5 Formas De Bancos Protegerem Aplicativos Bancários Móveis E Suas Transações

Sarah Dixon, 4 de Fevereiro de 2022

Os ataques bancários móveis estão em alta, com a sofisticação e o volume de ataques e fraudes aumentando a cada ano. Um relatório de Inteligência de Ameaça de 2021 reportou que monitorou mais de 200 milhões de dispositivos em todo o mundo observou um aumento de 80% no número de novos cavalos de Troia bancários atacando dispositivos e tentando roubar senhas de uso único por SMS apenas no primeiro semestre de 2021. Em junho de 2020, o FBI emitiu um alerta de segurança cibernética, prevendo um aumento no número de ataques contra clientes de serviços bancários móveis devido ao aumento no uso de aplicativos bancários e à redução de filiais físicas, parcialmente causados pela pandemia de COVID-19. Com mais clientes utilizando serviços bancários on-line nos celulares e barreiras reduzidas para os criminosos, as instituições financeiras precisam implementar a segurança avançada aos aplicativos com urgência para proteger seus clientes e sua marca.

Driving Up Digital Account Opening Completion Rates with Hybrid Banking
Escute a versão deste artigo em áudio, em inglês:

5 Ways Banks Can Protect Mobile Banking Apps and Transactions

Audio file

Em uma entrevista em vídeo recente, Greg Hancell, diretor de estratégia de dados e gestão de produtos da OneSpan, discutiu os métodos e tecnologias que as instituições financeiras podem usar para proteger os dispositivos e transações dos clientes. Neste artigo, vamos explicar a você as cinco principais recomendações dele, com mais informações de especialistas em segurança.

  1. Remover senhas estáticas e passar a utilizar a autenticação segura do cliente
  2. Usar a autenticação contextual com análise comportamental
  3. Utilizar um canal seguro com criptografia de ponta a ponta
  4. Utilizar a segurança avançada de aplicativos e detecção de malware
  5. Proteger os serviços bancários móveis para aumentar a confiança

Quais são os diferentes tipos de ataques aos serviços bancários móveis?

Os ataques a serviços bancários móveis podem incluir, entre outros:

  • Ataques com emulador – – Nestes ataques, os criminosos se aproveitam de dispositivos contaminados (dispositivos com malware) do usuário para roubar dados e senhas. Os criminosos repassam esses dados a emuladores, que simulam um usuário legítimo e automatizam o fluxo de interações típicas no aplicativo, permitindo que os criminosos interceptem códigos recebidos por SMS para autorizar e aprovar transações bancárias fraudulentas.
  • Clonagem de chip – Este golpe é um tipo de ataque de roubo de conta em que os criminosos utilizam técnicas de engenharia social para transferir o número de celular da vítima para um novo chip, permitindo que o criminoso realize transações fraudulentas utilizando a autenticação de dois fatores (2FA) com a verificação por SMS. As instituições financeiras podem ajudar a reduzir o risco de fraudes com clonagem de chip integrando a autenticação de software aos aplicativos bancários móveis.
  • Phishing móvel – Os criminosos enviam um link que contém uma carga maliciosa por e-mail ou por mensagem de texto. A vítima clica no link e pode ser enganada para inserir informações pessoais em uma página que acredita ser verdadeira, ou baixar sem saber um software espião em seu dispositivo.
  • Cavalos de Troia bancários móveis – O download de um arquivo ou de aplicativo de terceiros que parece ser legítimo, seja das lojas de aplicativos do Android ou da Apple ou downloads diretos de sites, mas que, na verdade, oculta malwares que atacam os aplicativos bancários móveis no celular em que é baixado. O malware pode coletar informações bancárias e outros dados confidenciais que um usuário envia para roubar sua identidade, obter credenciais de login, invadir sua conta bancária ou interceptar transferências de dinheiro.

