Wykrywanie oszustw mobilnych

Czym jest mobilne wykrywanie oszustw?

Ataki na oszustwa mobilne nasilają się wraz z rosnącą popularnością urządzeń i aplikacji mobilnych. Chociaż niedawny wzrost popularności bankowości mobilnej jest w dużej mierze zasługą COVID-19, wzrost wykorzystania telefonów komórkowych będzie postępował. Oszuści również widzą szansę w oszustwach mobilnych. W I kwartale 2020 r. odnotowano aż 173% wzrost liczby mobilnych trojanów bankowych, a eksperci branżowi donoszą o 37% wzroście liczby ataków phishingowych na całym świecie w I kwartale 2020 r. w porównaniu z rokiem ubiegłym. Aby temu przeciwdziałać, wykrywanie oszustw mobilnych wykorzystuje różne technologie, takie jak osłony aplikacji mobilnych i analiza ryzyka, które pomagają zapobiegać przejęciu konta i innym rodzajom oszustw. Różne technologie są wykorzystywane za kulisami do wykrywania oszustw i zapewniania ochrony konsumentom bez wpływu na ich doświadczenia użytkownika.

Jak urządzenia mobilne i aplikacje wpływają na oszustwa mobilne

Metryki wskazują, że użytkownicy mobilni w coraz większym stopniu polegają na swoich urządzeniach w zakresie potrzeb bankowych. Juniper Research podaje, że do końca 2021 roku ponad dwa miliardy użytkowników mobilnych na świecie będzie wykorzystywać swoje urządzenia do celów bankowych, w porównaniu do 1,2 miliarda w 2020 roku. Podczas gdy kanał online wciąż jest zagrożony, oszuści inwestują więcej czasu i pieniędzy w atakowanie kanału mobilnego, ponieważ konsumenci na całym świecie kontynuują wydatki na handel elektroniczny, korzystając z aplikacji do gier, innych rozrywek i nie tylko. Według Statistica, "W 2024 roku konsumenci mają wydać 55,5 miliarda dolarów na aplikacje mobilne z Google Play Store. Połączone wydatki użytkowników w App Store i Google Play mają osiągnąć prawie 171 miliardów dolarów amerykańskich do 2024 roku."

Mobile device open to a bank account overview
Blog

How Orange Money Romania Added Risk‑based Authentication to the Mobile Experience

Learn how Orange Money deployed risk-based authentication in the cloud for a stronger fraud prevention and security strategy.

Read More

Wykrywanie oszustw mobilnych, rozumienie typowych technik oszustw mobilnych

Atakujący wykorzystują różne techniki do przeprowadzania oszustw mobilnych. Oto kilka przykładów:

