Обнаружение мошенничества с помощью мобильных устройств

Что такое обнаружение мобильного мошенничества?

По мере роста популярности мобильных устройств и мобильных приложений атаки на мобильное мошенничество продолжают расти. Хотя недавний всплеск мобильного банкинга в значительной степени связан с COVID-19, рост использования мобильных телефонов будет продолжаться. Мошенники также видят возможности для мобильного мошенничества. В первом квартале 2020 года на 173% увеличилось количество троянских программ для мобильного банкинга, а отраслевые эксперты сообщают о 37%-ном росте числа мобильных фишинговых атак в мире в первом квартале 2020 года по сравнению с предыдущим годом. Для борьбы с этим при обнаружении мобильного мошенничества используются различные технологии, такие как экранирование мобильных приложений и анализ рисков, которые помогают предотвратить захват аккаунта и другие виды мошенничества. Для выявления мошеннических действий и обеспечения защиты потребителей от мошенничества без ущерба для их пользовательского опыта используются различные технологии.

Как мобильные устройства и приложения способствуют мобильному мошенничеству

Метрики показывают, что пользователи мобильных устройств все больше полагаются на свои устройства для решения банковских задач. По даннымJuniper Research, к концу 2021 года более двух миллиардов мобильных пользователей во всем мире будут использовать свои устройства для банковских целей, по сравнению с 1,2 миллиарда в 2020 году. В то время как онлайн-канал по-прежнему подвергается угрозам, мошенники вкладывают все больше времени и денег в атаки на мобильный канал, поскольку потребители во всем мире продолжают тратить средства электронной коммерции на такие вещи, как приложения для игр, другие развлечения и многое другое. По даннымStatistica, "в 2024 году потребители, по прогнозам, потратят 55,5 миллиарда долларов США на мобильные приложения из Google Play Store. Совокупные расходы пользователей в App Store и Google Play достигнут почти 171 миллиарда долларов США к 2024 году"

Mobile device open to a bank account overview
Blog

How Orange Money Romania Added Risk‑based Authentication to the Mobile Experience

Learn how Orange Money deployed risk-based authentication in the cloud for a stronger fraud prevention and security strategy.

Read More

Обнаружение мобильного мошенничества, понимание распространенных методов мобильного мошенничества

Злоумышленники используют различные методы для осуществления мобильного мошенничества. Вот несколько примеров:

