Wat is mobiele fraudedetectie?
Aanvallen op mobiele fraude blijven toenemen naarmate mobiele apparaten en mobiele toepassingen populairder worden. Hoewel de recente sterke toename van mobiel bankieren grotendeels is toe te schrijven aan COVID-19, zal het gebruik van mobiele telefoons blijven toenemen. Fraudeurs zien ook kansen in mobiele fraude. Het aantal Trojaanse paarden voor mobiel bankieren is in het eerste kwartaal van 2020 met maar liefst 173% gestegen en deskundigen uit de sector melden dat het aantal mobiele phishingaanvallen in het eerste kwartaal van 2020 wereldwijd met 37% is toegenomen ten opzichte van het voorgaande jaar. Om dit tegen te gaan, maakt mobiele fraudedetectie gebruik van verschillende technologieën, zoals afscherming van mobiele apps en risicoanalyses, om accountovername en andere vormen van fraude te helpen voorkomen. Achter de schermen worden verschillende technologieën gebruikt om frauduleuze activiteiten op te sporen en consumenten tegen fraude te beschermen zonder dat dit gevolgen heeft voor hun gebruikerservaring.
Hoe mobiele apparaten en apps mobiele fraude in de hand werken
Uit de statistieken blijkt dat mobiele gebruikers voor hun bankzaken steeds meer op hun toestellen vertrouwen. Juniper Research meldt dat tegen eind 2021 wereldwijd meer dan twee miljard mobiele gebruikers hun toestellen voor bankzaken zullen hebben gebruikt, tegenover 1,2 miljard in 2020. Hoewel het onlinekanaal nog steeds wordt bedreigd, investeren fraudeurs meer tijd en geld in aanvallen op het mobiele kanaal nu consumenten wereldwijd hun e-commercebestedingen voortzetten aan zaken als apps voor games, andere afleidingen en meer. Volgens Statistica"zullen consumenten in 2024 naar verwachting 55,5 miljard dollar uitgeven aan mobiele apps uit de Google Play Store. De gecombineerde gebruikersuitgaven in de App Store en Google Play zullen tegen 2024 bijna 171 miljard dollar bedragen."
Opsporing van mobiele fraude, inzicht in veel voorkomende mobiele fraudetechnieken
Aanvallers gebruiken verschillende technieken om mobiele fraude te plegen. Hier zijn enkele voorbeelden:
- Reverse Engineering: Een kwaadwillende kan een app reverse engineeren om de broncode en onderdelen te analyseren. Het doel zou hier zijn om informatie te verzamelen die kan worden gebruikt om malware te ontwikkelen die misbruik maakt van de werking van de app, of om met de app te knoeien. Een aanvaller kan bijvoorbeeld zijn eigen kwaadaardige app implementeren om kwetsbaarheden uit te buiten die door reverse engineering van de bank-app zijn ontdekt.
- Herverpakking: een herverpakkingsaanval begint met een aanvaller die een app reverse-engineered, kwaadaardige code in de app invoegt en de gemanipuleerde app vervolgens opnieuw publiceert op onofficiële marktplaatsen. Voor een consument zal het lijken alsof hij de juiste applicatie heeft gedownload en de app zal voor hem overkomen als de legitieme applicatie. Achter de schermen is de namaak-app echter code die persoonlijke informatie steelt, geld omleidt of andere kwaadaardige activiteiten uitvoert.
- Overlay-aanvallen: Een overlay-aanval bestaat uit een door de aanvaller gegenereerd scherm dat boven op de gebruikersinterface van de legitieme applicatie verschijnt. Voor het nietsvermoedende slachtoffer lijkt het een normale ervaring binnen de app, maar ze zullen hun gevoelige informatie, zoals gebruikersnamen, wachtwoorden, creditcardnummers of andere persoonlijk identificeerbare informatie, invoeren in een formulier dat door de aanvaller wordt gecontroleerd. De informatie die in het kwaadaardige venster wordt ingevoerd, wordt dan rechtstreeks naar de aanvaller gestuurd. Het slachtoffer van deze fraude weet niet dat hij zojuist zijn informatie heeft overhandigd. Naast het kapen van gegevens worden overlay-aanvallen ook gebruikt voor social engineering. Ze kunnen worden gebruikt om mensen ertoe te verleiden andere malware te installeren of onveilige taken uit te voeren op hun mobiele toestellen, bijvoorbeeld door een malware-app volledige controle te geven over de telefoon van de gebruiker.