  • Inżynieria wsteczna: Zły aktor może przeprowadzić inżynierię wsteczną aplikacji w celu przeanalizowania jej kodu źródłowego i części składowych. Celem byłoby tutaj zebranie informacji, które mogą być wykorzystane do stworzenia złośliwego oprogramowania wykorzystującego działanie aplikacji lub do manipulowania aplikacją. Na przykład, osoba atakująca może wdrożyć własną złośliwą aplikację zaprojektowaną w celu wykorzystania luk odkrytych w wyniku inżynierii wstecznej aplikacji bankowej.
  • Przepakowywanie: Atak polegający na przepakowywaniu rozpoczyna się od przeprowadzenia przez atakującego inżynierii wstecznej aplikacji, umieszczenia w niej złośliwego kodu, a następnie ponownego opublikowania zmodyfikowanej aplikacji na nieoficjalnych rynkach. Dla konsumenta będzie to wyglądało tak, jakby pobrał właściwą aplikację, a aplikacja będzie mu się jawić jako ta właściwa. Jednak za kulisami fałszywe aplikacje kody kradną dane osobowe, przekierowują fundusze lub wykonują inne złośliwe działania.
  • Ataki typu overlay: At ak typu overlay składa się z ekranu wygenerowanego przez atakującego, który pojawia się na wierzchu interfejsu użytkownika legalnej aplikacji. Dla niczego nie podejrzewającej ofiary będzie to wyglądało jak normalne doświadczenie w aplikacji, ale będzie ona wprowadzać swoje poufne informacje, takie jak nazwy użytkownika, hasła, numery kart kredytowych lub inne dane osobowe, do formularza kontrolowanego przez atakującego. Informacje wprowadzone do złośliwego okna są następnie wysyłane bezpośrednio do atakującego. Ofiara tego oszustwa nie wie, że właśnie przekazała swoje dane. Oprócz porywania danych, ataki typu overlay są wykorzystywane do inżynierii społecznej. Mogą być wykorzystywane do nakłaniania ludzi do instalowania innego złośliwego oprogramowania lub wykonywania niezabezpieczonych zadań na ich urządzeniach mobilnych, takich jak przyznanie złośliwej aplikacji pełnej kontroli nad telefonem użytkownika.
  • Nieuczciwe klawiatury: Na rynku aplikacji można znaleźć wiele legalnych aplikacji z alternatywnymi klawiaturami, które zastępują natywne klawiatury zainstalowane na urządzeniach mobilnych. Niektóre z tych aplikacji posiadają luki w zabezpieczeniach, które mogą zostać wykorzystane przez osoby atakujące lub niektóre z nich mogą być nieuczciwe i zaprojektowane specjalnie do rejestrowania naciśnięć klawiszy i wysyłania ich do osób atakujących.
  • Trojany bankowości mobilnej: Trojan bankowości mobilnej wydaje się być legalny, ale ukrywa złośliwe oprogramowanie, które jest specjalnie ukierunkowane na aplikację bankowości mobilnej na zainfekowanym urządzeniu. Popularną techniką wykorzystywaną przez mobilne trojany bankowe jest atak typu overlay, w którym na legalną aplikację bankową nakładany jest fałszywy ekran (patrz "Atak typu overlay" powyżej). Złośliwe oprogramowanie przechwytuje dane uwierzytelniające ofiary i może pozostać aktywne podczas wykonywania innych transakcji bankowych. Na przykład, złośliwe oprogramowanie może modyfikować dane transakcji, przechwytując przelew środków i przekierowując pieniądze na fałszywe konto. Ataki te będą się nasilać wraz z rosnącą popularnością smartfonów na całym świecie. FBI zauważa, że najlepiej zachować ostrożność podczas pobierania aplikacji na smartfony i tablety, ponieważ niektóre z nich mogą być trojanami bankowymi.
  • Ataki typu Man-in-the-Middle: W przypadku ataku typu Man in the Middle, oszust ustawia się pomiędzy instytucją finansową a klientem, aby móc przechwytywać, edytować, wysyłać i odbierać komunikację pomiędzy tymi dwoma stronami bez wzbudzania jakichkolwiek podejrzeń. Oszust przejmuje kanał komunikacyjny między urządzeniem klienta a serwerem, ustawiając złośliwą lub nieuczciwą sieć Wi-Fi jako publiczny hotspot (tzw. nieuczciwy punkt dostępu), aby atak mógł nastąpić. Klient może korzystać z publicznego hotspotu nie zdając sobie sprawy, że w ten sposób przesyła swoje dane płatnicze przez sieć kontrolowaną przez oszusta. Komunikacja aplikacji mobilnej powinna być bezpieczna dzięki takim elementom jak pinowanie certyfikatów, gdzie aplikacja będzie komunikować się tylko z określonym serwerem, ponieważ używa on określonego certyfikatu, którego aplikacja mobilna szuka. W przeciwnym razie aplikacja jest podatna na atak typu Man-in-the-Middle. Oszuści wykorzystują również atak Man-in-the-Middle, aby znaleźć się pomiędzy SDK a punktem końcowym, do którego zamierza dotrzeć. Następnie, stale uderzają w ten punkt końcowy z serią połączeń testowych, aby odwrócić inżynierię, które połączenia reprezentują udane działanie. Z czasem identyfikują one, jakie parametry są przekazywane, aby wskazać udaną instalację. Po udanej "instalacji" aplikacji, kontynuują spoofing SDK.
  • Zamiana SIM: Zamiana karty SIM jest legalną usługą oferowaną przez operatorów telefonii komórkowej, gdy klient kupuje nowe urządzenie, a stara karta SIM nie jest już z nim kompatybilna. Zły aktor może nadużyć tej usługi. W przypadku podmiany SIM oszust wykorzystuje techniki socjotechniczne, aby przenieść numer telefonu komórkowego ofiary na nową kartę SIM. Oszust kontaktuje się z operatorem telefonii komórkowej klienta i podszywa się pod niego, przekonując pracownika centrum obsługi telefonicznej do przeniesienia numeru telefonu komórkowego na kartę SIM, która znajduje się pod kontrolą oszusta. W ten sposób aplikacja bankowa użytkownika może zostać aktywowana na telefonie oszusta. Jeśli mechanizm uwierzytelniania banku obejmuje wiadomości tekstowe jako sposób przekazywania haseł jednorazowych, to przejęcie numeru ofiary staje się dla przestępcy atrakcyjnym sposobem na dokonywanie oszukańczych transakcji, dodawanie odbiorców lub wykonywanie innych operacji podczas sesji bankowej.
  • Phishing mobilny: Smishing jest formąphishingu, kiedy zły podmiot wysyła do użytkownika sms-a z linkiem, próbując nakłonić go do kliknięcia na niego. Kliknięcie odsyłacza może spowodować załadowanie strony phishingowej, na której użytkownik zostanie podstępnie zmuszony do wprowadzenia swoich danych logowania, lub nieświadomie zainicjuje ciche pobranie na urządzenie oprogramowania szpiegowskiego do inwigilacji. Celem jest uzyskanie nieautoryzowanego dostępu do osobistych, wrażliwych i korporacyjnych danych przechowywanych i udostępnianych przez urządzenie. Tiny URL, które są skróconymi adresami URL, są również wykorzystywane w atakach typu SMS phishing w celu przekierowania użytkownika do złośliwej zawartości i są często używane w atakach typu smishing na dużą skalę.

