Como Proteger o Mobile Banking com Segurança Avançada de Aplicativos

Ralitsa Miteva, 20 de Maio de 2021

Nós regularmente hospedamos webcasts sobre tópicos como transformação digital, prevenção de fraude e melhores práticas de segurança móvel. Se você perdeu nosso recente webcast, Como Proteger o Mobile Banking com Segurança Avançada de Aplicativos , aqui está o resumo de 10 minutos. A apresentação completa está disponível sob demanda .

O uso de serviços bancários móveis continua a disparar como resultado da pandemia COVID-19. Em linha com essa tendência, os casos de fraude em banco móvel também aumentaram no último ano. 2020 marcou um grande aumento no número de registros de identidade comprometidos, bem como um aumento em ataques sofisticados de fraude móvel e o aumento do crime como serviço.

Embora tenha sido um ano recorde em fraudes financeiras, também é importante notar que, dos 4,6 bilhões de usuários ativos da Internet em todo o mundo, 91% são usuários da Internet móvel 1 . De mercados emergentes a países desenvolvidos, o celular está entre os canais bancários mais populares, mesmo em comparação com o banco online. De acordo com a Forrester, “Na América do Norte e na Europa, cerca de metade dos adultos online relatam que usam seus smartphones para fazer transações bancárias pelo menos uma vez por semana; e para adultos online australianos, chineses e indianos, o aplicativo móvel é seu canal bancário preferido. ” 2

Claramente, o celular é um ponto de extremidade crítico para as instituições financeiras protegerem. Em nosso último webinar, Como Proteger o Mobile Banking com Segurança Avançada de Aplicativos , meu colega Greg Hancell e eu discutimos o impacto das ameaças móveis progressivas e como a segurança avançada protege os usuários de telefones celulares. Aqui estão os destaques.

Ameaças comuns de banco móvel

Os provedores de serviços financeiros e seus clientes foram vítimas do aumento constante do crime digital e do comprometimento de registros de identidade no ano passado. Globalmente, cerca de 37 bilhões de registros foram comprometidos 4 , representando cerca de 10% da população online do mundo. Isso tem um impacto direto sobre o crime financeiro e fornece aos criminosos a matéria-prima para perpetrar uma quantidade impressionante de fraudes, desde a apropriação de contas até a fraude de identidade sintética. De acordo com um relatório do Aite Group, US Identity Theft: The Stark Reality , o roubo de identidade aumentou 42% desde o início da pandemia. A integração virtual de clientes levou a um aumento nas fraudes de aplicativos, em que os criminosos abrem novas contas bancárias remotamente com identificação falsa ou roubada.

Completando isso está a descoberta de dezembro de 2020 de um fazenda de emuladores do mal demonstrou que os fraudadores móveis agora podem automatizar seus processos, colher facilmente identificadores de dispositivos móveis, falsificar localizações de GPS e interceptar mensagens SMS para contornar a autenticação estática. Alcançando níveis imprevistos de escala e velocidade de operação, os cibercriminosos emularam com sucesso usuários e dispositivos móveis desavisados para drenar milhões de contas bancárias online em tempo recorde.

As trocas de SIM, que combinam elementos de roubo de identidade e apropriação de contas, também ressurgiram. À medida que os pagamentos móveis se tornam mais populares, o uso de serviços bancários móveis oferece uma oportunidade para mais ataques de troca de SIM. Em um ataque de troca de SIM, um perpetrador usa as informações pessoais roubadas de uma vítima para que as operadoras de celular ativem o número da vítima em um novo cartão SIM. Os criminosos usam informações de SMS ou senhas de uso único (OTP) para acessar contas bancárias e roubar fundos. Muitas vítimas de golpes de sequestro de SIM viram contas online vinculadas a seu número de telefone. Contas de mídia social como Facebook ou Linkedin são um exemplo, pois fornecem acesso a informações confidenciais, como data de nascimento, que os cibercriminosos podem usar para alimentar seus ataques de troca de SIM (eles também podem usar dados de contas sociais para facilitar o banco clássico aquisição de conta e roubo de identidade). O recente Facebook e Linkedin as violações de dados são exemplos oportunos.

Uma das mais antigas - e ainda mais bem-sucedidas - táticas é o phishing. Depois de tantos anos, existe a percepção de que ninguém poderia cair nesses golpes. Mas, repetidamente, de chamadas telefônicas a e-mails habilmente elaborados, os invasores enganam as vítimas para que entreguem suas credenciais. 2020 não foi diferente. Na verdade, a Covid-19 criou ainda mais oportunidades para phishing e smishing em 2020 em comparação com 2019, aproveitando o foco elevado no tópico.

Os ataques de smishing também são excessivos devido ao aumento do uso de dispositivos móveis. Esses ataques geralmente se assemelham a solicitações de autenticação de SMS de bancos ou um alerta de que houve uma atividade suspeita na conta da vítima. O problema é que eles podem parecer legítimos para o usuário desavisado, mas incluem links que baixam malware projetado para roubar informações de smartphones.