- Rogue Keyboards: Op de app-marktplaats zijn tal van legitieme alternatieve toetsenbordapplicaties te vinden ter vervanging van de eigen toetsenborden die op mobiele apparaten zijn geïnstalleerd. Sommige van deze toetsenbord-apps hebben kwetsbaarheden die aanvallers kunnen misbruiken of sommige van de toetsenbord-apps kunnen malafide zijn en specifiek zijn ontworpen om toetsaanslagen op te nemen en naar een aanvaller te sturen.
- Trojaanse paarden voor mobiel bankieren: Een Trojaans paard voor mobiel bankieren lijkt legitiem, maar verbergt malware die specifiek gericht is op een app voor mobiel bankieren op het apparaat dat het heeft geïnfecteerd. Een veelgebruikte techniek van Trojaanse paarden voor mobiel bankieren is een overlay-aanval waarbij een vals scherm bovenop een legitieme banktoepassing wordt geplaatst (zie "Overlay-aanval" hierboven). De malware vangt de verificatiegegevens van het slachtoffer op en kan actief blijven terwijl andere banktransacties worden uitgevoerd. De malware kan bijvoorbeeld transactiegegevens wijzigen door een overboeking te onderscheppen en het geld om te leiden naar de rekening van de fraudeur. Deze aanvallen zullen alleen maar toenemen naarmate het gebruik van smartphones wereldwijd blijft toenemen. De FBI merkt op dat het het beste is om voorzichtig te zijn met het downloaden van apps op smartphones en tablets, aangezien sommige ervan banking Trojans kunnen zijn.
- Man-in-the-Middle-aanvallen: bij eenMan-in-the-Middle-aanval plaatst de fraudeur zich tussen de financiële instelling en de klant om de communicatie tussen beide partijen te kunnen onderscheppen, bewerken, verzenden en ontvangen zonder enige verdenking te wekken. De fraudeur neemt het communicatiekanaal tussen het apparaat van de klant en de server over door een kwaadaardig of malafide Wi-Fi-netwerk op te zetten als een openbare hotspot (bekend als een rogue access point) om de aanval te laten plaatsvinden. De klant kan gebruik maken van de openbare hotspot zonder te beseffen dat hij zijn betalingsgegevens doorgeeft via een netwerk dat door een fraudeur wordt beheerd. De communicatie van een mobiele app moet veilig worden uitgevoerd door middel van zaken als certificate pinning, waarbij de app alleen met een specifieke server zal communiceren omdat deze een specifiek certificaat gebruikt waarnaar de mobiele app op zoek is. Als u dat niet doet, is de app kwetsbaar voor een Man-in-the-Middle-aanval. Fraudeurs maken ook gebruik van een Man-in-the-Middle-aanval om zich tussen een SDK en het eindpunt te plaatsen dat het wil bereiken. Vervolgens raken ze dat eindpunt voortdurend met een reeks testoproepen om te achterhalen welke oproepen een succesvolle actie vertegenwoordigen. Na verloop van tijd identificeren ze welke parameters worden doorgegeven om een succesvolle installatie aan te geven. Zodra ze met succes een app "installeren", gaan ze verder met SDK spoofing.