Technologie zwiększające wykrywalność oszustw mobilnych

Oszustwa mobilne mają wpływ na klientów i instytucje finansowe. Obecni klienci, którzy padli ofiarą oszustwa, są bardziej skłonni do opuszczenia swojej instytucji finansowej, a potencjalni klienci mogą być nieufni wobec banku, który jest uważany za niedbały w kwestii zapobiegania oszustwom i rozwiązań w tym zakresie, ponieważ ekosystem oszustw wciąż się rozwija.

Technologie, możliwości i rozwiązania w zakresie wykrywania oszustw mobilnych

MobileIn-App Protection: Mobile in-app protection to zbiorczy termin dla technologii bezpieczeństwa i uwierzytelniania aplikacji mobilnych, które deweloperzy mogą zintegrować z aplikacjami mobilnymi, aby uczynić je bardziej odpornymi na zagrożenia mobilne, takie jak przepakowywanie, złośliwe oprogramowanie, wstrzykiwanie skryptów, inżynieria wsteczna, przechwytywanie SMS-ów i inne. Gartner twierdzi, że aplikacje samoobronne są "kluczowe", ponieważ aplikacje mobilne działają na wielu różnych niezaufanych urządzeniach mobilnych o różnych poziomach bezpieczeństwa. Gartner zaleca, aby organizacje "wybrały ochronę w aplikacji dla krytycznych i wartościowych aplikacji, które działają w niezaufanych środowiskach i przenoszą logikę oprogramowania na front-end. Najczęstszymi przypadkami użycia będą aplikacje mobilne, jednostronicowe aplikacje internetowe (szczególnie te skierowane do konsumentów) oraz oprogramowanie na urządzeniach podłączonych do sieci". Gartner zaleca również, aby organizacje unikały stosowania ochrony in-app jako zamiennika dla testów bezpieczeństwa aplikacji i łatania luk - oraz aby zaadoptowały najlepsze praktyki bezpiecznego kodowania, zanim sięgną po rozwiązania ochrony in-app.

Rozwiązania zabezpieczające aplikacje mobilne składają się z następujących funkcji bezpieczeństwa i uwierzytelniania:

  • Ekranowanie aplikacjimobilnych z ochronąRASP (Run-time Application Self Protection): Ekranowanie aplikacji z ochroną w czasie rzeczywistym może wykrywać i zapobiegać atakom w czasie rzeczywistym. Połączenie ochrony aplikacji mobilnych z ochroną w czasie rzeczywistym umożliwia bezpieczne działanie mobilnych aplikacji finansowych, blokowanie obcego kodu przed ingerencją w funkcjonalność aplikacji lub zamykanie aplikacji w przypadku zagrożenia danych. Zintegrowanie ochrony aplikacji z ochroną runtime zabezpiecza również poufne informacje przed cyberprzestępcami, nawet na niezaufanych urządzeniach mobilnych.

    RASP (Run-time Application Selfprotection), termin ukuty przez Gartnera, chroni aplikacje mobilne przed włamaniami z wielu rodzajów złośliwego oprogramowania. RASP jest natywnie zintegrowany z aplikacją mobilną i łagodzi złośliwe ataki wymierzone w aplikację, wykrywając je i zamykając aplikację, zanim wrażliwe dane mogą zostać narażone i wykorzystane do oszustwa. Wzmacnia bezpieczeństwo aplikacji mobilnych, neutralizując potencjalne zagrożenia i chroniąc wrażliwe dane oraz wartościowe transakcje przed hakerami.