  • Обратная разработка: злоумышленник может провести обратную разработку приложения, чтобы проанализировать его исходный код и составные части. Целью здесь является сбор информации, которая может быть использована для разработки вредоносного ПО, использующего работу приложения, или для взлома приложения. Например, злоумышленник может развернуть собственное вредоносное приложение, предназначенное для использования уязвимостей, обнаруженных при реинжиниринге банковского приложения.
  • Переупаковка: Атака на переупаковку начинается с того, что злоумышленник проводит обратную разработку приложения, вставляет в него вредоносный код, а затем переиздает испорченное приложение на неофициальных торговых площадках. Потребителю будет казаться, что он загрузил правильное приложение, а само приложение покажется ему законным. Однако за кулисами поддельного приложения скрывается код, крадущий личную информацию, перенаправляющий средства или выполняющий другую вредоносную деятельность.
  • Оверлейные атаки: Оверлейная атака заключается в создании злоумышленником экрана, который появляется поверх пользовательского интерфейса легитимного приложения. Для ничего не подозревающей жертвы это будет выглядеть как обычная работа в приложении, но она будет вводить свои конфиденциальные данные, такие как имена пользователей, пароли, номера кредитных карт или другую личную информацию, в форму, контролируемую злоумышленником. Информация, введенная во вредоносное окно, затем отправляется непосредственно злоумышленнику. Жертва такого мошенничества не знает, что только что передала свои данные. Помимо перехвата данных, оверлейные атаки используются для социальной инженерии. Они могут использоваться для того, чтобы обманом заставить людей установить другие вредоносные программы или выполнить небезопасные задачи на своих мобильных устройствах, например, предоставить вредоносному приложению полный контроль над телефоном пользователя.
  • Мошеннические клавиатуры: На рынке приложений существует множество легальных альтернативных клавиатурных приложений для замены родных клавиатур, установленных на мобильных устройствах. Некоторые из этих клавиатурных приложений будут иметь уязвимости, которыми могут воспользоваться злоумышленники, или некоторые из них могут быть мошенническими и специально разработанными для записи нажатий клавиш и отправки их злоумышленникам.
  • Троянские программы для мобильного банкинга: Троянская программа для мобильного банкинга выглядит как легитимная, но на самом деле она скрывает вредоносное ПО, нацеленное на приложение мобильного банкинга на зараженном устройстве. Распространенной техникой, используемой троянскими программами для мобильных банков, является атака наложения, при которой поддельный экран накладывается поверх легитимного банковского приложения (см. раздел "Атака наложения" выше). Вредоносная программа перехватывает учетные данные жертвы и может оставаться активной во время выполнения других банковских операций. Например, вредоносная программа может изменять данные о транзакциях, перехватывая перевод средств и перенаправляя их на мошеннический счет. Эти атаки будут расти, поскольку использование смартфонов продолжает увеличиваться во всем мире. ФБРотмечает, что лучше быть осторожным при загрузке приложений на смартфоны и планшеты, так как некоторые из них могут быть банковскими троянцами.
  • Атаки "человек посередине": При атаке "человек посередине" мошенник занимает позицию между финансовым учреждением и клиентом, чтобы иметь возможность перехватывать, редактировать, отправлять и получать сообщения между двумя сторонами, не вызывая никаких подозрений. Мошенник захватывает канал связи между устройством клиента и сервером, устанавливая вредоносную или неавторизованную сеть Wi-Fi в качестве публичной точки доступа (известной как неавторизованная точка доступа) для проведения атаки. Клиент может пользоваться публичной точкой доступа, не подозревая, что передает свои платежные данные через сеть, контролируемую мошенником. Коммуникации мобильного приложения должны быть безопасными с помощью таких вещей, как привязка сертификатов, когда приложение будет взаимодействовать с определенным сервером только потому, что он использует определенный сертификат, который ищет мобильное приложение. В противном случае приложение становится уязвимым для атаки Man-in-the-Middle. Мошенники также используют атаку Man-in-the-Middle, чтобы вставить себя между SDK и конечным устройством, к которому он намеревается обратиться. Затем на конечную точку постоянно поступают серии тестовых вызовов, чтобы проанализировать, какие вызовы представляют собой успешное действие. Со временем они определяют, какие параметры передаются для успешной установки. После успешной "установки" приложения они продолжают подделку SDK.
  • Замена SIM-карты: Замена SIM-карты - это законная услуга, предлагаемая операторами мобильной связи, когда клиент покупает новое устройство, а старая SIM-карта больше не совместима с ним. Плохой агент может злоупотребить этой услугой. При подмене SIM-карты мошенник использует методы социальной инженерии, чтобы перенести номер мобильного телефона жертвы на новую SIM-карту. Мошенник связывается с оператором мобильной связи клиента и выдает себя за него, убеждая агента колл-центра перенести номер мобильного телефона на SIM-карту, находящуюся под контролем мошенника. В результате банковское приложение пользователя может быть активировано на телефоне мошенника. Если механизм аутентификации банка включает текстовые сообщения как средство доставки одноразовых паролей, то завладение номером жертвы становится для преступника привлекательным способом совершения мошеннических операций, добавления получателей платежей или выполнения других операций во время банковской сессии.
  • Мобильный фишинг: разновидность фишинга, смайлинг - это когда злоумышленник отправляет вам сообщение со ссылкой, пытаясь обманом заставить вас перейти по ней. Нажатие на ссылку может привести к загрузке фишинговой страницы, где пользователя обманом заставляют ввести свои учетные данные, или неосознанно инициировать тихую загрузку шпионского ПО для наблюдения за устройством. Цель - получить несанкционированный доступ к личным, конфиденциальным и корпоративным данным, хранящимся и доступным на устройстве. Крошечные URL, которые представляют собой сокращенные URL, также используются в SMS-фишинговых атаках для направления вас на вредоносный контент и часто используются в крупномасштабных smishing-атаках.

Технологии, повышающие эффективность выявления мобильного мошенничества

Мобильное мошенничество затрагивает клиентов и финансовые учреждения. Существующие клиенты, ставшие жертвами мошенничества, с большей вероятностью покинут свое финансовое учреждение, а потенциальные клиенты могут с опаской подписывать контракт с банком, который, как считается, не уделяет должного внимания предотвращению мошенничества и решениям для борьбы с ним, поскольку экосистема мошенничества продолжает развиваться.