- SIM-omruil: Het omruilen van een SIM-kaart is een legitieme dienst die mobiele telefoonaanbieders aanbieden wanneer een klant een nieuw toestel koopt en de oude SIM-kaart niet meer compatibel is met het toestel. Een slechte acteur kan deze dienst misbruiken. Bij een sim-swap gebruikt een fraudeur social engineering-technieken om het gsm-nummer van het slachtoffer op een nieuwe simkaart over te zetten. De fraudeur neemt contact op met de mobiele-telefoonmaatschappij van een klant en doet zich voor als de klant, waarbij hij een callcenter-agent ervan overtuigt het mobiele-telefoonnummer over te zetten op de SIM-kaart die onder controle van de fraudeur staat. Daardoor kan de bankieren-app van de gebruiker worden geactiveerd op de telefoon van de fraudeur. Als het verificatiemechanisme van de bank tekstberichten omvat als middel om eenmalige wachtwoorden te verstrekken, dan wordt het overnemen van het nummer van het slachtoffer voor een crimineel een aantrekkelijke manier om frauduleuze transacties uit te voeren, begunstigden toe te voegen of andere handelingen te verrichten tijdens een banksessie.
- Mobile phishing: smishing is een vorm van phishing waarbij een kwaadwillende u een link sms't om u ertoe te verleiden erop te klikken. Als op de link wordt geklikt, kan dit leiden tot het laden van een phishingpagina waar de gebruiker wordt misleid tot het invoeren van zijn inloggegevens, of kan onbewust een stille download van bewakingsspionware op het toestel worden gestart. Het doel is ongeoorloofde toegang te krijgen tot persoonlijke, gevoelige en bedrijfsgegevens die op het apparaat zijn opgeslagen en toegankelijk zijn. Tiny URL's, verkorte URL's, worden ook gebruikt bij sms-phishingaanvallen om u naar kwaadaardige inhoud te leiden en worden vaak gebruikt bij grootschalige smishingaanvallen.
Technologieën die de opsporing van mobiele fraude versterken
Mobiele fraude heeft gevolgen voor klanten en financiële instellingen. Bestaande klanten die het slachtoffer worden van fraude zullen eerder geneigd zijn hun financiële instelling te verlaten en potentiële klanten zullen wellicht huiverig zijn om in zee te gaan met een bank die als laks wordt beschouwd op het gebied van fraudepreventie en fraudeoplossingen, aangezien het ecosysteem van fraude zich blijft ontwikkelen.
Technologieën, mogelijkheden en oplossingen voor opsporing van mobiele fraude
Mobiele in-app bescherming: Mobiele in-app bescherming is een overkoepelende term voor technologieën voor de beveiliging en authenticatie van mobiele apps die ontwikkelaars in mobiele apps kunnen integreren om ze weerbaarder te maken tegen mobiele bedreigingen zoals herverpakking, malware, scriptinjectie, reverse engineering, sms-grijping, en andere. Gartner zegt dat zelfverdedigende apps "cruciaal" zijn omdat mobiele apps draaien op een grote verscheidenheid aan onvertrouwde mobiele apparaten met verschillende beveiligingsniveaus. Gartner raadt organisaties aan om "te kiezen voor in-app bescherming voor kritieke en hoogwaardige applicaties die draaien binnen onvertrouwde omgevingen en software logica verplaatsen aan de front-end. De meest voorkomende use cases zullen mobiele apps, webapps met één pagina (vooral consumentgerichte) en software op aangesloten apparaten zijn." Gartner raadt organisaties ook aan om in-app bescherming niet te gebruiken als vervanging voor het testen van de beveiliging van applicaties en het patchen van kwetsbaarheden - en om best practices op het gebied van veilige codering toe te passen voordat ze naar in-app beschermingsoplossingen kijken.
Mobiele in-app beschermingsoplossingen bestaan uit beveiligings- en authenticatiefuncties, zoals de volgende:
- Afscherming van mobiele apps met Run-time Application Self Protection (RASP): Met App Shielding met Run-time Protection kunnen realtime aanvallen worden gedetecteerd en voorkomen. Door de combinatie van afscherming van mobiele apps met runtime-bescherming kunnen mobiele financiële apps veilig worden uitgevoerd, kan worden voorkomen dat vreemde code de functionaliteit van de app verstoort of kan de toepassing worden afgesloten als er een bedreiging voor gegevens bestaat. De integratie van app shielding met runtime protection beschermt ook gevoelige informatie tegen cybercriminelen, zelfs op niet-vertrouwde mobiele apparaten.
