Was ist mobile Betrugserkennung?
Mobile Betrugsangriffe nehmen mit der zunehmenden Verbreitung von Mobilgeräten und mobilen Anwendungen weiter zu. Während der jüngste Anstieg des mobilen Bankings größtenteils auf COVID-19 zurückzuführen ist, wird das Wachstum bei der Nutzung von Mobiltelefonen weiter anhalten. Auch Betrüger sehen ihre Chance im mobilen Betrug. Die Zahl der mobilen Banking-Trojaner ist im ersten Quartal 2020 um satte 173 % gestiegen, und Branchenexperten berichten von einem weltweiten Anstieg der mobilen Phishing-Angriffe im ersten Quartal 2020 um 37 % im Vergleich zum Vorjahr. Um dies zu bekämpfen, nutzt die mobile Betrugserkennung verschiedene Technologien, wie z. B. Mobile App Shielding und Risikoanalysen, um Kontoübernahmen und andere Arten von Betrug zu verhindern. Hinter den Kulissen werden verschiedene Technologien eingesetzt, um betrügerische Aktivitäten zu erkennen und den Verbrauchern Schutz vor Betrug zu bieten, ohne die Benutzererfahrung zu beeinträchtigen.
Wie mobile Geräte und Apps den mobilen Betrug vorantreiben
Metriken zeigen, dass sich mobile Nutzer zunehmend auf ihre Geräte verlassen, um ihre Bankgeschäfte zu erledigen. Juniper Research berichtet, dass bis Ende 2021 weltweit mehr als zwei Milliarden mobile Nutzer ihre Geräte für Bankgeschäfte nutzen werden, verglichen mit 1,2 Milliarden im Jahr 2020. Während der Online-Kanal nach wie vor bedroht ist, investieren Betrüger mehr Zeit und Geld in Angriffe auf den mobilen Kanal, da die Verbraucher weltweit weiterhin E-Commerce-Ausgaben für Dinge wie Apps für Spiele, andere Ablenkungen und mehr tätigen. Laut Statistica"werden die Verbraucher im Jahr 2024 voraussichtlich 55,5 Milliarden US-Dollar für mobile Apps aus dem Google Play Store ausgeben. Die kombinierten Nutzerausgaben im App Store und bei Google Play werden bis 2024 fast 171 Milliarden US-Dollar erreichen."
Mobile Betrugserkennung, Verstehen gängiger mobiler Betrugstechniken
Angreifer verwenden eine Vielzahl von Techniken, um mobilen Betrug durchzuführen. Hier sind einige Beispiele:
- Reverse Engineering: Ein böser Akteur kann eine App zurückentwickeln, um ihren Quellcode und ihre Komponenten zu analysieren. Das Ziel wäre hier, Informationen zu sammeln, die zur Entwicklung von Malware, die den Betrieb der App ausnutzt, oder zur Manipulation der App verwendet werden können. Ein Angreifer könnte zum Beispiel eine eigene bösartige App bereitstellen, die darauf ausgelegt ist, Schwachstellen auszunutzen, die durch Reverse Engineering der Banking-App entdeckt wurden.
- Repackaging: Ein Repackaging-Angriff beginnt damit, dass ein Angreifer eine App zurückentwickelt, bösartigen Code in die App einfügt und dann die manipulierte App auf inoffiziellen Marktplätzen neu veröffentlicht. Für einen Verbraucher sieht es so aus, als ob er die richtige Anwendung heruntergeladen hätte und die App erscheint ihm als die legitime Anwendung. Hinter den Kulissen ist die gefälschte App jedoch ein Code, der persönliche Daten stiehlt, Gelder umleitet oder andere bösartige Aktivitäten durchführt.
- Overlay-Angriffe: Ein Overlay-Angriff besteht aus einem vom Angreifer generierten Bildschirm, der über der Benutzeroberfläche der legitimen Anwendung erscheint. Für das ahnungslose Opfer erscheint es wie ein normales Erlebnis innerhalb der App, aber sie geben ihre sensiblen Daten wie Benutzernamen, Kennwörter, Kreditkartennummern oder andere persönlich identifizierbare Informationen in ein Formular ein, das vom Angreifer kontrolliert wird. Die in das bösartige Fenster eingegebenen Informationen werden dann direkt an den Angreifer gesendet. Das Opfer dieses Betrugs weiß nicht, dass es gerade seine Daten weitergegeben hat. Neben dem Hijacking von Daten werden Overlay-Angriffe auch für Social Engineering genutzt. Sie können dazu verwendet werden, Menschen dazu zu verleiten, andere Malware zu installieren oder unsichere Aufgaben auf ihren mobilen Geräten auszuführen, z. B. einer Malware-App die volle Kontrolle über das Telefon des Benutzers zu gewähren.