Estratégias de detecção e prevenção de fraude móvel

Diante desse cenário, o que as instituições financeiras podem fazer para proteger seus clientes?

  • Primeiro, as credenciais estáticas (nome de usuário / senha) nunca devem ser usadas para autenticação. Nem para registro de dispositivo; provisionamento ou ativação de um token de autenticação; Conecte-se; autorização de transação; criação de beneficiário / beneficiário; ou qualquer outro processo que requer autenticação. Ao modernizar sua estrutura de autenticação, as instituições financeiras podem ficar um passo à frente dos ataques.
  • Em segundo lugar, use a proteção do aplicativo móvel para proteger a segurança do próprio código-fonte do aplicativo móvel. Isso exige uma proteção de aplicativo que funcione de dentro do aplicativo. Essa tecnologia é chamada de proteção de aplicativo. Os invasores geralmente procuram oportunidades de ataque em dois lados: o lado do cliente e o back-end do banco (também conhecido como lado do servidor). Os bancos têm muito mais controle sobre o back-end e podem garantir de forma mais eficaz que sua infraestrutura atenda aos padrões de segurança. Os aplicativos de mobile banking, no entanto, residem nos dispositivos dos clientes, que é um ambiente fora do controle do banco. E, apesar dos esforços para proteger a plataforma, os usuários se tornam o elo mais fraco. Afinal, alguns usuários se envolverão em atividades arriscadas, incluindo:

    uma. Jailbreaking ou root em seus dispositivos para baixar aplicativos gratuitos (e nem sempre baixar das lojas de aplicativos oficiais)
    b. Conectando-se a hotspots ou redes wi-fi públicos, independentemente de sua confiabilidade
    c. Adiando atualizações críticas de segurança para o sistema operacional
  • Terceiro, implemente uma estratégia de segurança cibernética em várias camadas. Existem camadas extras de segurança que fortalecerão suas defesas. Isso inclui provisionamento seguro, comunicação de canal seguro, análise de risco do lado do cliente e do servidor e monitoramento de sessão contínua com avaliação de risco e aprendizado de máquina.
  • Quarto, uma grande quantidade de dados móveis está disponível para organizações financeiras para combater o aumento do número de ataques cibernéticos. Insights do comportamento dos usuários, bem como dados sobre seus telefones (por exemplo, se foi desbloqueado, contém malware ou indicadores de quaisquer outros riscos de segurança, qual é a versão do sistema operacional, geolocalização, etc.) podem ser usados para prever e detectar fraude financeira em tempo real.

Por que os dados são importantes para a segurança do banco móvel

As tendências de fraude deixaram claro que confiar em um nome de usuário e senha no login não é mais suficiente para proteger contra atividades fraudulentas. No entanto, quando alguém acessa ou tenta acessar uma conta, há muitos dados que podem ser usados para determinar se este é ou não um cliente legítimo e se a transação solicitada é legítima ou não. Isso inclui:

  • Dados do usuário: O tipo de método de autenticação usado para fazer login; perfil comportamental; etc.
  • Dados do dispositivo: O tipo de telefone celular que estão usando; se o dispositivo foi registrado no banco; jailbreak / status de root; etc.
  • Dados do aplicativo: Versão do aplicativo; língua; etc.
  • Dados de saúde do dispositivo: Detecção de captura de tela; alerta de injeção de código; alerta de sobreposição; etc.

Os provedores de serviços financeiros têm os dados, mas podem não estar coletando e analisando. Na verdade, o celular é a porta de entrada para uma enorme quantidade de dados, mas 60% dos participantes do webinar indicaram que não tinham conhecimento suficiente sobre o comportamento e os dispositivos dos usuários. Responder a essas perguntas requer que bancos, cooperativas de crédito e outras instituições financeiras tenham um solução de prevenção de fraude baseada em risco analisar big data para entender as ações e atributos da jornada de um usuário e identificar indicadores de fraude.

pesquisa de comportamento de usuários

Seria impossível para analistas de fraude ou cientistas de dados processar esses volumes de dados manualmente. Ao contrário dos humanos, o aprendizado de máquina possui a capacidade poderosa de compreender grandes quantidades de dados, analisar em escala e dentro do contexto e atribuir uma pontuação de risco em tempo real.

Essa tecnologia permite que um sistema de prevenção de fraude baseado em risco aplique o nível preciso de segurança, no momento certo, por meio de autenticação progressiva. O aprendizado de máquina é a única maneira de combater com eficácia os ataques de fraude que estão aumentando em escala e complexidade.

Ingerir e analisar todos os dados disponíveis requer um sistema de prevenção de fraudes baseado em aprendizado de máquina. A autenticação multifator (MFA), além da prevenção de fraudes baseada em aprendizado de máquina, pode tornar o cometimento de crimes cibernéticos muito mais difícil para os fraudadores. Esses métodos permitem que o sistema detecte instâncias de fraude e as interrompa em tempo real antes que muito dano seja causado. Quando as instituições financeiras acertam, não só aumenta a segurança e a confiança digital, mas também reduz o atrito na experiência do cliente.

