Безпечний і масштабований підхід до вирішення проблем автентифікації клієнта банку

Банки та інші компанії, що надають фінансові послуги, знають, що вони особливо вразливі до кібератак, спрямованих на їхній бізнес і клієнтів.

Рішення багатофакторної автентифікації (MFA) або надійної автентифікації клієнтів (SCA) є особливо ефективним захистом, але деякі з них кращі за інші. Особливо це стосується рішень мобільної автентифікації.

Багато споживачів очікують такої ж зручності, як і від інших мобільних програм. Однак, якими б зручними вони не були, ці рішення також мають бути належним чином захищені.
Мобільні рішення автентифікації повні пропозицій із значними недоліками безпеки
Ці недоліки включають рішення, які використовують безпечні коди, також відомі як одноразові паролі (OTP), які надсилаються за допомогою SMS на мобільні телефони клієнтів.

Цей метод, який широко використовується протягом багатьох років, надзвичайно вразливий до загроз кібербезпеці. Організації повинні знати свої ризики, щоб вони могли захистити себе та своїх клієнтів. Вони також повинні розуміти, як забезпечити мобільну автентифікацію та підпис транзакцій і як використовувати поточні елементи керування та протоколи для розгортання безпечних, прозорих і масштабованих рішень.
Знайте, що поставлено на карту
Існує різноманітність векторів атак, зокрема незаконні служби обміну текстовими повідомленнями, які хакери використовують для перенаправлення текстових повідомлень людей, щоб вони могли отримати доступ до своїх облікових записів.

Наприклад, у травні 2021 року ReadWrite повідомила, як зловмисне програмне забезпечення FluBot після встановлення збирало всі паролі та повертало їх компанії, з якої вони надійшли. Ще більш страшний: бот також збирав усі контакти та надсилав повідомлення з облікового запису жертви, заражаючи ще більше людей.

Під час іншої великої атаки роком раніше зловмисники створили мережу з 16 000 віртуальних мобільних пристроїв, а потім перехопили одноразові текстові повідомлення (OTP).

Згідно з матеріалами Ars Technica, дослідники IBM Trusteer виявили масштабну операцію шахрайства, яка використовувала мережу емуляторів мобільних пристроїв, щоб за кілька днів витягнути мільйони доларів із програм мобільного банкінгу.
Зростаюча залежність від каналів цифрових транзакцій
Зі збільшенням використання каналів цифрових транзакцій кількість кібератак значно зросла.

Як зазначив співавтор ReadWrite Пітер Дейзім у своїй статті «5 способів покращити й оптимізувати програму безпеки даних вашої компанії», у квітні 2022 року порушення правил блокування готівки, можливо, розкрило дані понад восьми мільйонів клієнтів.

А на початку 2022 року Crypto.com визнав, що майже 500 користувачів були колективно пограбовані на понад 30 мільйонів доларів після серйозного порушення.
Використання скомпрометованих облікових даних користувача все ще залишається основним способом атак хакерів.
Навесні 2021 року хакери скористалися недоліком багатофакторної автентифікації, щоб викрасти криптовалюту приблизно з 6000 облікових записів Coinbase. Ця помилка дозволяла їм вводити одноразовий пароль за допомогою SMS, а також отримувати доступ і отримувати інформацію про обліковий запис користувача.

Мобільна автентифікація забезпечує вирішення цих проблем, дозволяючи користувачам скористатися різноманітними функціями мобільних пристроїв, щоб підтвердити свою особу перед доступом до програми або завершенням операції.
> Як працює безпека мобільної автентифікації
Перетворення повсюдного смартфона на простий у користуванні повсюдний автентифікатор — це чудово, але захистити процес мобільної автентифікації — це не маленький подвиг.

Промисловість створила базові стандарти безпеки для автентифікації мобільних пристроїв через некомерційний Open Web Application Security Project (OWASP). Однак ці стандарти відрізняються від стандартів, створених для веб-додатків.

Мобільні програми пропонують набагато більше можливостей для зберігання даних і використання вбудованих функцій безпеки пристрою для автентифікації користувачів. Тому навіть невеликі варіанти дизайну можуть мати більший, ніж очікувалося, вплив на загальну безпеку рішення.

Одним із варіантів мобільної автентифікації є перевірка через SMS або OTP, надісланий за допомогою SMS, який набуває поширення в усьому світі. Це був основний спосіб аутентифікації серед фінансистів...