Como proteger dispositivos e transações de ataques bancários móveis e atividades suspeitas com camadas de segurança

1. Remover senhas estáticas e passar a utilizar a autenticação segura do cliente

O primeiro conselho de Greg para reduzir as vulnerabilidades é referente à autenticação do usuário, ou seja, as etapas por que um cliente passa para se autenticar ao fazer login ou realizar uma transação.

"Se você usa senhas estáticas, implemente a autenticação de dois fatores. Se você usa o SMS como segundo fator de autenticação, passe para a autenticação segura do cliente. Se você já usa a autenticação segura do cliente, passe para o vínculo dinâmico e autenticação contextual."

O padrão-ouro de segurança bancária que Greg aconselha as instituições financeiras a alcançar é a autenticação segura do cliente com vínculo dinâmico e autenticação contextual.

A autenticação segura do cliente utiliza a autenticação multifatores (MFA) para autenticar a identidade de um cliente durante o login e a autorização de transações. Mais do que apenas uma senha segura, a autenticação multifatores usa três fatores comuns – algo que você "sabe", como uma senha, algo que você "tem", como um dispositivo móvel ou token em hardware, e algo que você "é", como a digital biométrica ou reconhecimento facial.

2. 2. Usar a autenticação contextual com análise comportamental

A autenticação contextual, também conhecida como autenticação adaptável, leva em conta o contexto ou comportamento referente a um evento como o login, criação de beneficiário e transação. A autenticação adaptável e a análise comportamental analisam muitos dados relacionados ao comportamento do usuário, dispositivo e transação em tempo real, resultando em uma pontuação de risco. Essa pontuação aciona fluxos de segurança automatizados que aplicam a segurança necessária exata. Greg aconselha que:

"Bancos também devem aplicar a análise comportamental. Você precisa conseguir entender o que o usuário faz normalmente, quando eles costumam se conectar e que tipos de dispositivos ele tem. Mas também precisa garantir que possa entender, de fato, suas interações naquele dispositivo de um ponto de vista financeiro."

Ao compreender o comportamento típico de um usuário, bancos, instituições financeiras e organizações de serviços financeiros podem aplicar desafios de autenticação adicionais quando o comportamento do usuário difere das atividades normais. Em seu artigo de 2021, Autenticação avançada: Um plano de ataque para seu stack de autenticação, o especialista em segurança Sam Bakken explica com mais detalhes como isso funciona:

"Um hub de orquestração com um sistema de prevenção de fraudes avançado central pode utilizar inteligência artificial e aprendizagem de máquina para avaliar se o comportamento de um usuário está alinhado com o que se espera de uma pessoa real que realiza uma transação legítima. Se os sinais de risco da transação dispararem os alarmes, a identidade digital do cliente pode ser confirmada com uma nova autenticação e um segundo fator, garantindo o acesso seguro ao aplicativo."

3. Utilizar um canal seguro com criptografia de ponta a ponta

Para garantir a mais alta segurança de aplicativos móveis para a comunicação entre um servidor e o iPhone, celular ou dispositivo móvel de um cliente, Greg aconselha que as instituições financeiras implementem a criptografia de ponta a ponta com um canal seguro.

"Um canal seguro significa que apenas o dispositivo do usuário pode descriptografar e ver a senha de uso único e os detalhes relacionados a ela, além do contexto."

Essa camada extra de proteção funciona ao criptografar de forma independente os dados do lado do servidor para que sejam descriptografados no dispositivo móvel. Ela garante a transferência segura de e para o dispositivo, permitindo a comunicação confiável para o usuário e o servidor. Esta camada, quando usada com a proteção de aplicativos, impede que o malware intercepte senhas de uso único enviadas em textos simples, como SMS, e fornece um contexto rico de volta ao servidor, tomando uma decisão baseada em riscos quanto ao usuário e seu dispositivo.