    Osłona aplikacji z ochroną runtime to narzędzie prewencyjne, które chroni aplikację mobilną poprzez uniemożliwienie jej działania na emulatorze lub podczas ingerencji debuggera. Są to narzędzia, których inżynierowie wsteczni używają do zbadania aplikacji i znalezienia w niej luk. Wykrywa m.in. złośliwe keylogging, przepakowane aplikacje, a także jailbroken lub zrootowane urządzenia.

    Instytucje finansowe mogą połączyć technologię analizy ryzyka (risk engine) z technologiami ochrony aplikacji mobilnych i bezpieczeństwa mobilnego w celu zebrania dodatkowych informacji o aplikacji w jej środowisku uruchomieniowym, aby zoptymalizować zarządzanie oszustwami i umożliwić bezpieczne funkcjonowanie aplikacji bankowej w ryzykownym środowisku.

    Hartowanie aplikacji, określane również jako zdolności prewencyjne, zwiększa poziom wysiłku wymagany do przeprowadzenia ataku przez atakującego.

  • Uwierzytelnianie oparte na ryzyku: Uwierzytelnianie oparte na ryzyku (RBA), wykorzystujące algorytmy uczenia maszynowego, pomaga zapobiegać oszustwom mobilnym poprzez określenie poziomu ryzyka dla każdej transakcji finansowej oraz poziomu uwierzytelniania klienta wymaganego dla każdej transakcji. RBA dopasowuje poziom uwierzytelniania klienta do poziomu ryzyka i pomaga ograniczyć liczbę fałszywych alarmów, co oznacza, że mniej klientów będzie fałszywie odrzucanych z powodu obaw o oszustwo. W przeszłości, wiele organizacji polegało na jednym typie uwierzytelniania dla wszystkich klientów i transakcji: statyczne hasła i nazwy użytkowników, czyli uwierzytelnianie binarne. Hasła i nazwy użytkowników są uważane za słabe zabezpieczenia, ponieważ są tak łatwe do wykradzenia i wykorzystania przez oszustów. Z drugiej strony, uwierzytelnianie oparte na ryzyku jest formą silnego uwierzytelniania, ponieważ nadaje kontekst użytkownikowi i jego transakcji w celu określenia poziomu ryzyka i podatności na oszustwo. W przypadku transakcji wysokiego ryzyka, użytkownik jest proszony o dodatkowe uwierzytelnienie w celu potwierdzenia swojej tożsamości. Istnieją trzy wspólne czynniki wykorzystywane do uwierzytelniania: coś, co wiesz, coś, co masz i coś, czym jesteś. Najczęstszym sposobem uwierzytelniania jest coś, co znasz i może to być hasło lub prosty osobisty numer identyfikacyjny (PIN). Jest to jednak również najłatwiejszy do pokonania przez oszustów sposób. Czynnik "coś, co masz" odnosi się do elementów takich jak urządzenie mobilne lub sprzętowe tokeny uwierzytelniające, które generują jednorazowe kody dostępu. Opcje oparte na smartfonach, takie jak powiadomienia push i hasło jednorazowe (OTP), zapewniają również weryfikację wieloczynnikową (MFA). Biometria to czynnik "coś, czym jesteś", mogą to być odciski palców, skany twarzy lub analiza głosu i jest częścią ruchu w kierunku logowania bez hasła. Te trzy czynniki uwierzytelniania są często łączone w celu zapewnienia silniejszego zabezpieczenia, aby udaremnić oszustów. Połączenie skanu linii papilarnych z jednorazowym kodem dostępu wzmacnia bezpieczeństwo i jest przykładem uwierzytelniania wieloczynnikowego.

  • Uwierzytelnianie pozapasmowe: Uwierzytelnianie pozapasmowe jest rodzajem uwierzytelniania dwuskładnikowego (2FA), które wymaga dodatkowej metody weryfikacji poprzez oddzielny kanał komunikacyjny wraz z typowym identyfikatorem i hasłem. Na przykład, może to obejmować komputer stacjonarny klienta jako jeden kanał i jego telefon komórkowy jako inny kanał. Atakującemu trudniej jest naruszyć dwa różne kanały, co zmniejsza prawdopodobieństwo udanego przejęcia konta, ponieważ atakujący musiałby naruszyć dwa oddzielne kanały, aby uzyskać dostęp. Uwierzytelnianie pozapasmowe (OOB) jest stosowane przez instytucje finansowe i inne organizacje o wysokich wymaganiach bezpieczeństwa. Utrudnia to włamanie się na konto, ponieważ dwa oddzielne i niepołączone kanały uwierzytelniania musiałyby zostać jednocześnie naruszone, aby atakujący mógł uzyskać dostęp.