технології Oct 19, 2022 0 30 Add to Reading List

Безпечний і масштабований підхід до вирішення проблем автентифікації клієнта банку

Банки та інші компанії, що надають фінансові послуги, знають, що вони особливо вразливі до кібератак, спрямованих на їхній бізнес і клієнтів.

Рішення багатофакторної автентифікації (MFA) або надійної автентифікації клієнтів (SCA) є особливо ефективним захистом, але деякі з них кращі за інші. Особливо це стосується рішень мобільної автентифікації.

Багато споживачів очікують такої ж зручності, як і від інших мобільних програм. Однак, якими б зручними вони не були, ці рішення також мають бути належним чином захищені.

Мобільні рішення автентифікації повні пропозицій із значними недоліками безпеки

Ці недоліки включають рішення, які використовують безпечні коди, також відомі як одноразові паролі (OTP), які надсилаються за допомогою SMS на мобільні телефони клієнтів.

Цей метод, який широко використовується протягом багатьох років, надзвичайно вразливий до загроз кібербезпеці. Організації повинні знати свої ризики, щоб вони могли захистити себе та своїх клієнтів. Вони також повинні розуміти, як забезпечити мобільну автентифікацію та підпис транзакцій і як використовувати поточні елементи керування та протоколи для розгортання безпечних, прозорих і масштабованих рішень.

Знайте, що поставлено на карту

Існує різноманітність векторів атак, зокрема незаконні служби обміну текстовими повідомленнями, які хакери використовують для перенаправлення текстових повідомлень людей, щоб вони могли отримати доступ до своїх облікових записів.

Наприклад, у травні 2021 року ReadWrite повідомила, як зловмисне програмне забезпечення FluBot після встановлення збирало всі паролі та повертало їх компанії, з якої вони надійшли. Ще більш страшний: бот також збирав усі контакти та надсилав повідомлення з облікового запису жертви, заражаючи ще більше людей.

Під час іншої великої атаки роком раніше зловмисники створили мережу з 16 000 віртуальних мобільних пристроїв, а потім перехопили одноразові текстові повідомлення (OTP).

Згідно з матеріалами Ars Technica, дослідники IBM Trusteer виявили масштабну операцію шахрайства, яка використовувала мережу емуляторів мобільних пристроїв, щоб за кілька днів витягнути мільйони доларів із програм мобільного банкінгу.

Зростаюча залежність від каналів цифрових транзакцій

Зі збільшенням використання каналів цифрових транзакцій кількість кібератак значно зросла.

Як зазначив співавтор ReadWrite Пітер Дейзім у своїй статті «5 способів покращити й оптимізувати програму безпеки даних вашої компанії», у квітні 2022 року порушення правил блокування готівки, можливо, розкрило дані понад восьми мільйонів клієнтів.

А на початку 2022 року Crypto.com визнав, що майже 500 користувачів були колективно пограбовані на понад 30 мільйонів доларів після серйозного порушення.

Використання скомпрометованих облікових даних користувача все ще залишається основним способом атак хакерів.

Навесні 2021 року хакери скористалися недоліком багатофакторної автентифікації, щоб викрасти криптовалюту приблизно з 6000 облікових записів Coinbase. Ця помилка дозволяла їм вводити одноразовий пароль за допомогою SMS, а також отримувати доступ і отримувати інформацію про обліковий запис користувача.

Мобільна автентифікація забезпечує вирішення цих проблем, дозволяючи користувачам скористатися різноманітними функціями мобільних пристроїв, щоб підтвердити свою особу перед доступом до програми або завершенням операції.

> Як працює безпека мобільної автентифікації

Перетворення повсюдного смартфона на простий у користуванні повсюдний автентифікатор — це чудово, але захистити процес мобільної автентифікації — це не маленький подвиг.

Промисловість створила базові стандарти безпеки для автентифікації мобільних пристроїв через некомерційний Open Web Application Security Project (OWASP). Однак ці стандарти відрізняються від стандартів, створених для веб-додатків.

Мобільні програми пропонують набагато більше можливостей для зберігання даних і використання вбудованих функцій безпеки пристрою для автентифікації користувачів. Тому навіть невеликі варіанти дизайну можуть мати більший, ніж очікувалося, вплив на загальну безпеку рішення.

Одним із варіантів мобільної автентифікації є перевірка через SMS або OTP, надісланий за допомогою SMS, який набуває поширення в усьому світі. Це був основний спосіб аутентифікації серед фінансистів...