Технологии, возможности и решения для обнаружения мобильного мошенничества

Защита мобильных приложений: Защита мобильных приложений - это общий термин для технологий безопасности и аутентификации мобильных приложений, которые разработчики могут интегрировать в мобильные приложения, чтобы сделать их более устойчивыми к мобильным угрозам, таким как переупаковка, вредоносное ПО, внедрение скриптов, обратная разработка, захват SMS и другие. Gartner утверждает, что самозащищающиеся приложения "крайне важны", поскольку мобильные приложения работают на широком спектре ненадежных мобильных устройств с разным уровнем безопасности. Gartner рекомендует организациям "выбирать защиту in-app для критически важных и дорогостоящих приложений, которые работают в ненадежных средах и переносят программную логику на передний край". Наиболее распространенными вариантами использования будут мобильные приложения, одностраничные веб-приложения (особенно ориентированные на потребителя) и программное обеспечение на подключенных устройствах". Gartner также рекомендует организациям избегать использования защиты in-app в качестве замены тестирования безопасности приложений и исправления уязвимостей, а также внедрять лучшие практики безопасного кодирования, прежде чем рассматривать решения для защиты in-app.

Решения по защите мобильных приложений включают в себя следующие функции безопасности и аутентификации:

  • Экранирование мобильных приложений с самозащитой приложений во время выполнения (RASP): экранирование приложений с защитой во время выполнения позволяет обнаруживать и предотвращать атаки в режиме реального времени. Сочетание защиты мобильных приложений с защитой во время выполнения позволяет мобильным финансовым приложениям работать в безопасном режиме, блокировать посторонний код от вмешательства в функциональность приложения или закрывать приложение при наличии угрозы для данных. Интеграция экранирования приложений с защитой во время выполнения также защищает конфиденциальную информацию от киберпреступников даже на ненадежных мобильных устройствах.

    Самозащита приложений во время выполнения (RASP) - термин, введенный компанией Gartner, - защищает мобильные приложения от вторжений различных типов вредоносных программ. RASP встроен в мобильное приложение и смягчает последствия вредоносных атак, направленных на приложение, обнаруживая их и отключая приложение до того, как конфиденциальные данные могут быть скомпрометированы и использованы для мошенничества. Он укрепляет безопасность мобильных приложений, нейтрализуя потенциальные угрозы и защищая конфиденциальные данные и дорогостоящие транзакции от хакеров.

    Экранирование приложений с защитой во время выполнения - это инструмент предотвращения, который защищает мобильное приложение, не позволяя ему работать на эмуляторе или при вмешательстве отладчика. Это инструменты, с помощью которых специалисты по реверс-инжинирингу исследуют приложение и находят уязвимости. Среди прочего, он обнаруживает вредоносные записи с клавиатуры, переупакованные приложения, а также взломанные или рутованные устройства.

    Финансовые учреждения могут использовать технологию анализа рисков (risk engine) в паре с технологиями экранирования мобильных приложений и мобильной безопасности для сбора дополнительной информации о приложении в его среде выполнения для оптимизации управления мошенничеством и обеспечения безопасного функционирования банковского приложения в рискованной среде.

