در حالی که مشتریان در حال یادگیری نحوه استفاده از برنامه‌های بانکداری تلفن همراه به جای بانکداری درون شعبه‌ای هستند، مجرمان سایبری در حالت آماده‌باش هستند، فرصت‌های جدیدی را برای فعالیت‌های کلاهبرداری باز می‌کنند. در این شرایط، بانک‌ها در هر اندازه باید به دقت فکر کنند که چگونه امنیت بانکداری تلفن همراه را افزایش داده و از داده‌های مشتریان محافظت کنند.

عصر جدید در کلاهبرداری های  بانکداری تلفن همراه

محققان امنیت به طور مداوم بدافزار جدیدی را کشف می کنند که برنامه های بانکداری تلفن همراه را هدف قرار می دهد. یکی از آنها FakeBank است، یک نرم افزار جاسوسی که فعالیت پیامک ها را برای پیام های تأیید صحت دریافتی از بانک مشتری نظارت می کند. هنگامی که یک کاربر بانکداری تلفن همراه یک پیامک حاوی کد تأیید دریافت می کند، نرم افزار جاسوسی از محتویات آن کپی می کند و آن را برای کلاهبرداران می فرستد.

بدافزار دیگری که توسط سیستم‌های امنیتی ESET کشف شده است، به‌عنوان تقلیدی از برنامه ویدیویی Flash Player که از یک وب‌سایت آلوده نصب شده یا از طریق یک پیامک درنده حاوی یک لینک دانلود مخرب، منتشر می‌شود. پس از نصب بر روی تلفن، برنامه جعلی حقوق سرپرست دستگاه را درخواست می کند و در صورت اعطای آن توسط کاربر، بدافزار یک صفحه ورود به سیستم جعلی ایجاد می کند که دفعه بعد که کاربر به برنامه بانکداری تلفن همراه وارد می شود ظاهر می شود. هنگامی که قربانیان ورود و رمز عبور خود را وارد می کنند، بدافزار این داده ها را کپی می کند تا کلاهبرداران بتوانند بعداً از آن برای دسترسی از راه دور به حساب و سرقت پول استفاده کنند.

علاوه بر این، رومن اونچک، تحلیلگر ارشد بدافزار آزمایشگاه کسپرسکی، اخیراً اصلاح جدیدی از تروجان بانکداری تلفن همراه معروف Svpeng پیدا کرده است. در نوامبر 2016، با استفاده از تبلیغات Google AdSense توانست بیش از 318000 دستگاه اندرویدی را در سراسر جهان آلوده کند. در حال حاضر، Svpeng به دلیل توانایی‌های قدرتمندش، یکی از خطرناک‌ترین بدافزارهای بانکداری موبایلی محسوب می‌شود. به عنوان مثال، تروجان می‌تواند خود را روی برنامه‌های دیگر بکشد، به خود اجازه ارسال و دریافت پیامک، برقراری تماس و خواندن مخاطبین را بدهد و همچنین به خود حقوق سرپرست دستگاه اعطا کند و هرگونه تلاش برای لغو این اقدام را مسدود کند.

همانطور که می بینید، کلاهبرداران در اختراع نرم افزارهای مخرب برای صنعت بانکداری خلاقیت بیشتری پیدا می کنند. در این شرایط، توصیه می‌کنیم در انتخاب تیم توسعه بانکداری تلفن همراه خود دقت و احتیاط را رعایت کنید و همچنین برنامه‌های بانکی موجود خود را از نظر آسیب‌پذیری به دقت بررسی کنید.

جایی که آسیب پذیری های بانکداری تلفن همراه پنهان می شوند

در سال 2017، Accenture و NowSecure ارزیابی آسیب‌پذیری برنامه‌های بانکداری تلفن همراه متعلق به 15 بانک آمریکای شمالی را انجام دادند. پس از آزمایش برنامه‌های iOS و Android، آنها لیست زیر از خطرات امنیتی بانکداری تلفن همراه را ارائه کردند:

فایل های قابل نوشتن در جهان (یعنی سایر برنامه ها می توانند به فایل ها دسترسی نوشتن داشته باشند)
چک SSL شکسته / داده های حساس در حال انتقال (یعنی ارتباطات رمزگذاری نشده)
فایل های اجرایی قابل نوشتن – در صورت ترکیب با سایر مسائل می توانند منجر به آسیب پذیری های اضافی برنامه شوند
عدم مبهم بودن کد منبع برنامه، که مهندسی معکوس را آسان می کند
اجرای تصادفی امن ضعیف
بارگذاری کد پویا
پرچم “HttpOnly” نامناسب تنظیم شده است (برای جلوگیری از حملات XSS)
پرچم “ایمن” را به طور نامناسب تنظیم کنید (برای جلوگیری از ارسال کوکی ها از طریق کانال های ناامن)
ترافیک TLS با داده های حساس
عدم امنیت حمل و نقل برنامه (به عنوان مثال، ATS در سطح جهانی غیرفعال شده است).