4. Utilizar a segurança avançada de aplicativos e detecção de malware

Além de melhorar a segurança da autenticação da transação, Greg também aconselha que os bancos apliquem a segurança avançada de aplicativos:

"Em um espaço bancário móvel, utilize a segurança avançada de aplicativos, como o fortalecimento de aplicativos, recursos antiadulteração e detecção de malware".

A proteção e fortalecimento de aplicativos são tipos de proteções dentro do aplicativo que usam a ocultação de código, detecção de debugs, detecção de sobreposição e outras técnicas para proteger os aplicativos de ataques como a adulteração e engenharia reversa. Elas incluem medidas para aumentar o nível de esforço necessário para que um criminoso ataque o aplicativo.

O Sony Bank, um banco direto japonês, implementou a proteção de aplicativos para garantir a segurança de seu aplicativo bancário móvel. A proteção de aplicativos protege o aplicativo móvel do Sony Bank ao evitar técnicas de engenharia reversa por meio de ocultação de código e tecnologia anti-repackaging. Ela também detecta ameaças como keyloggers maliciosos, leitores de tela, debuggers, emuladores e ataques de sobreposição.

5. Proteger os serviços bancários móveis para aumentar a confiança

Em um artigo de 2021, Desenvolvimento seguro de aplicativos móveis: Criando o caso de negócios da proteção de aplicativos, nós dissemos que o valor da proteção de aplicativos vai além de reduzir as ameaças móveis e códigos maliciosos do lado do cliente.

"A proteção de aplicativos também pode aumentar a confiança, melhorar a experiência do cliente e afetar positivamente o crescimento de lucros, retenção de lucros, redução de custos e a anulação de custos... Pesquisas sugerem que usuários móveis que confiam que suas instituições financeiras protegem suas informações pessoais, de conta e de pagamentos interagem mais e realizam mais transações no canal móvel. A proteção de aplicativos, junto de um programa de segurança de aplicativos móveis abrangente, reduz muito os riscos de segurança do aplicativo, o que, por sua vez, aumenta a confiança no banco."

Greg Hancell reforça essa declaração, concordando que aplicar o tipo certo de segurança e proteger os dados pessoais dos clientes é essencial para aumentar a confiança dos clientes no canal móvel.

"Se você utilizar o tipo certo de segurança, pode aumentar a confiança em seu canal digital por meio do aplicativo móvel."/p>

Como começar a utilizar a proteção de aplicativos móveis para garantir a segurança de aplicativos móveis e serviços bancários

Developing a successful mobile banking application is not easy, and development teams contend with pressures from every direction. While it’s important to get an application built, tested and published as quickly as possible, it’s also imperative to protect mobile banking apps.

Mobile App Shielding is easy to get started with and can be applied in minutes. Some of the largest banks and financial institutions in the world count on OneSpan App Shielding to meet their rigorous mobile app security requirements without slowing their app releases. Digital-only bank NewB utilize app shielding and cloud-based authenticatio n to protect their mobile app users and their transactions. On the speed of integration, they said “we needed only a few days to configure the OneSpan mobile app shielding capability to protect the NewB mobile banking app we had just developed.”

Raiffeisen Italy also utilize mobile app shielding to protect its app and were the first-to-market with the technology in Italy. The bank can now detect and block attacks on its authenticator app in real time – without interrupting the customer experience. App Shielding was easy to integrate and did not burden their developers. The bank’s CIO Alexander Kiesswetter advised financial institutions looking to do the same to “choose a strong partner with a strategic view of where your digital transformation can go in the future.”

Blindagem de Aplicativo Móvel
Relatório branco

Bloquear aplicativos móveis: como reduzir fraudes, economizar dinheiro e proteger receitas

Descubra como a proteção de aplicativos com proteção em tempo de execução é a chave para o desenvolvimento de um aplicativo de mobile banking seguro e resiliente.

Baixar Agora

Sarah é uma especialista em marketing de tecnologia com mais de 9 anos de experiência em marketing em SaaS B2B de rápido crescimento e empresas de serviços profissionais em serviços financeiros e direito.