    Усиление приложений, также называемое возможностями предотвращения, повышает уровень усилий, необходимых злоумышленнику для осуществления атаки.
  • Аутентификация на основе риска: Аутентификация на основе риска (RBA), использующая алгоритмы машинного обучения, помогает предотвратить мобильное мошенничество, определяя уровень риска для каждой финансовой операции и уровень аутентификации клиента, необходимый для каждой операции. RBA соответствует уровню аутентификации клиента в зависимости от степени риска и помогает снизить количество ложных срабатываний, что означает, что меньше клиентов будут ложно отклонены из-за опасений мошенничества. В прошлом многие организации полагались на один тип аутентификации для всех клиентов и транзакций: статические пароли и имена пользователей, что является бинарной аутентификацией. Пароли и имена пользователей считаются слабым средством защиты, поскольку их так легко украсть и использовать мошенникам. С другой стороны, аутентификация на основе риска является формой надежной аутентификации, поскольку она предоставляет контекст пользователю и его транзакции для определения уровня риска и восприимчивости к мошенничеству. В случае транзакции с высоким риском пользователю предлагается пройти дополнительную аутентификацию для подтверждения его личности. Для аутентификации используются три общих фактора: что-то, что вы знаете, что-то, что у вас есть, и что-то, чем вы являетесь. Наиболее распространенная аутентификация - это что-то известное вам, это может быть пароль или простой персональный идентификационный номер (PIN). Однако его также легче всего обмануть мошенникам. Фактор "что-то, что у вас есть" относится к таким предметам, как мобильное устройство или аппаратные маркеры аутентификации, которые генерируют одноразовый код для одноразового использования. Варианты на базе смартфонов, такие как push-уведомление и одноразовый пароль (OTP), также обеспечивают многофакторную проверку (MFA). Биометрия - это фактор "то, что вы есть", это могут быть отпечатки пальцев, сканирование лица или анализ голоса, и она является частью перехода к беспарольным входам в систему. Три фактора аутентификации часто комбинируются для обеспечения более надежной защиты, чтобы противостоять мошенникам. Сочетание сканирования отпечатков пальцев с одноразовым кодом усиливает безопасность и является примером многофакторной аутентификации.

  • Внеполосная аутентификация: Внеполосная аутентификация - это тип двухфакторной аутентификации (2FA), который требует вторичного метода проверки по отдельному каналу связи наряду с обычными идентификатором и паролем. Например, в качестве одного канала может использоваться настольный компьютер клиента, а в качестве другого - его мобильный телефон. Злоумышленнику сложнее скомпрометировать два разных канала, что снижает вероятность успешного захвата учетной записи, поскольку злоумышленнику придется скомпрометировать два разных канала, чтобы получить доступ. Внеполосная (OOB) аутентификация используется финансовыми учреждениями и другими организациями с высокими требованиями к безопасности. Это усложняет взлом учетной записи, поскольку для получения доступа злоумышленнику необходимо одновременно взломать два отдельных и не связанных между собой канала аутентификации.

  • Многофакторная аутентификация: Многофакторная аутентификация (MFA) использует несколько технологий для проверки подлинности личности клиента, и они должны сочетать технологии проверки как минимум из двух различных групп или факторов аутентификации. Факторы аутентификации включают:

    То, что вы знаете: пароль, PIN-код, парольная фраза или вопросы и соответствующие им ответы.

    То, что у вас есть: большинство людей используют свой смартфон с приложением аутентификатора в качестве устройства, которое генерирует эти коды или позволяет им отвечать серверу с одноразовым паролем за кулисами.

    То, кем вы являетесь: это все, что угодно - отпечатки пальцев, сканирование сетчатки глаза, распознавание лица, распознавание голоса или поведение пользователя (например, как сильно или быстро он набирает текст или проводит пальцем по экрану), которое может быть использовано для идентификации уникального пользователя.

    Для достижения многофакторной аутентификации в процессе аутентификации должны использоваться как минимум две различные технологии из как минимум двух различных групп технологий. В результате использование PIN-кода в сочетании с паролем не будет считаться многофакторной аутентификацией, а использование PIN-кода с распознаванием лица в качестве второго фактора - будет. Также допустимо использовать более двух форм аутентификации. Однако большинство пользователей все больше хотят получить аутентификацию без трения (возможность пройти верификацию без необходимости выполнять проверку). MFA может предотвратить, например, мошенничество с захватом учетной записи и фишинг.

  • Cronto®: Cronto®, или QR-подобный код, может подтвердить подлинность или авторизацию финансовой операции и повышает защиту операций с высокой стоимостью. Клиент увидит графическую криптограмму, похожую на QR-код, отображаемую в браузере его компьютера. Только банк может сгенерировать код, чтобы ему можно было доверять для установления безопасного канала между клиентом и банком. Когда вы хотите совершить операцию, вы вводите платежные данные в приложение интернет-банка в браузере. Затем вы увидите QR-код и отсканируете его с помощью камеры на своем мобильном устройстве. Ваше устройство декодирует его, расшифрует платежные данные и покажет их вам на мобильном телефоне в виде обычного текста. Этот подход соответствует требованиям динамического связывания, изложенным в Пересмотренной директиве Европейского союза о платежных услугах (PSD2) - нормативном техническом стандарте.

