Le FBI met en garde contre l'augmentation des menaces bancaires mobiles: qui est responsable - les banques ou les utilisateurs?

Il semblait évident que COVID-19 et les commandes de séjour à domicile associées entraîneraient une augmentation des services bancaires à distance numériques. Et maintenant, nous voyons des données solides prouvant que cette hypothèse est vraie. Dans le même temps, les organismes d'application de la loi, tels que le FBI, avertissent les consommateurs que les attaquants réagissent à la hausse de l'activité bancaire numérique en augmentant leurs investissements en temps et en efforts pour frauder les gens en exploitant les plates-formes bancaires mobiles.

Oui, nous devons éduquer les consommateurs à la vigilance et à profiter des fonctionnalités de sécurité offertes par leur banque. Mais, ils sont presque entièrement dépendants de leur banque, du fabricant de leur appareil et / ou de leur support cellulaire pour assurer leur sécurité. Je soutiens que les institutions financières doivent prendre leurs responsabilités pour s'assurer qu'elles augmentent également leurs investissements dans la technologie de sécurité des applications mobiles la plus récente et la plus performante pour protéger leurs utilisateurs.

Une augmentation des menaces ne peut pas être loin derrière une augmentation des activités bancaires mobiles

Selon les données citées par le Federal Bureau of Investigation (FBI) américain dans un Message d'intéret public publié il y a quelques jours, «Les études des données financières américaines indiquent une augmentation de 50% des services bancaires mobiles depuis le début de 2020». UNE récent sondage Aite de 2413 US Au T1 2020, les consommateurs ont constaté que 86% des personnes âgées de la génération Y, 83% des jeunes de la génération Y, 72% des membres de la génération X, 38% des baby-boomers et 17% des personnes âgées se connectent à des comptes bancaires à l'aide de leur téléphone portable au moins une fois par semaine.

Même les transactions bancaires mobiles des entreprises augmentent en volume. Rapports Citi une multiplication par dix du nombre d'utilisateurs de son application de banque mobile d'entreprise, CitiDirect BE, en mars 2020 par rapport à mars 2019.

Les hommes d'affaires et les cybercriminels suivent les tendances du marché pour savoir où trouver leur prochaine opportunité. L'augmentation du volume des transactions bancaires mobiles fait du canal mobile une cible plus juteuse pour les attaquants.

Quels sont les risques liés au mobile sur lesquels le FBI met en garde?

Dans l'annonce, le FBI met en garde les consommateurs contre les menaces mobiles, telles que les chevaux de Troie bancaires mobiles et les fausses applications bancaires. 

Les chevaux de Troie bancaires mobiles semblent être des applications légitimes, mais contiennent en fait du code malveillant. Lorsqu'un utilisateur ouvre une application bancaire légitime, le cheval de Troie bancaire mobile qui attendait entre en action et place un écran de connexion contrefait au-dessus de l'application légitime dans le but de tromper un utilisateur en divulguant ses informations bancaires. Vulnérabilités Android, telles que StrandHogg , StrandHogg 2.0 , et d'autres, rendent possibles ce genre d'attaques.

Deuxièmement, les attaquants créeront de fausses applications bancaires mobiles conçues pour ressembler à des applications bancaires légitimes qui ont en fait des objectifs malveillants. Le FBI cite des données selon lesquelles, en 2018, près de 65 000 fausses applications ont été trouvées sur les «principaux magasins d'applications». Si un utilisateur est dupe de télécharger l'une de ces fausses applications, il peut exposer ses informations d'identification lorsqu'il tente de se connecter. Dans des schémas plus sophistiqués, ces applications demanderont également des autorisations pour accéder aux messages SMS afin de contourner l'authentification à deux facteurs .

Les utilisateurs sont-ils capables de se protéger?

Le FBI fournit un certain nombre de suggestions aux consommateurs pour se protéger contre cette reprise prévue des attaques contre les services bancaires mobiles:

• Utilisez une authentification forte à deux facteurs: Je suis heureux de voir que le FBI recommande la biométrie, les applications d'authentification ou les jetons matériels, mais ne recommande pas les messages SMS à cet effet. Les messages SMS valent mieux que rien mais sont connus pour être vulnérables.
   
• Évitez de cliquer sur des liens dans des e-mails ou des SMS: Les hameçonneurs ciblent également les utilisateurs mobiles, les consommateurs doivent donc se méfier. Les fausses applications bancaires sont souvent hébergées sur des sites malveillants. Les utilisateurs sont amenés à visiter via des schémas de phishing.
   
• Pratiquez une bonne hygiène des mots de passe: Ne réutilisez pas les mots de passe. Ne donnez pas votre mot de passe par téléphone et assurez-vous qu'il est aussi compliqué qu'il peut l'être en termes de nombre et de types de caractères.

Tout cela est un bon conseil, mais cela ne sert à rien si une banque de consommateurs ne leur permet pas de tirer parti de ces capacités et politiques de sécurité. Par exemple, il y a encore les banques qui n'offrent pas d'authentification à deux facteurs à leurs clients. Certaines banques incluent toujours des liens dans les e-mails qu'elles envoient aux clients. De nos jours, je dirais que cela devrait être évité. De plus, combien de mots de passe pouvons-nous nous attendre à ce que les consommateurs se souviennent? Et toutes les banques n'autoriseront pas l'utilisation de gestionnaires de mots de passe. Une authentification plus forte et plus sécurisée via la biométrie ou la notification push est disponible et devrait être utilisée par ces banques pour aider à prévenir la fraude.

Que peuvent faire les banques?

De nombreuses banques ont déjà repris le flambeau pour assurer la sécurité de leurs applications bancaires mobiles et de leurs clients. Pourtant, certains doivent tenir compte de ce réveil pour s'assurer qu'ils peuvent fournir des services à distance via des appareils mobiles, ce qui devient rapidement le moyen préféré des consommateurs d'interagir avec leur banque. En outre, les institutions financières doivent également veiller à faire preuve de diligence raisonnable en fournissant des expériences bancaires mobiles sécurisées à leurs utilisateurs.

Ce que les banques peuvent faire pour offrir des expériences bancaires mobiles sécurisées et pratiques comprend:

1. Mettez à niveau leur approche de l'authentification pour offrir des méthodes d'authentification plus sécurisées et plus pratiques, telles que la biométrie, les notifications push mobiles, etc.
    
2. Donnez à leurs développeurs les outils dont ils ont besoin, tels que des SDK éprouvés, pour sécuriser les données traitées par leurs applications bancaires mobiles. Cela garantira que les données de l'application au repos et en transit sont protégées par un cryptage puissant.
    
3. Intégrez une technologie de sécurité d'application mobile sophistiquée, telle que le blindage d'application et la protection d'exécution, qui accompagne l'application de banque mobile pour protéger les utilisateurs contre les logiciels malveillants mobiles et les menaces répertoriés par le FBI.

OneSpan aide plus de la moitié des 100 premières banques mondiales à offrir des expériences numériques sécurisées à leurs utilisateurs, et grâce à notre suite de sécurité mobile, le blindage d'applications et d'autres produits et services, nous aidons certaines des plus grandes banques du monde à assurer la sécurité de leur mobile expériences bancaires. 

White Paper

Mobile App Shielding: How to Reduce Fraud, Save Money, and Protect Revenue

Discover how app shielding with runtime-protection is key to developing a secure, resilient mobile banking app.

Download Now