همچنین می‌توانید از تست نفوذ جعبه سیاه یا جعبه سفید استفاده کنید تا بررسی کنید که آیا برنامه بانکداری تلفن همراه فعلی شما هر یک از این آسیب‌پذیری‌ها را دارد یا خیر و از تیم توسعه خود بخواهید در صورت وجود آن‌ها را برطرف کنند. جدای از این اقدامات، شما همچنین می توانید برنامه خود را به روش های مختلفی دوباره کار کنید.

۵ راه برای تقویت امنیت موبایل بانک

1. انگشت نگاری  موبایل را معرفی کنید

این ویژگی برای تعیین یکپارچگی دستگاه کار می‌کند و با استفاده از مجموعه سیگنال‌های منحصربه‌فرد به‌دست‌آمده از دستگاه، به تأیید هویت کاربر کمک می‌کند. چنین سیگنال هایی معمولاً شامل آدرس IP، مکان، اندازه صفحه نمایش، مرورگر، زمان روز، نوع دستگاه و غیره است.

2. SIEM را پیاده سازی کنید

حفاظت از بانکداری تلفن همراه با سیستم SIEM امکان شناسایی تعداد زیادی از خطرات، ناهنجاری‌ها و رفتارهای مخرب مانند:

دستگاه جیلبریک یا روت شده
دستگاه به یک شبکه Wi-Fi ناامن متصل است
دستگاه در حال اجرای شبیه ساز است
دسترسی از کشورهای خارجی
سرعت بالای لاگین های اخیر
تشدید تلاش های بد برای ورود به سیستم
سایر شرایط غیرعادی

می توانید قوانین همبستگی سفارشی خود را ایجاد کنید و تعیین کنید که این رویدادها چه زمانی هشدار سیستم را راه اندازی می کنند.

3. احراز هویت چند مرحله ای را اضافه کنید

یک الزام ساده برای ارسال رمز عبور برای دسترسی به حساب بانکی مشتری در یک برنامه بانکداری تلفن همراه دیگر برای جلوگیری از کلاهبرداری رضایت بخش نیست. برای افزایش امنیت بانکداری تلفن همراه، بانک ها باید یک لایه دفاعی اضافی مانند رمزهای عبور یک بار مصرف یا احراز هویت بیومتریک ایجاد کنند. دومی می تواند بر اساس ویژگی های فیزیکی ثابت یا الگوهای رفتاری انسان باشد. در حالی که بیومتریک استاتیک ویژگی‌های فیزیولوژیکی افراد مانند اثر انگشت، عنبیه، شبکیه و غیره را تجزیه و تحلیل می‌کند، بیومتریک رفتاری با صدای افراد، ریتم تایپ، سرعت اسکرول، الگوهای کشیدن انگشت، و سایر ویژگی‌ها سروکار دارد که روش‌های منحصر به فرد افراد را با دستگاه‌هایشان تعامل می‌کنند. در صورت اجرا، تقلید از این عوامل برای کلاهبرداران تقریبا غیرممکن است.

4. هشدارهای متنی و ایمیلی به صورت لحظه ای

با افزودن هشدارهای امنیتی به عملکرد بانکداری تلفن همراه خود، می‌توانید در صورت وجود هرگونه فعالیت غیرعادی به صورت آنلاین یا از طریق دستگاه تلفن همراه، مشتریان خود را در زمان واقعی مطلع کنید. چنین هشدارهایی به بانک اجازه می دهد تا به مصرف کنندگان اطلاع دهد:

وقتی خریدهای بزرگ اتفاق می افتد
وقتی نمایه یا رمز عبور مشتری تغییر می کند
زمانی که برداشت از ATM از مقدار معینی بیشتر شود
زمانی که موجودی حساب مشتری به زیر مقدار مشخصی می‌رسد
هنگامی که هر گونه خرید کارت نقدی رخ می دهد و غیره.

به عنوان مثال، اگر بانکی متوجه شود که یک مشتری به یک گیرنده ناشناس پرداخت آنلاین انجام داده است، بانک می تواند یک هشدار متنی برای تایید قانونی بودن تراکنش درخواستی به مصرف کننده ارسال کند. در نتیجه، این عملکرد نه تنها می تواند به جلوگیری از تقلب کمک کند، بلکه باعث بهبود تجربه مشتری و افزایش اعتماد می شود.

5. به طور مداوم به مشتریان خود آموزش دهید

تقویت امنیت بانکداری تلفن همراه تنها مسئولیت یک بانک نیست و مشتریان باید اقدامات احتیاطی خود را نیز انجام دهند. به همین دلیل است که بانک‌هایی که برنامه‌های بانکداری تلفن همراه را به مشتریان خود ارائه می‌دهند باید به آنها آموزش دهند که چگونه از خود در برابر هرگونه فعالیت کلاهبرداری محافظت کنند.

پایان

لینک منبع : https://www.scnsoft.com/blog/5-mobile-banking-security-tips