Run-time application self-protection (RASP), een term bedacht door Gartner, beschermt mobiele apps tegen inbraken van meerdere soorten malware. RASP is geïntegreerd in de mobiele app en beperkt kwaadaardige aanvallen die gericht zijn op de app door ze te detecteren en de app af te sluiten voordat gevoelige gegevens kunnen worden gecompromitteerd en gebruikt voor fraude. Het versterkt de beveiliging van mobiele apps door potentiële bedreigingen te neutraliseren en beschermt gevoelige gegevens en transacties van hoge waarde tegen hackers.
App shielding met runtime protection is een preventiemiddel dat de mobiele app beschermt door te voorkomen dat de app werkt op een emulator of wanneer hij wordt gestoord door een debugger. Dit zijn tools die reverse-engineers gebruiken om een app te ondervragen en kwetsbaarheden te vinden. Het detecteert onder meer kwaadaardige keylogging, herverpakte toepassingen en gejailbreakte of gerootte apparaten.
Financiële instellingen kunnen risicoanalysetechnologie (risk engine) koppelen aan technologieën voor de afscherming en beveiliging van mobiele apps om extra informatie over de app in zijn runtime-omgeving te verzamelen en zo het fraudebeheer te optimaliseren en de bank-app veilig te laten functioneren in een risicovolle omgeving.
Applicatieverharding, ook wel preventiecapaciteiten genoemd, verhoogt de inspanning die de aanvaller moet leveren om een aanval uit te voeren. -
Risicogebaseerde authenticatie: Risicogebaseerde authenticatie (RBA), waarbij gebruik wordt gemaakt van algoritmen voor machinaal leren, helpt mobiele fraude te voorkomen door het risiconiveau voor elke financiële transactie te bepalen en te bepalen welk niveau van authenticatie van de klant voor elke transactie vereist is. RBA stemt het niveau van klantenauthenticatie af op het betrokken risiconiveau en helpt valse positieven te verminderen, wat betekent dat minder klanten ten onrechte zullen worden afgewezen wegens fraude. In het verleden vertrouwden veel organisaties op één vorm van authenticatie voor alle klanten en transacties: statische wachtwoorden en gebruikersnamen, wat binaire authenticatie is. Wachtwoorden en gebruikersnamen worden als een zwakke beveiliging beschouwd omdat zij voor fraudeurs zo gemakkelijk te stelen en te misbruiken zijn. Anderzijds is risicogebaseerde authenticatie een vorm van sterke authenticatie, omdat het de gebruiker en zijn transactie context geeft om het risiconiveau en de fraudegevoeligheid te bepalen. In geval van een transactie met een hoog risico wordt de gebruiker om extra authenticatie gevraagd om zijn identiteit te bevestigen. Er zijn drie veelgebruikte authenticatiefactoren: iets wat je weet, iets wat je hebt, en iets wat je bent. De meest gebruikelijke verificatie is iets wat u weet en kan een wachtwoord of een eenvoudig persoonlijk identificatienummer (PIN) zijn. Het is voor fraudeurs echter ook het gemakkelijkst te verslaan. De factor "iets wat je hebt" verwijst naar zaken als een mobiel apparaat of hardware authenticator tokens, die een eenmalige eenmalige toegangscode voor eenmalig gebruik genereren. Smartphone-gebaseerde opties, zoals een pushmelding en een eenmalig wachtwoord (OTP), zorgen ook voor een multifactoriële verificatie (MFA). Biometrie is de factor "iets wat je bent" en kan bestaan uit vingerafdrukken, gezichtsscans of stemanalyse en maakt deel uit van een verschuiving naar logins zonder wachtwoord. De drie authenticatiefactoren worden vaak gecombineerd om een sterkere beveiliging te bieden en fraudeurs te dwarsbomen. De combinatie van een vingerafdrukscan met een eenmalige toegangscode versterkt de beveiliging en is een voorbeeld van multifactorauthenticatie.