  • Uwierzytelnianie wieloczynnikowe: U wierzytelnianie wieloczynnikowe (MFA) wykorzystuje wiele technologii w celu uwierzytelnienia tożsamości klienta i musi łączyć technologie weryfikacji z co najmniej dwóch różnych grup lub czynników uwierzytelniających. Czynniki uwierzytelniające obejmują:

    Coś, co znasz: hasło, PIN, fraza lub pytania i odpowiadające im odpowiedzi.

    Coś, co masz: Większość ludzi używa swojego smartfona z aplikacją uwierzytelniającą jako urządzenia, które generuje te kody lub pozwala im odpowiadać na serwer z jednorazowym kodem dostępu za kulisami.

    Coś, czym jesteś: Jest to wszystko, począwszy od odcisków palców, skanów siatkówki oka, rozpoznawania twarzy, rozpoznawania głosu lub zachowania użytkownika (np. jak mocno lub szybko pisze lub przeciąga palcem po ekranie), które mogą być wykorzystane do identyfikacji unikalnego użytkownika.

    Aby uzyskać uwierzytelnianie wieloczynnikowe, do procesu uwierzytelniania muszą być użyte co najmniej dwie różne technologie z co najmniej dwóch różnych grup technologicznych. W rezultacie stosowanie kodu PIN w połączeniu z hasłem nie byłoby uznawane za uwierzytelnianie wieloczynnikowe, podczas gdy stosowanie kodu PIN z rozpoznawaniem twarzy jako drugiego czynnika - tak. Dopuszczalne jest również stosowanie więcej niż dwóch form uwierzytelniania. Jednak większość użytkowników coraz częściej chce uwierzytelniania bez tarcia (możliwość bycia zweryfikowanym bez konieczności przeprowadzania weryfikacji). MFA może na przykład zapobiegać oszustwom związanym z przejmowaniem kont i phishingiem.

  • Cronto®: Cronto®, lub kod podobny do QR, może uwierzytelnić lub autoryzować transakcję finansową i zwiększa ochronę transakcji o wysokiej wartości. Klient zobaczy graficzny kryptogram, przypominający kod QR, wyświetlony w przeglądarce komputera. Tylko bank może wygenerować ten kod, dzięki czemu można mu zaufać i ustanowić bezpieczny kanał pomiędzy klientem a bankiem. Gdy chcesz dokonać transakcji, wprowadzasz dane do płatności do aplikacji bankowości internetowej w przeglądarce. Zobaczysz wtedy kod QR i zeskanujesz go za pomocą aparatu w swoim urządzeniu mobilnym. Twoje urządzenie zdekoduje je, odszyfruje dane dotyczące płatności i pokaże Ci je na Twoim telefonie komórkowym w postaci zwykłego tekstu. Podejście to spełnia wymagania dotyczące dynamicznego łączenia określone w zmienionej dyrektywie Unii Europejskiej w sprawie usług płatniczych (PSD2) w ramach regulacyjnego standardu technicznego.

A mobile device displaying a blue padlock, surrounded by the outline of a shield against a background of 1s and 0s.
Blog

How Emulator Farm Fraud Attacks Exploit Mobile Users to Dizzying Results

Increases in mobile usage haven't gone unnoticed by scammers. Learn how layered security can fight sophisticated fraud schemes.

Read More

Dodatkowe funkcje bezpieczeństwa mobilnego, które pomagają w wykrywaniu oszustw mobilnych:

  • Obfuscacja kodu szyfruje kod i utrudnia atakującemu odtworzenie działania aplikacji. W efekcie aplikacja, która jest trudniejsza do odczytania, powinna być trudniejsza do zaatakowania i wykradzenia jej własności intelektualnej.
  • Kryptografia białej skrzynki: To, co znane jest jako kryptografia białej skrzynki, służy do uniemożliwienia atakującemu odkrycia kluczy szyfrowania używanych przez aplikację, przy użyciu kombinacji szyfrowania i obfuskacji lub zakodowania kodu tak, aby był trudny do zrozumienia. W innych przypadkach, uzasadnieniem dla białych skrzynek jest oferowanie niezależnego od systemu operacyjnego mechanizmu bezpieczeństwa, który chroni tajne klucze, nawet jeśli atakujący w jakiś sposób naruszy mobilny system operacyjny lub urządzenie...
  • Przypinanie certyfikatów: Zamiast akceptować dowolny certyfikat z określonego zakresu urzędów certyfikacji, przypinanie pozwala stronom biorącym udział w procesie wzajemnego uwierzytelniania na przypinanie konkretnych certyfikatów - co oznacza, że tylko te certyfikaty będą akceptowane. Jeśli atakujący sfałszuje certyfikat, nawet jeśli pochodzi on z legalnego urzędu certyfikacji, strona komunikująca się odrzuci go, unikając w ten sposób ataku Man-in-the-Middle.