- Rogue Keyboards: Auf dem App-Marktplatz gibt es zahlreiche legitime alternative Tastaturanwendungen, die die auf mobilen Geräten installierten nativen Tastaturen ersetzen. Einige dieser Tastatur-Apps weisen Schwachstellen auf, die von Angreifern ausgenutzt werden können, oder einige der Tastatur-Apps sind möglicherweise unseriös und speziell darauf ausgelegt, Tastenanschläge aufzuzeichnen und an einen Angreifer zu senden.
- Mobile Banking-Trojaner: Ein Mobile Banking-Trojaner scheint legitim zu sein, jedoch verbirgt sich dahinter Malware, die speziell auf eine Mobile Banking-App auf dem infizierten Gerät abzielt. Eine gängige Technik, die von mobilen Banking-Trojanern verwendet wird, ist ein Overlay-Angriff, bei dem ein gefälschter Bildschirm über eine legitime Banking-Anwendung gelegt wird (siehe "Overlay-Angriff" oben). Die Malware fängt die Authentifizierungsdaten des Opfers ab und kann aktiv bleiben, während andere Banktransaktionen durchgeführt werden. So kann die Malware beispielsweise Transaktionsdaten verändern, indem sie eine Überweisung abfängt und das Geld auf ein betrügerisches Konto umleitet. Diese Angriffe werden mit der weltweit zunehmenden Nutzung von Smartphones weiter zunehmen. Das FBIweist darauf hin, dass Sie beim Herunterladen von Apps auf Smartphones und Tablets vorsichtig sein sollten, da es sich bei einigen um Banking-Trojaner handeln könnte.
- Man-in-the-Middle-Angriffe: Bei einem Man-in-the-Middle-Angriff positioniert sich der Betrüger zwischen dem Finanzinstitut und dem Kunden, um die Kommunikation zwischen den beiden Parteien abfangen, bearbeiten, senden und empfangen zu können, ohne Verdacht zu erregen. Der Betrüger übernimmt den Kommunikationskanal zwischen dem Gerät des Kunden und dem Server, indem er ein bösartiges oder unseriöses Wi-Fi-Netzwerk als öffentlichen Hotspot (so genannter Rogue Access Point) einrichtet, um den Angriff durchzuführen. Der Kunde kann den öffentlichen Hotspot nutzen, ohne zu merken, dass er seine Zahlungsdaten über ein von einem Betrüger kontrolliertes Netzwerk überträgt. Die Kommunikation einer mobilen App sollte durch Dinge wie Certificate Pinning sicher implementiert werden, bei dem die App nur mit einem bestimmten Server kommuniziert, weil dieser ein bestimmtes Zertifikat verwendet, nach dem die mobile App sucht. Wenn Sie dies nicht tun, ist die App anfällig für einen Man-in-the-Middle-Angriff. Betrüger nutzen auch einen Man-in-the-Middle-Angriff, um sich zwischen ein SDK und den Endpunkt zu schalten, den es erreichen will. Dann treffen sie diesen Endpunkt kontinuierlich mit einer Reihe von Testaufrufen, um zurückzuentwickeln, welche Aufrufe eine erfolgreiche Aktion darstellen. Mit der Zeit erkennen sie, welche Parameter übergeben werden, um eine erfolgreiche Installation anzuzeigen. Sobald sie erfolgreich eine App "installiert" haben, fahren sie mit SDK-Spoofing fort.
- SIM-Tausch: Der Tausch einer SIM-Karte ist ein legitimer Service, der von Mobilfunkanbietern angeboten wird, wenn ein Kunde ein neues Gerät kauft und die alte SIM-Karte nicht mehr damit kompatibel ist. Ein schlechter Akteur kann diesen Dienst missbrauchen. Bei einem SIM-Swap nutzt ein Betrüger Social-Engineering-Techniken, um die Mobiltelefonnummer des Opfers auf eine neue SIM-Karte zu übertragen. Der Betrüger kontaktiert den Mobilfunkanbieter eines Kunden und gibt sich als der Kunde aus. Er überzeugt einen Callcenter-Agenten, die Mobiltelefonnummer auf die SIM-Karte zu portieren, die unter der Kontrolle des Betrügers steht. Dadurch kann die Banking-App des Benutzers auf dem Telefon des Betrügers aktiviert werden. Wenn der Authentifizierungsmechanismus der Bank Textnachrichten als Mittel zur Übermittlung von Einmalpasswörtern beinhaltet, wird die Übernahme der Nummer des Opfers zu einer attraktiven Möglichkeit für einen Kriminellen, betrügerische Transaktionen durchzuführen, Zahlungsempfänger hinzuzufügen oder andere Vorgänge während einer Banksitzung auszuführen.