Recapitulação: Medidas de segurança para tornar o mobile banking mais seguro

A rápida evolução dos serviços bancários móveis significa que os bancos ainda estão aprendendo como lidar com as ameaças digitais. Em resumo, aqui estão algumas das principais etapas que as instituições financeiras podem realizar para ajudar a proteger os clientes e mitigar fraudes:

  1. Certifique-se de que seus aplicativos bancários estejam bem protegidos . Aplique a proteção de aplicativos para proteger seus aplicativos de mobile banking, pois você não pode controlar o ambiente em que operam.
  2. Forneça a seus clientes autenticação segura e conveniente. Use autenticação multifator (também conhecida como MFA ou autenticação forte do cliente ) Depender de um nome de usuário e senha no estágio de login não é mais suficiente para proteger contra atividades fraudulentas.

    Além disso, substitua o SMS OTP por uma alternativa mais segura. Embora a entrega de códigos de autenticação única por mensagens de texto seja vista como um meio simples e conveniente de se comunicar com o cliente final, os especialistas em segurança têm alertado sobre as vulnerabilidades do SMS como um método para autenticar as ações do usuário (logins, transações financeiras, perfil alterações, registro / reativação de aplicativo de mobile banking, etc.). Na verdade, a Autoridade Bancária Europeia (EBA) confirmou recentemente que O SMS OTP não atende aos requisitos PSD2 SCA para links dinâmicos. Existem várias alternativas para SMS OTP, incluindo:

    uma. Notificações push enviadas diretamente de um aplicativo de banco móvel
    b. Códigos de acesso únicos gerados por um aplicativo de autenticação móvel independente
    c. Biometria
    d. Assinatura de transação fora de banda usando tecnologia como OneSpan's Cronto
  3. Estabeleça um canal seguro entre seu cliente e o servidor bancário. Isso evita que os dados sejam comprometidos e permite que um perfil de dispositivo móvel confiável seja criado no servidor. Isso torna a vida muito mais difícil para os invasores. Tecnologia como OneSpan's Cronto pode ajudar.
  4. Implementar uma solução de avaliação de risco. Analisar o comportamento do usuário e os dados coletados de seus canais de banco digital pode ajudar a facilitar uma melhor mitigação de risco do dispositivo.Ao pontuar continuamente o dispositivo com cada ação do usuário, podemos avaliar o nível de confiança alocado a ele em tempo real.Um dispositivo confiável também pode ser usado como um método de autenticação seguro para operações bancárias omnicanal.
  5. Equilibre a experiência do usuário e a segurança . A autenticação adaptável é a melhor maneira de fazer isso. Mas para ajustar o nível de autenticação para cada transação individual, você precisa de um sistema de prevenção de fraude baseado em risco. O conceito subjacente é simples: ao adaptar a autenticação ao nível de risco em uma transação ou interação, uma instituição financeira pode proteger e facilitar a experiência do cliente.

Principais vantagens

O uso de aplicativos de banco móvel foi acelerado devido à pandemia. Como resultado, o banco móvel se tornou um alvo frequente de ataques cibernéticos. As instituições financeiras precisam tomar medidas para mitigar esses ataques, incluindo a implementação de soluções de avaliação de risco.

Soluções como Análise de risco do One Span O sistema de prevenção de fraudes usa o aprendizado de máquina para analisar os dados do cliente e identificar atividades criminosas em tempo real. À medida que a atividade fraudulenta se torna cada vez mais sofisticada, as empresas devem buscar autenticação multifator e proteção contra fraudes baseada em aprendizado de máquina como uma solução altamente eficaz para proteger clientes de serviços bancários móveis.

Blindagem de Aplicativo Móvel
Relatório branco

Bloquear aplicativos móveis: como reduzir fraudes, economizar dinheiro e proteger receitas

Descubra como a proteção de aplicativos com proteção em tempo de execução é a chave para o desenvolvimento de um aplicativo de mobile banking seguro e resiliente.

Baixar Agora

1 https://www.statista.com/statistics/617136/digital-populationworldwide/#:~:text=How%20 vários%20 pessoas%20 usar%20 o, o%20 Internet%20 através da%20 Móvel%20 dispositivos
2 The Forrester Digital Experience Review ™: Resumo de aplicativos de banco móvel global, 2020
3 https://www.iii.org/fact-statistic/facts-statistics-identity-theft-and-cybercrime#:~:text=There%20 nós estamos%204 0,8%20 milhão%20 identidade, para cima%20 a partir de%20651%2 C000%20 dentro%202019
4 https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/

Ralitsa Miteva é gerente de soluções de prevenção e detecção de fraude na OneSpan, onde assessora instituições financeiras e outras organizações sobre o cenário de fraude em evolução e as ajuda a superar os novos desafios de prevenção durante sua transformação digital.