A mobile device displaying a blue padlock, surrounded by the outline of a shield against a background of 1s and 0s.
Blog

How Emulator Farm Fraud Attacks Exploit Mobile Users to Dizzying Results

Increases in mobile usage haven't gone unnoticed by scammers. Learn how layered security can fight sophisticated fraud schemes.

Read More

Дополнительные возможности мобильной безопасности, которые помогают обнаружить мобильное мошенничество:

  • Обфускация кода скрадывает код и затрудняет злоумышленнику обратное проектирование работы приложения. В результате приложение, которое сложнее прочитать, должно быть сложнее атаковать и украсть его интеллектуальную собственность.
  • Белый ящик или криптография белого ящика: так называемая криптография белого ящика используется для того, чтобы злоумышленник не смог раскрыть ключи шифрования, используемые приложением, с помощью комбинации шифрования и обфускации, или скремблирования кода таким образом, чтобы его было трудно понять. В других случаях "белый ящик" используется для того, чтобы предложить независимый от операционной системы механизм безопасности, который защищает секретные ключи, даже если злоумышленник каким-то образом скомпрометирует мобильную операционную систему или устройство.
  • Привязка сертификатов: вместо того, чтобы принимать любой сертификат из определенного круга центров сертификации, привязка позволяет сторонам, участвующим в процессе взаимной аутентификации, привязать определенные сертификаты - это означает, что только эти сертификаты будут приняты. Если злоумышленник подделает сертификат, даже если этот сертификат исходит от легитимного центра сертификации, общающаяся сторона отклонит его, избежав атаки "человек посередине".

Как мобильные приложения могут быть уязвимы

Разработчики мобильных приложений в конечном итоге не знают, как будут использоваться их приложения, будет ли это мошенничество с мобильной рекламой, мошенничество с мобильными банковскими услугами и в какой среде. В результате всегда существует риск того, что банковское приложение станет мишенью для вредоносного ПО на устройстве и приведет к убыткам финансового учреждения от мошенничества. Хотя магазины Apple App Store и Google Play Store отфильтровывают большой процент вредоносных программ, мошенничество с приложениями возможно. Даже если пользователи загружают приложения только из официальных магазинов, вредоносное приложение может проскочить мимо, а если вредоносное приложение находится на устройстве пользователя, это создает потенциальную угрозу для приложения разработчика.

Еще одно заблуждение заключается в том, что операционные системы iOS и Android обеспечивают достаточную безопасность мобильного устройства и, соответственно, достаточную безопасность их мобильных приложений. В какой-то степени это правда. Android и iOS уделяют достаточно много времени исправлению своих операционных систем для устранения уязвимостей, но ни одна из них не является на 100% безопасной, и они не могут учесть небрежность пользователей. Разработчики мобильных приложений не могут просто полагаться на безопасность Android или iOS и должны предпринимать дополнительные меры для обеспечения безопасности своих приложений. Следует также отметить, что между обнаружением уязвимости и выпуском патча производителями и операторами мобильной связи всегда существует временной разрыв. Если патч не будет загружен, пользователь может оказаться под управлением давно устаревших версий операционной системы, полных возможностей для злоумышленников и вредоносного кода.

Безопасность, необходимая для банковских приложений

Open Web Application Security Project (OWASP), международное сообщество лидеров в своей области - технологов, экспертов по безопасности данных и разработчиков - разработало независимый базовый стандарт безопасности мобильных приложений под названием Mobile App Security Verification Standard (MASVS). Проект Open Web Security Project предоставляет объективное руководство по рекомендуемым средствам безопасности для мобильных приложений iOS и Android в зависимости от их назначения. Приложения для банковских и финансовых услуг требуют самого строгого стандарта безопасности по OWASP из-за их конфиденциальных данных. Они также должны быть устойчивы к обратной разработке. Банковские приложения обслуживают большую и разнообразную аудиторию, использующую различные устройства на разных операционных системах, поэтому необходимо соблюдать особую осторожность. Банковские приложения подпадают под самый строгий стандарт безопасности MASVS L2+R Open Web Application Security Project (OWASP).

Свяжитесь с нами

Свяжитесь с одним из наших экспертов по безопасности, чтобы узнать больше о том, как наши решения могут помочь вам в обеспечении цифровой безопасности