- Mobiles Phishing: Eine Form des Phishings, Smishing, ist, wenn ein böser Akteur Ihnen einen Link schickt, um zu versuchen, Sie dazu zu bringen, darauf zu klicken. Ein Klick auf den Link kann dazu führen, dass eine Phishing-Seite geladen wird, auf der der Benutzer dazu verleitet wird, seine Anmeldedaten einzugeben, oder dass unwissentlich ein stiller Download von Überwachungsspyware auf das Gerät gestartet wird. Ziel ist es, unbefugten Zugriff auf persönliche, sensible und Unternehmensdaten zu erlangen, die auf dem Gerät gespeichert sind und auf die zugegriffen wird. Tiny URLs, d. h. verkürzte URLs, werden auch bei SMS-Phishing-Angriffen verwendet, um Sie zu bösartigen Inhalten zu leiten, und werden häufig bei groß angelegten Smishing-Angriffen eingesetzt.
Technologien, die die mobile Betrugserkennung stärken
Mobiler Betrug hat Auswirkungen auf Kunden und Finanzinstitute. Bestehende Kunden, die Opfer von Betrug werden, verlassen mit größerer Wahrscheinlichkeit ihr Finanzinstitut, und potenzielle Kunden sind möglicherweise vorsichtig, sich bei einer Bank anzumelden, die als lax in Bezug auf Betrugsprävention und Betrugslösungen gilt, da sich das Betrugsökosystem immer weiter entwickelt.
Technologien, Fähigkeiten und Lösungen zur mobilen Betrugserkennung
Mobile In-App Protection: Mobile In-App Protection ist ein Überbegriff für Sicherheits- und Authentifizierungstechnologien für mobile Apps, die Entwickler in mobile Apps integrieren können, um sie widerstandsfähiger gegen mobile Bedrohungen wie Repackaging, Malware, Script-Injection, Reverse Engineering, SMS-Grabbing und andere zu machen. Gartner sagt, dass sich selbst verteidigende Apps "entscheidend" sind, weil mobile Apps auf einer Vielzahl von nicht vertrauenswürdigen mobilen Geräten mit unterschiedlichen Sicherheitsniveaus laufen. Gartner empfiehlt Unternehmen, "sich für einen In-App-Schutz für kritische und hochwertige Anwendungen zu entscheiden, die in nicht vertrauenswürdigen Umgebungen ausgeführt werden und die Software-Logik auf das Frontend verlagern. Gartner empfiehlt Unternehmen außerdem, In-App-Schutz nicht als Ersatz für Sicherheitstests und Schwachstellen-Patches für Anwendungen zu verwenden und Best Practices für die sichere Programmierung zu übernehmen, bevor sie In-App-Schutzlösungen in Betracht ziehen.
Mobile In-App-Schutzlösungen bestehen aus Sicherheits- und Authentifizierungsfunktionen wie den folgenden:
- Mobile App Shielding mit Run-time Application Self Protection (RASP): App Shielding mit Laufzeitschutz kann Angriffe in Echtzeit erkennen und verhindern. Die Kombination aus Mobile App Shielding und Laufzeitschutz ermöglicht es, mobile Finanz-Apps sicher auszuführen, fremden Code zu blockieren, der in die Funktionalität der App eingreift, oder die Anwendung abzuschalten, wenn eine Bedrohung für Daten besteht. Die Integration von App Shielding mit Laufzeitschutz schützt auch sensible Informationen vor Cyberkriminellen, selbst auf nicht vertrauenswürdigen mobilen Geräten.
Run-Time Application Self-Protection (RASP), ein von Gartner geprägter Begriff, schützt mobile Apps vor dem Eindringen von verschiedenen Arten von Malware. RASP ist nativ in die mobile App integriert und entschärft bösartige Angriffe, die auf die App abzielen, indem es diese erkennt und die App herunterfährt, bevor sensible Daten kompromittiert und für Betrug verwendet werden können. Es stärkt die Sicherheit mobiler Apps, indem es potenzielle Bedrohungen neutralisiert und sensible Daten und hochwertige Transaktionen vor Hackern schützt.