-
Buiten de band authenticatie: Buiten de band authenticatie is een vorm van twee-factor authenticatie (2FA) die een secundaire verificatiemethode vereist via een afzonderlijk communicatiekanaal, naast de gebruikelijke ID en het wachtwoord. Het kan bijvoorbeeld gaan om de desktop van de klant als één kanaal en zijn mobiele telefoon als een ander kanaal. Het is moeilijker voor een aanvaller om twee verschillende kanalen te compromitteren, wat de kans op een succesvolle accountovername verkleint omdat de aanvaller twee verschillende kanalen moet compromitteren om toegang te krijgen. Out-of-band (OOB) authenticatie wordt gebruikt door financiële instellingen en andere organisaties die hoge veiligheidseisen stellen. Dit maakt het moeilijker om een account te kraken, omdat een aanvaller twee afzonderlijke en niet-verbonden authenticatiekanalen tegelijk zou moeten kraken om toegang te krijgen.
-
Meerfactorauthenticatie: Meerfactorauthenticatie (MFA) maakt gebruik van meerdere technologieën om de identiteit van de klant te verifiëren en zij moeten verificatietechnologieën van ten minste twee verschillende groepen of verificatiefactoren combineren. Authenticatiefactoren zijn onder meer:
Iets wat u weet: een wachtwoord, PIN, passphrase of vragen en de bijbehorende antwoorden.
Iets wat je hebt: de meeste mensen gebruiken hun smartphone met een authenticator-app als het apparaat dat deze codes genereert of waarmee ze achter de schermen terug kunnen reageren naar een server met een eenmalige toegangscode.
Iets wat u bent: Dit is alles van vingerafdrukken, netvliesscans, gezichtsherkenning, stemherkenning, of het gedrag van een gebruiker (zoals hoe hard of snel hij typt of veegt op een scherm) dat kan worden gebruikt om een unieke gebruiker te identificeren.
Om multifactorauthenticatie te bereiken, moeten ten minste twee verschillende technologieën van ten minste twee verschillende technologiegroepen worden gebruikt voor het authenticatieproces. Bijgevolg zou het gebruik van een PIN-code in combinatie met een wachtwoord niet als multifactorauthenticatie worden beschouwd, terwijl het gebruik van een PIN-code met gezichtsherkenning als tweede factor dat wel zou zijn. Het is ook aanvaardbaar om meer dan twee vormen van authenticatie te gebruiken. De meeste gebruikers willen echter steeds vaker een wrijvingsloze authenticatie (de mogelijkheid om geverifieerd te worden zonder verificatie te hoeven uitvoeren). MFA kan bijvoorbeeld accountovernamefraude en phishing voorkomen. -
Cronto®: Een Cronto®, of QR-achtige code, kan een financiële transactie authenticeren of autoriseren en verhoogt de bescherming voor transacties van grote waarde. De klant ziet een grafisch cryptogram dat lijkt op een QR-code, weergegeven op de browser van zijn computer. Alleen de bank kan de code genereren, zodat deze kan worden vertrouwd om een beveiligd kanaal tussen de klant en de bank tot stand te brengen. Wanneer u een verrichting wilt uitvoeren, voert u de betalingsgegevens in de toepassing voor internetbankieren in de browser in. U ziet dan de QR-achtige code en scant die met de camera op uw mobiele toestel. Uw toestel zal het decoderen, de betalingsgegevens ontcijferen en ze u op uw mobiel in gewone tekst tonen. Deze aanpak voldoet aan de vereisten inzake dynamische koppeling die zijn opgenomen in de herziene technische norm voor betalingsdiensten (PSD2) van de Europese Unie.
Aanvullende mobiele beveiligingsmogelijkheden die helpen bij het opsporen van mobiele fraude:
- Door codeverduistering wordt de code vervormd en wordt het voor een aanvaller moeilijker om de werking van de toepassing te achterhalen. Een toepassing die moeilijker te lezen is, zou dan ook moeilijker aan te vallen moeten zijn, en zijn intellectuele eigendom te stelen.
