FBIはモバイルバンキングの脅威の増加を警告：誰が責任を負うのか-銀行かユーザーか？

Samuel Bakken, 2020年6月12日

COVID-19とそれに関連する在宅注文がリモートデジタルバンキングの増加につながることは明らかでした。そして今、私たちはその仮定が真であることを証明するハードデータを見ています。同時に、FBIなどの法執行機関は、モバイルバンキングプラットフォームを利用して人々を詐欺するための時間と労力の投資を増やすことで、攻撃者がデジタルバンキング活動のうねりに対応していることを消費者に警告しています。

はい、私たちは、警戒心を持ち、銀行が提供するセキュリティ機能を利用することについて消費者を教育する必要があります。しかし、彼らは彼らを安全に保つために彼らの銀行、デバイスメーカー、そして/またはセルキャリアにほぼ完全に依存しています。金融機関は、ユーザーを保護するために、最新かつ最も優れたモバイルアプリのセキュリティテクノロジーへの投資も確実に増やす責任を負う必要があると私は主張します。

脅威の急増は、モバイルバンキングアクティビティの急増に遅れをとることはできません。

米国連邦捜査局（FBI）が引用したデータによると、公共サービスの案内数日前に発表された「米国の財務データの調査は、2020年の初め以来、モバイルバンキングの50％の急増を示しています。」あ最近のAite調査 2,413米国の 2020年第1四半期の消費者は、シニアミレニアルの86％、若いミレニアルの83％、ジェネレーションXの72％、団塊世代の38％、およびシニアの17％が、少なくとも週に1回は携帯電話を使用して銀行口座にログインしていることを発見しました。

モバイルコーポレートバンキングの取引でさえ量が増えています。シティレポート企業のモバイルバンキングアプリであるCitiDirect BEのユーザー数は、2020年3月に2019年3月よりも10倍に増加しました。

ビジネスパーソンもサイバー犯罪者も、次の機会がどこにあるかについてのヒントを得るために、市場のトレンドを追っています。モバイルバンキングのトランザクション量が増えると、モバイルチャネルは攻撃者にとってより標的になります。

FBIが警告しているモバイルのリスクは何ですか？

発表では、FBIはモバイルバンキングのトロイの木馬や偽のバンキングアプリなどのモバイルの脅威について消費者に警告します。

モバイルバンキングのトロイの木馬は正当なアプリのように見えますが、実際にはその中に悪意のあるコードが含まれています。ユーザーが正当なバンキングアプリを開くと、待機していたモバイルバンキング型トロイの木馬が動作し、正当なアプリの上部に偽のログイン画面を配置して、ユーザーをだましてバンキングの認証情報を漏らすことを目的としています。以下のようなAndroidの脆弱性ストランドホッグ、 StrandHogg 2.0 、およびその他の人々は、この種の攻撃を可能にします。

次に、攻撃者は、実際に悪意のある目的を持つ正当な銀行アプリのように見せかけた偽のモバイルバンキングアプリを作成します。FBIは、2018年に「主要なアプリストア」で約65,000の偽アプリが見つかったというデータを引用しています。ユーザーがこれらの偽のアプリの1つをダウンロードするように騙された場合、ログオンしようとすると資格情報が公開される可能性があります。より洗練されたスキームでは、これらのアプリはまた、SMSメッセージにアクセスするための許可を求めます 2要素認証をバイパスする。

ユーザーは自分自身を保護できますか？

FBIは、モバイルバンキングに対する攻撃のこの予測された上昇から身を守るために、消費者にいくつかの提案を提供します。

強力な2要素認証を使用します。 FBIが生体認証、認証アプリ、またはハードウェアトークンを推奨していることを嬉しく思いますが、この目的でSMSメッセージを推奨していません。SMSメッセージは何よりも優れており、脆弱であることがわかっています。
電子メールまたはテキストメッセージのリンクをクリックしないでください。フィッシング詐欺師もモバイルユーザーを狙うため、消費者は警戒する必要があります。偽のバンキングアプリは、悪意のあるサイトでホストされることがよくあります。ユーザーはフィッシング詐欺を利用して騙されます。
適切なパスワードの衛生管理を実践します。パスワードを再利用しないでください。電話でパスワードを入力しないでください。パスワードは、文字の数や種類の点でできるだけ複雑であることを確認してください。

これらはすべて良いアドバイスですが、消費者の銀行がそのようなセキュリティ機能やポリシーを利用できないようにしておけば、まったく意味がありません。たとえば、まだあります二要素認証を提供しない銀行顧客に。一部の銀行では、顧客に送信する電子メールにリンクが含まれています。この時代には、それは避けるべきだと私は主張します。さらに、消費者が覚えておくべきパスワードの数はいくつですか？また、すべての銀行がパスワードマネージャの使用を許可するわけではありません。バイオメトリクスまたはプッシュ通知を介したより強力で安全な認証が利用可能であり、これらの銀行が不正を防止するために使用する必要があります。

銀行は何ができますか？

多くの銀行は、モバイルバンキングアプリと顧客のセキュリティを確保するために、すでにトーチを採用しています。それでも、モバイル端末を介してリモートでサービスを提供できるようにするために、このウェイクアップコールに注意する必要がある人もいます。これは、消費者が銀行とやり取りする方法として急速に普及しています。さらに、金融機関は、ユーザーに安全なモバイルバンキングエクスペリエンスを提供するために、十分な注意を払う必要があります。

安全で便利なモバイルバンキングエクスペリエンスを提供するために銀行ができることは次のとおりです。

認証へのアプローチをアップグレードして、バイオメトリクス、モバイルプッシュ通知など、より安全で便利な認証方法を提供します。
開発者に、モバイルバンキングアプリで処理されるデータを保護するために、実証済みのSDKなどの必要なツールを提供します。これにより、保存中および転送中のアプリデータが強力な暗号化で保護されます。
アプリシールドやランタイム保護などの高度なモバイルアプリセキュリティテクノロジーを統合して、モバイルバンキングアプリと一緒に移動し、FBIによってリストされたモバイルマルウェアや脅威からユーザーを保護します。

OneSpanは、世界のトップ100の銀行の半数以上がユーザーに安全なデジタルエクスペリエンスを提供するのに役立ちます。また、モバイルセキュリティスイート、アプリシールド、およびその他の製品やサービスを通じて、世界最大の銀行のいくつかがモバイルのセキュリティを確保するのに役立ちます銀行の経験。