Jak aplikacje mobilne mogą być podatne na ataki

Twórcy aplikacji mobilnych ostatecznie nie wiedzą, w jaki sposób ich aplikacje zostaną wykorzystane, czy będzie to oszustwo związane z reklamą mobilną, oszustwo związane z bankowością mobilną, czy też w jakim środowisku. W związku z tym zawsze istnieje ryzyko, że aplikacja bankowa stanie się celem złośliwego oprogramowania na urządzeniu i spowoduje straty z tytułu oszustw dla instytucji finansowej. Chociaż sklepy Apple App Store i Google Play Store odfiltrowują duży odsetek złośliwego oprogramowania, oszustwa związane z aplikacjami są możliwe. Złośliwe aplikacje istnieją w sklepach z aplikacjami, czekając na pobranie w celu kradzieży danych osobowych lub wstrzyknięcia złośliwego kodu do urządzenia mobilnego lub innej aplikacji. Nawet jeśli użytkownicy pobierają aplikacje tylko z oficjalnych sklepów, coś złośliwego może się prześlizgnąć, a jeśli złośliwa aplikacja rezyduje na urządzeniu użytkownika, stwarza potencjalne zagrożenie dla aplikacji twórcy.

Kolejnym błędnym przekonaniem jest to, że systemy operacyjne iOS i Android zapewniają odpowiednie bezpieczeństwo dla urządzeń mobilnych, a co za tym idzie, odpowiednie bezpieczeństwo dla ich aplikacji mobilnych. Jest to do pewnego stopnia prawda. Android i iOS spędzają sporo czasu na łataniu swoich systemów operacyjnych w celu usunięcia luk, ale żaden z nich nie jest w 100% bezpieczny i nie mogą one odpowiadać za zaniedbania użytkowników. Twórcy aplikacji mobilnych nie mogą po prostu polegać na bezpieczeństwie systemów Android lub iOS i muszą podjąć dodatkowe działania, aby ich aplikacje były bezpieczne. Należy również zauważyć, że zawsze istnieje luka czasowa pomiędzy zidentyfikowaną luką, a łatką wydaną przez producentów i operatorów komórkowych. Jeśli poprawka nie zostanie pobrana, użytkownik może korzystać z przestarzałych wersji systemu operacyjnego, które stwarzają wiele możliwości dla napastników i złośliwego kodu.

Aplikacje bankowe muszą być bezpieczne

Open Web Application Security Project (OWASP), międzynarodowa społeczność liderów w swojej dziedzinie - technologów, ekspertów ds. bezpieczeństwa danych i deweloperów - opracowała niezależną podstawę bezpieczeństwa aplikacji mobilnych o nazwie Mobile App Security Verification Standard (MASVS). Open Web Security Project dostarcza bezstronnych wskazówek dotyczących zalecanych funkcji bezpieczeństwa dla aplikacji mobilnych dla systemów iOS i Android, w zależności od ich funkcji. Aplikacje bankowe i związane z usługami finansowymi wymagają najsurowszego standardu bezpieczeństwa OWASP ze względu na wrażliwe dane. Muszą one być również odporne na inżynierię wsteczną. Aplikacje bankowe obsługują dużą, zróżnicowaną grupę odbiorców korzystających z różnych urządzeń na różnych systemach operacyjnych, w związku z czym należy zachować szczególną ostrożność. Aplikacje bankowe podlegają pod MASVS L2+R projektu Open Web Application Security Project (OWASP), który jest najsurowszym standardem bezpieczeństwa.

Skontaktuj się z nami

Skontaktuj się z jednym z naszych ekspertów ds. bezpieczeństwa, aby dowiedzieć się więcej o tym, jak nasze rozwiązania mogą pomóc w Twoich potrzebach w zakresie bezpieczeństwa cyfrowego

Skontaktuj się z nami