App Shielding mit Laufzeitschutz ist ein Präventionswerkzeug, das die mobile App schützt, indem es den Betrieb der App auf einem Emulator oder bei Eingriffen durch einen Debugger verhindert. Dies sind Tools, mit denen Reverse-Engineers eine App abfragen und Schwachstellen finden können. Es erkennt u. a. bösartiges Keylogging, neu gepackte Anwendungen und jailbroken oder gerootete Geräte.
Finanzinstitute können Risikoanalyse-Technologien (Risk Engine) mit Mobile-App-Shielding- und Mobile-Security-Technologien koppeln, um zusätzliche Informationen über die App in ihrer Laufzeitumgebung zu sammeln, um das Betrugsmanagement zu optimieren und die sichere Funktion der Banking-App in einer riskanten Umgebung zu ermöglichen.
Application Hardening, auch als Präventionsfähigkeiten bezeichnet, erhöht den Aufwand für den Angreifer, einen Angriff auszuführen. -
Risikobasierte Authentifizierung: Die risikobasierte Authentifizierung (RBA), die Algorithmen des maschinellen Lernens verwendet, hilft bei der Verhinderung von mobilem Betrug, indem sie den Risikograd für jede Finanztransaktion bestimmt und festlegt, welche Stufe der Kundenauthentifizierung für jede Transaktion erforderlich ist. RBA passt den Grad der erforderlichen Kundenauthentifizierung an das jeweilige Risiko an und trägt dazu bei, falsch-positive Ergebnisse zu reduzieren, was bedeutet, dass weniger Kunden fälschlicherweise wegen Betrugsbedenken abgewiesen werden. In der Vergangenheit haben sich viele Unternehmen auf eine Art der Authentifizierung für alle Kunden und Transaktionen verlassen: statische Passwörter und Benutzernamen, also eine binäre Authentifizierung. Passwörter und Benutzernamen gelten als schwache Sicherheitsvorkehrungen, weil sie für Betrüger so leicht zu stehlen und auszunutzen sind. Auf der anderen Seite ist die risikobasierte Authentifizierung eine Form der starken Authentifizierung, weil sie dem Benutzer und seiner Transaktion einen Kontext gibt, um den Risikograd und die Betrugsanfälligkeit zu bestimmen. Im Falle einer risikoreichen Transaktion wird der Benutzer zu einer zusätzlichen Authentifizierung aufgefordert, um seine Identität zu bestätigen. Es gibt drei gängige Faktoren, die zur Authentifizierung verwendet werden: Etwas, das Sie wissen, etwas, das Sie haben, und etwas, das Sie sind. Die gängigste Authentifizierung ist etwas, das Sie kennen und kann ein Passwort oder eine einfache persönliche Identifikationsnummer (PIN) sein. Allerdings ist es auch am einfachsten für Betrüger zu schlagen. Der Faktor "Etwas, das Sie haben" bezieht sich auf Elemente wie ein mobiles Gerät oder Hardware-Authentifizierungs-Tokens, die einen einmaligen Passcode für den einmaligen Gebrauch generieren. Smartphone-basierte Optionen, wie eine Push-Benachrichtigung und ein Einmal-Passwort (OTP), liefern auch eine Multi-Faktor-Verifizierung (MFA). Biometrie ist der Faktor "etwas, das Sie sind" und kann Fingerabdrücke, Gesichtsscans oder Sprachanalyse sein und ist Teil einer Entwicklung hin zu passwortlosen Anmeldungen. Die drei Faktoren der Authentifizierung werden oft kombiniert, um eine stärkere Sicherheit zu bieten und Betrüger zu vereiteln. Die Kombination eines Fingerabdruck-Scans mit einem Einmal-Passcode verstärkt die Sicherheit und ist ein Beispiel für eine Multi-Faktor-Authentifizierung.
