Proteção contra ameaças aos serviços bancários online: tem um aplicativo para isso

Frauke De Graeve, 3 de Setembro de 2019
Protecting against Online Banking Threats: There’s an App for That

Do fitness às finanças, os aplicativos móveis mudaram nossas vidas diárias. As pessoas não estão apenas usando seus telefones para serviços bancários móveis, mas também usam seus dispositivos e aplicativos móveis para proteger suas transações em serviços bancários móveis.

Muitos usuários de serviços bancários móveis também são ávidos consumidores de serviços bancários online. Em 2018, o Deloitte Center for Financial Services realizou uma pesquisa com 17.100 consumidores em 17 países. De acordo com a firma, “clientes de serviços bancários móveis que responderam nossa pesquisa continuam a usar os canais de serviços bancários online extensivamente: 94% usam o canal online pelo menos uma vez por mês”.

As pessoas levam seus telefones com elas para todos os lugares e se tornou rotina ter um telefone à disposição ao usar serviços bancários online em um computador laptop ou desktop. Isso permite uma solução elegante para casos de uso como autenticação fora de banda e validação em transação de dados para proteger contra ataques Man-in-the-Middle (MitM) e Man-in-the-Browser (MitB). Infelizmente, ainda é muito fácil fazer download de malware sem saber em um computador ou laptop e ser presa fácil de fraude financeira. Usar um dispositivo móvel confiável como uma camada adicional de segurança durante o uso de serviços bancários online é um modo simples de se defender contra ameaças online sofisticadas.  

Quando a Deloitte analisou a propensão dos consumidores de aumentar seu uso de serviços bancários online e móveis, viu que a segurança era a preocupação número 1 e fazia com que relutassem. No mundo todo, 56% dos que responderam à pesquisa fariam mais uso de serviços bancários online se houvesse meios de proteção de dados mais fortes em vigor. Neste blog, veremos um tipo específico de segurança para serviços bancários online: a validação em transação de dados baseada em aplicativos.

PSD2 e a validação em transação de dados (vinculação dinâmica)

Na Europa, enquanto bancos e outras instituições financeiras (IFs) evoluem suas experiências de serviços bancários online e móveis, eles também devem estar em conformidade com a Diretiva de Serviços de Pagamento (PSD2) Revisada. A PSD2 estabelece requisitos para a autenticação forte de cliente (SCA), bem como para a vinculação dinâmica, também conhecida como validação em transação de dados.

Legisladores europeus apresentaram o requisito de vinculação dinâmica para combater ataques Man-in-the-Middle (MitM). Em um cenário Man-in-the-Middle típico, um cibercriminoso intercepta a comunicação entre o cliente e o servidor de serviços bancários e altera os detalhes de uma transação de pagamento sem que o pagador genuíno perceba. Uma das maneiras de controlar o canal de comunicação entre o laptop (ou qualquer outro dispositivo) do cliente e o banco pode ser uma rede de Wi-Fi maliciosa oferecida como um hotspot público. As pessoas tiram vantagem de hotspots públicos, sem perceber que podem estar transferindo seus dados de transações financeiras por uma rede controlada por uma pessoa má. Imagine uma transferência genuína de 100 euros para um amigo sendo mudada para uma transferência ilícita de 1000 euros para um impostor!

O requisito de vinculação dinâmica da PSD2 é composto de três partes. Primeiro, ela exige que o pagador autentique a transação calculando um código de autenticação sobre os dados da transação, como a quantia da transação e a informação que identifica quem recebe o pagamento. O código de autenticação precisa estar vinculado aos dados da transação, de modo que qualquer mudança na transação invalidaria o código.

Em segundo lugar, a confidencialidade e a integridade dos dados da transação precisam ser protegidas durante todo o processo de autenticação, para que uma pessoa mal-intencionada não possa interceptar e alterar os detalhes. Isso garante que o código de autenticação é calculado com base nos detalhes da transação genuínos.

Por fim, o cliente precisa estar ciente dos dados da transação que se pede que ele autentique. Isso significa que os dados da transação precisam ser apresentados ao cliente no momento da autenticação (também conhecido como “O que você vê é o que você está assinando”).

Como a tecnologia Cronto reduz o risco

Cibercriminosos usam a engenharia social e Trojans de serviços bancários para alterar transações financeiras e roubar fundos. O Cronto impede esses ataques protegendo o processo de autorização da transação. É uma maneira de fácil utilização para bloquear pessoas mal-intencionadas que visam os serviços bancários online e móveis.