- White boxing of white-box cryptografie: Wat bekend staat als white box cryptografie wordt gebruikt om te voorkomen dat een aanvaller de door een app gebruikte encryptiesleutels kan achterhalen, door gebruik te maken van een combinatie van encryptie en versluiering, of door de code zo te vervormen dat deze moeilijk te begrijpen is. In andere gevallen is de reden voor white boxing het aanbieden van een besturingssysteemonafhankelijk beveiligingsmechanisme dat geheime sleutels beschermt, zelfs als de aanvaller op de een of andere manier het mobiele besturingssysteem of het apparaat in gevaar brengt...
- Certificate Pinning: In plaats van elk certificaat van een specifieke reeks certificatie-autoriteiten te aanvaarden, kunnen de partijen die bij het wederzijds authentificatieproces betrokken zijn, bepaalde certificaten vastleggen - wat betekent dat alleen deze certificaten zullen worden aanvaard. Als een aanvaller een certificaat spooft, zelfs als dit certificaat afkomstig is van een legitieme certificeringsautoriteit, zal de communicerende partij het afwijzen, waardoor een Man-in-the-Middle-aanval wordt voorkomen.
Hoe mobiele toepassingen kwetsbaar kunnen zijn
Ontwikkelaars van mobiele apps weten uiteindelijk niet hoe hun apps zullen worden gebruikt, of het nu gaat om mobiele advertentiefraude, fraude met mobiel bankieren, of in welke omgeving. Daardoor is er altijd een risico dat een bank-app het doelwit wordt van malware op het apparaat en resulteert in fraudeverliezen voor een financiële instelling. Hoewel de Apple App Store en Google Play Store een groot percentage van de malware eruit filteren, is app-fraude nog steeds mogelijk. Er bestaan schadelijke toepassingen in de app stores die wachten om te worden gedownload om persoonlijke informatie te stelen of schadelijke code te injecteren in het mobiele apparaat of een andere app. Zelfs als gebruikers alleen apps downloaden uit officiële stores, kan er iets schadelijks tussendoor glippen en als een schadelijke app zich op het apparaat van een gebruiker bevindt, brengt dit de app van de ontwikkelaar mogelijk in gevaar.
Een andere misvatting is dat de iOS- en Android-besturingssystemen het mobiele apparaat en, bij uitbreiding, de mobiele apps ervan voldoende beveiligen. Dit is tot op zekere hoogte waar. Android en iOS besteden vrij veel tijd aan het patchen van hun besturingssystemen om kwetsbaarheden te verwijderen, maar geen van beide is 100% veilig en ze kunnen geen rekening houden met nalatigheid van de gebruiker. Ontwikkelaars van mobiele apps kunnen niet simpelweg vertrouwen op de beveiliging van Android of iOS en moeten aanvullende maatregelen nemen om hun apps veilig te maken. Ook moet worden opgemerkt dat er altijd enige tijd verstrijkt tussen het moment dat een kwetsbaarheid wordt ontdekt en het moment dat fabrikanten en mobiele providers een patch uitbrengen. Als de patch niet wordt gedownload, kan een gebruiker langdurige verouderde versies van het besturingssysteem gebruiken, vol mogelijkheden voor aanvallers en kwaadaardige code.
Beveiliging vereist voor bankapps
Het Open Web Application Security Project (OWASP), een internationale gemeenschap van industrieleiders op hun gebied - technologen, deskundigen op het gebied van gegevensbeveiliging en ontwikkelaars - hebben een onafhankelijke basislijn voor de beveiliging van mobiele toepassingen ontwikkeld, de Mobile App Security Verification Standard (MASVS). Het Open Web Security Project geeft een onbevooroordeelde leidraad voor aanbevolen beveiligingsmogelijkheden voor mobiele apps voor iOS en Android, afhankelijk van hun functie. Toepassingen voor het bankwezen en de financiële dienstverlening vereisen de strengste beveiligingsnormen van OWASP vanwege hun gevoelige gegevens. Zij moeten ook bestand zijn tegen "reverse engineering". Bancaire apps worden gebruikt door een groot, gevarieerd publiek dat gebruikmaakt van uiteenlopende apparaten op verschillende besturingssystemen, en daarom moet extra voorzichtig te werk worden gegaan. Bancaire apps vallen onder de MASVS L2+R van het Open Web Application Security Project (OWASP), de strengste beveiligingsnorm.