-
Out-of-Band-Authentifizierung: Die Out-of-Band-Authentifizierung ist eine Art der Zwei-Faktor-Authentifizierung (2FA), die neben der typischen ID und dem Passwort eine zweite Verifizierungsmethode über einen separaten Kommunikationskanal erfordert. Zum Beispiel könnte es den Desktop des Kunden als einen Kanal und sein Mobiltelefon als einen anderen Kanal beinhalten. Es ist für einen Angreifer schwieriger, zwei verschiedene Kanäle zu kompromittieren, was die Wahrscheinlichkeit einer erfolgreichen Kontoübernahme verringert, da der Angreifer zwei separate Kanäle kompromittieren müsste, um Zugriff zu erhalten. Die Out-of-Band (OOB)-Authentifizierung wird von Finanzinstituten und anderen Organisationen mit hohen Sicherheitsanforderungen verwendet. Es erschwert das Hacken eines Kontos, da zwei separate und nicht miteinander verbundene Authentifizierungskanäle gleichzeitig kompromittiert werden müssten, damit ein Angreifer Zugriff erhält.
-
Multi-Faktor-Authentifizierung: Die Multi-Faktor-Authentifizierung (MFA) verwendet mehrere Technologien, um die Identität des Kunden zu authentifizieren, und sie müssen Verifizierungstechnologien aus mindestens zwei verschiedenen Gruppen oder Authentifizierungsfaktoren kombinieren. Zu den Authentifizierungsfaktoren gehören:
Etwas, das Sie wissen: Ein Passwort, eine PIN, eine Passphrase oder Fragen und die entsprechenden Antworten.
Etwas, das Sie haben: Die meisten Menschen verwenden ihr Smartphone mit einer Authentifizierungs-App als das Gerät, das diese Codes generiert oder sie mit einem einmaligen Passcode im Hintergrund an einen Server zurücksenden lässt.
Etwas, das Sie sind: Dies ist alles von Fingerabdrücken, Retina-Scans, Gesichtserkennung, Stimmerkennung oder das Verhalten eines Benutzers (z. B. wie stark oder schnell er auf einem Bildschirm tippt oder wischt), das verwendet werden kann, um einen eindeutigen Benutzer zu identifizieren.
Um eine Multi-Faktor-Authentifizierung zu erreichen, müssen mindestens zwei verschiedene Technologien aus mindestens zwei verschiedenen Technologiegruppen für den Authentifizierungsprozess verwendet werden. Folglich würde die Verwendung einer PIN in Verbindung mit einem Passwort nicht als Multi-Faktor-Authentifizierung gelten, die Verwendung einer PIN mit Gesichtserkennung als zweitem Faktor hingegen schon. Es ist auch zulässig, mehr als zwei Formen der Authentifizierung zu verwenden. Die meisten Benutzer wünschen sich jedoch zunehmend eine reibungslose Authentifizierung (die Möglichkeit, verifiziert zu werden, ohne eine Verifizierung durchführen zu müssen). MFA kann z. B. Kontoübernahmebetrug und Phishing verhindern. -
Cronto®: Ein Cronto® oder QR-ähnlicher Code kann eine Finanztransaktion authentifizieren oder autorisieren und erhöht den Schutz für Transaktionen mit hohem Wert. Der Kunde sieht ein grafisches Kryptogramm, das einem QR-Code ähnelt und im Browser seines Computers angezeigt wird. Nur die Bank kann den Code generieren, so dass er vertrauenswürdig ist, um einen sicheren Kanal zwischen Kunde und Bank einzurichten. Wenn Sie eine Transaktion durchführen wollen, geben Sie die Zahlungsdaten in der Online-Banking-Anwendung im Browser ein. Sie sehen dann den QR-ähnlichen Code und scannen ihn mit der Kamera Ihres Mobilgeräts. Ihr Gerät entschlüsselt sie, entschlüsselt die Zahlungsdaten und zeigt sie Ihnen auf Ihrem Handy im Klartext an. Dieser Ansatz erfüllt die Anforderungen an die dynamische Verknüpfung, die im Regulatory Technical Standard der überarbeiteten Zahlungsdiensterichtlinie (PSD2) der Europäischen Union beschrieben sind.
Zusätzliche mobile Sicherheitsfunktionen, die bei der mobilen Betrugserkennung helfen:
- Die Code-Verschleierung verschlüsselt den Code und macht es einem Angreifer schwerer, die Funktionsweise der Anwendung zurückzuentwickeln. Folglich sollte eine Anwendung, die schwieriger zu lesen ist, auch schwieriger anzugreifen sein, um ihr geistiges Eigentum zu stehlen.