A tecnologia Cronto faz isso ao:

  • Estabelecer um canal de comunicação seguro para proteger a confidencialidade e a integridade dos dados da transação
  • Apresentar os dados da transação em texto simples para o cliente, para que ele ou ela se certifique de que os detalhes correspondem à transação pretendida
  • Calcular um código de autenticação baseado nos detalhes da transação

Pelo fato de o Cronto estar disponível como um aplicativo móvel, o cliente simplesmente escaneia o código do Cronto (essencialmente um criptograma colorido semelhante a um código QR) com seu telefone para verificar os detalhes de seu pagamento. O código do Cronto contém os detalhes criptografados da transação. Somente o banco pode gerar o código visual e somente o telefone do cliente pode descriptografá-lo. O cliente, então, pode autorizar a transação respondendo ao banco com o código de resposta gerado pela imagem do Cronto.

Essa abordagem visual da validação de transação simplifica a experiência, pois reduz a interação exigida do usuário para verificar a transação – os clientes simplesmente apontam seu telefone para a tela e inserem um código de resposta no navegador. Isso permite que todos os detalhes da transação criptografados sejam comunicados entre o banco e o cliente sem o risco de interceptação ou alteração por hackers. Para ver o Cronto em ação, assista a um vídeo demonstrativo.

Adoção ampla da tecnologia Cronto

A validação de transação visual está entre os métodos mais comuns usados para proteger as transações de serviços bancários online. Estamos vendo uma adoção cada vez maior da validação de transação do tipo “escanear e assinar” em todo o mundo, em serviços bancários de varejo ou comerciais, pelo fato de ser fácil de usar. É também uma maneira econômica e comprovada de proteção contra o malware. Bancos selecionados que implementaram o Cronto incluem:

o Banco Búlgaro Unido

O Banco Búlgaro Unido (UBB) é parte do KBC Group belga, o maior grupo de seguros e serviços bancários da Bulgária. Ele é o terceiro maior banco da Bulgária em termos de ativos, com uma fatia de mercado de cerca de 11%. Como parte da estratégia de inovações do UBB, o banco lançou seu aplicativo móvel de serviços bancários, o UBB Mobile. Para proteger seu aplicativo de malware móvel, o banco passou a usar o OneSpan Mobile Security Suite, um conjunto de SDKs para dispositivos móveis para integrar a segurança de aplicativo, a autenticação biométrica e a tecnologia Cronto. O UBB adicionou a capacidade de validar transações iniciadas nos serviços bancários online usando o Cronto. O banco implementou o Cronto para atender ao requisito da PSD2 de vinculação dinâmica e para ajudar a reduzir o risco humano nas transações de serviços bancários online. 

Banco de Chipre

O Bank of Cyprus Group é o grupo líder em serviços bancários e financeiros do Chipre. O banco fornece uma grande variedade de serviços e produtos financeiros, incluindo serviços bancários comerciais e de varejo, serviços bancários de investimentos e seguros. O Banco de Chipre precisava atender aos requisitos da PSD2 em termos de autenticação forte de cliente e de vinculação dinâmica. No entanto, como a regulamentação era neutra em termos da tecnologia, ela não descrevia um método específico para a implementação de validação de transação. Após diversas consultas e demonstrações que confirmaram que as soluções da OneSpan estavam em conformidade com os requisitos da PSD2, o Banco de Chipre escolheu o Cronto e outras tecnologias disponíveis pela OneSpan Mobile Security Suite. (assista à demonstração do Banco de Chipre aqui)

Jibun Bank

Quando os ataques Man-in-the-Browser começaram a causar confusão, o banco japonês da internet Jibun Bank buscou contramedidas eficazes que não dificultassem a experiência de usuário. Hoje, a validação de transação está disponível no aplicativo móvel de serviços bancários do Jibun Bank, o Serviço de Autenticação por Smartphone. Quando os clientes concluem transações pelo aplicativo, eles não precisam inserir informações adicionais para se autenticarem. Quando as transações são realizadas por PC, o recurso de validação de transação funciona como uma autenticação de duas vias para derrotar a fraude online. 

Banco Volkswagen

O Banco Volkswagen, criado em 1949, é uma subsidiária integral da Volkswagen AG. Seus produtos vão do financiamento de veículos Volkswagen novos e usados ao financiamento de revendedoras. O Banco Volkswagen aproveitou a OneSpan Mobile Security Suite para proteger e desenvolver seu PhotoTAN-App. Esse aplicativo foi projetado para se comunicar diretamente com o Banco Volkswagen e permite que seus usuários iniciem transações de serviços bancários diretamente de seus dispositivos móveis. A OneSpan Mobile Security Suite fornece segurança para o aplicativo, incluindo autenticação biométrica, blindagem de aplicativos e a tecnologia Cronto. Assim como no UBB, a solução Cronto da OneSpan permite que o banco esteja em conformidade com o requisito de vinculação dinâmica da PSD2.

Para saber mais sobre como ter uma abordagem visual para a validação de transação, visite a página do Cronto da OneSpan.

capa do ebook
eBook

Fraude de sequestro de conta: como proteger seu negócio e seus clientes

Como prevenir a fraude de sequestro de conta e proteger os clientes em cada estágio de sua jornada digital.

Baixar Agora