für Cronto und andere Technologien, die über die OneSpan Mobile Security Suite verfügbar sind. (( Sehen Sie sich hier die Demo der Bank of Cyprus an )

Jibun Bank

Als Man-in-the-Browser-Angriffe anfingen, Chaos zu verursachen, war die japanische Internetbank Jibun Bank suchte nach wirksamen Gegenmaßnahmen, die die Benutzererfahrung nicht beeinträchtigen würden. Heute ist die Transaktionssignierung in der Mobile-Banking-Anwendung der Jibun Bank, dem Smartphone Authentication Service, verfügbar. Wenn Kunden Transaktionen über die Anwendung abschließen, müssen sie keine zusätzlichen Informationen eingeben, um sich zu authentifizieren. Wenn Transaktionen über einen PC ausgeführt werden, fungiert die Transaktionssignaturfunktion als bidirektionale Authentifizierung, um Online-Betrug zu verhindern. 

Volkswagen Bank

Volkswagen Bank Das 1949 gegründete Unternehmen ist eine hundertprozentige Tochter der Volkswagen AG. Ihre Produkte reichen von der Finanzierung neuer und gebrauchter Volkswagen Fahrzeuge bis zur Händlerfinanzierung. Die Volkswagen Bank nutzte die OneSpan Mobile Security Suite, um ihre PhotoTAN-App zu entwickeln und zu schützen. Diese Anwendung wurde für die direkte Kommunikation mit der Volkswagen Bank entwickelt und ermöglicht ihren Benutzern, Bankgeschäfte über ihr Mobilgerät zu initiieren. Die OneSpan Mobile Security Suite bietet Sicherheit für die Anwendung, einschließlich biometrischer Authentifizierung, Anwendungsabschirmung und Cronto-Technologie. Wie bei UBB ermöglicht die OneSpan Cronto-Lösung der Bank, die Anforderungen für die dynamische PSD2-Verknüpfung zu erfüllen.

Weitere Informationen zum visuellen Ansatz beim Signieren von Transaktionen finden Sie unter OneSpan Cronto Seite .

ebook cover
E-Buch

Betrug durch Account-Übernahme: Wie Sie Ihre Kunden und Ihr Unternehmen schützen

Tragen Sie dazu bei, Betrug durch Account-Übernahmen zu verhindern und Kunden in jeder Phase ihrer digitalen Aktivitäten zu schützen.

Jetzt herunterladen