- White Boxing oder White-Box-Kryptografie: Die so genannte White-Box-Kryptografie wird verwendet, um zu verhindern, dass ein Angreifer die von einer App verwendeten Verschlüsselungsschlüssel aufdeckt, indem eine Kombination aus Verschlüsselung und Verschleierung verwendet wird oder der Code so verschlüsselt wird, dass er schwer zu verstehen ist. In anderen Fällen besteht der Grund für White Boxing darin, einen betriebssystemunabhängigen Sicherheitsmechanismus anzubieten, der geheime Schlüssel selbst dann schützt, wenn der Angreifer irgendwie das mobile Betriebssystem oder das Gerät kompromittiert.
- Certificate Pinning: Anstatt jedes beliebige Zertifikat aus einem bestimmten Bereich von Zertifizierungsstellen zu akzeptieren, ermöglicht Pinning den am gegenseitigen Authentifizierungsprozess beteiligten Parteien, bestimmte Zertifikate festzulegen - was bedeutet, dass nur diese Zertifikate akzeptiert werden. Wenn ein Angreifer ein Zertifikat fälscht, selbst wenn dieses Zertifikat von einer legitimen Zertifizierungsstelle stammt, wird es von der kommunizierenden Partei zurückgewiesen, um einen Man-in-the-Middle-Angriff zu verhindern.
Wie mobile Anwendungen anfällig sein können
Entwickler von mobilen Apps wissen letztlich nicht, wie ihre Apps genutzt werden, ob es sich um mobilen Anzeigenbetrug, mobilen Bankbetrug oder in welcher Umgebung. Daher besteht immer die Gefahr, dass eine Bank-App von Malware auf dem Gerät angegriffen wird und zu Betrugsverlusten für ein Finanzinstitut führt. Obwohl der Apple App Store und der Google Play Store einen großen Teil der Malware herausfiltern, ist App-Betrug eine Möglichkeit. Bösartige Anwendungen existieren in den App-Stores und warten darauf, heruntergeladen zu werden, um persönliche Daten zu stehlen oder bösartigen Code in das Mobilgerät oder eine andere App zu injizieren. Selbst wenn Benutzer nur Apps aus offiziellen Stores herunterladen, könnte etwas Bösartiges durchschlüpfen, und wenn sich eine bösartige App auf dem Gerät eines Benutzers befindet, stellt dies ein potenzielles Risiko für die App des Entwicklers dar.
Ein weiterer Irrglaube ist, dass die Betriebssysteme iOS und Android ausreichende Sicherheit für das mobile Gerät und damit auch für die mobilen Apps bieten. Dies ist bis zu einem gewissen Grad richtig. Android und iOS verwenden zwar viel Zeit auf das Patchen ihrer Betriebssysteme, um Schwachstellen zu beseitigen, aber keines der beiden Systeme ist zu 100 % sicher, und sie können keine Fahrlässigkeit der Benutzer berücksichtigen. Entwickler von mobilen Apps können sich nicht einfach auf die Sicherheit von Android oder iOS verlassen und müssen zusätzliche Maßnahmen ergreifen, um ihre Apps sicher zu machen. Es ist auch zu beachten, dass es immer eine Zeitspanne zwischen einer identifizierten Sicherheitslücke und einem Patch gibt, der von den Herstellern und Mobilfunkanbietern veröffentlicht wird. Wenn der Patch nicht heruntergeladen wird, kann es passieren, dass ein Benutzer mit einer längst veralteten Version des Betriebssystems arbeitet, die viele Möglichkeiten für Angreifer und bösartigen Code bietet.
Sicherheit für Banking-Apps erforderlich
Das Open Web Application Security Project (OWASP), eine internationale Gemeinschaft von branchenführenden Technologen, Datensicherheitsexperten und Entwicklern, hat eine unabhängige Baseline für die Sicherheit mobiler Anwendungen entwickelt: den Mobile App Security Verification Standard (MASVS). Das Open Web Security Project bietet eine unvoreingenommene Anleitung zu empfohlenen Sicherheitsfunktionen für iOS- und Android-Mobil-Apps, abhängig von ihrer Funktion. Bank- und Finanzdienstleistungsanwendungen erfordern aufgrund ihrer sensiblen Daten den strengsten Sicherheitsstandard nach OWASP. Außerdem müssen sie resistent gegen Reverse Engineering sein. Banking-Apps bedienen ein großes, vielfältiges Publikum, das eine Vielzahl von Geräten mit unterschiedlichen Betriebssystemen nutzt, und daher ist besondere Vorsicht geboten. Banking-Apps fallen unter den MASVS L2+R des Open Web Application Security Project (OWASP), den strengsten Sicherheitsstandard.