وبينما يتعلم العملاء كيفية استخدام تطبيقات الخدمات المصرفية عبر الهاتف المحمول بدلاً من الخدمات المصرفية داخل الفروع، فإن مجرمي الإنترنت في حالة تأهب قصوى يفتحون إمكانيات جديدة للأنشطة الاحتيالية. وفي هذه الظروف، يجب على البنوك بجميع أحجامها أن تفكر بعناية في كيفية زيادة أمن الخدمات المصرفية عبر الهاتف المحمول وحماية بيانات العملاء.
حقبة جديدة من الاحتيال المصرفي عبر الهاتف المحمول
يكتشف الباحثون الأمنيون باستمرار برامج ضارة جديدة تستهدف تطبيقات الخدمات المصرفية عبر الهاتف المحمول. واحد منهم هو FakeBank، برنامج تجسس يراقب نشاط الرسائل النصية القصيرة لرسائل التحقق الواردة من بنك العميل. عندما يتلقى مستخدم الخدمات المصرفية عبر الهاتف المحمول رسالة نصية قصيرة تحتوي على رمز التحقق، يقوم برنامج التجسس بنسخ المحتويات وإرسالها إلى المحتالين.
تنتشر برامج ضارة أخرى، اكتشفتها أنظمة أمان ESET، على شكل فيروس تقليد مشغل الفلاش تطبيق فيديو تم تثبيته إما من موقع ويب مصاب أو عبر رسالة نصية قصيرة مفترسة تحتوي على رابط تنزيل ضار. بمجرد تثبيته على الهاتف، يطلب التطبيق المزيف حقوق مسؤول الجهاز، وإذا منحه المستخدم، تقوم البرامج الضارة بإنشاء شاشة تسجيل دخول مزيفة ستظهر في المرة التالية التي يسجل فيها المستخدم الدخول إلى تطبيق الخدمات المصرفية عبر الهاتف المحمول. بمجرد قيام الضحايا بإدخال معلومات تسجيل الدخول وكلمات المرور الخاصة بهم، تقوم البرامج الضارة بنسخ هذه البيانات حتى يتمكن المحتالون من استخدامها لاحقًا للوصول إلى الحساب عن بُعد وسرقة الأموال.
علاوة على ذلك، اكتشف رومان أونوتشيك، كبير محللي البرمجيات الخبيثة في كاسبرسكي لاب، مؤخرًا تعديلًا جديدًا لفيروس طروادة المعروف الخاص بالخدمات المصرفية عبر الهاتف المحمول سفبينج. وفي نوفمبر 2016، تمكنت من إصابة أكثر من 318000 جهاز يعمل بنظام Android في جميع أنحاء العالم باستخدام إعلانات Google AdSense. أما حتى الآن، فتعتبر Svpeng واحدة من أخطر البرامج الضارة للخدمات المصرفية عبر الهاتف المحمول بسبب قدراتها القوية. على سبيل المثال، يمكن لحصان طروادة أن يرسم نفسه فوق تطبيقات أخرى، ويمنح نفسه أذونات لإرسال واستقبال الرسائل القصيرة، وإجراء المكالمات، وقراءة جهات الاتصال، بالإضافة إلى منح نفسه حقوق مسؤول الجهاز ومنع أي محاولة لإلغاء هذا الإجراء.
كما ترون، أصبح المحتالون أكثر إبداعًا في اختراع البرامج الضارة للصناعة المصرفية. في هذه الظروف، ننصحك بالتفكير والحذر في اختيار ما يناسبك فريق تطوير الخدمات المصرفية عبر الهاتف المحمول بالإضافة إلى التحقق بعناية من وجود نقاط ضعف في تطبيقاتك المصرفية الحالية.
أين تختبئ نقاط الضعف في الخدمات المصرفية عبر الهاتف المحمول؟
في عام 2017، أكسنتشر وNowSecure إجراء تقييمات الضعف لتطبيقات الخدمات المصرفية عبر الهاتف المحمول التابعة لـ 15 بنكًا في أمريكا الشمالية. وبعد اختبار كل من تطبيقات iOS وAndroid، حددوا القائمة التالية للمخاطر الأمنية الرئيسية للخدمات المصرفية عبر الهاتف المحمول:
- الملفات القابلة للكتابة عالميًا (أي يمكن للتطبيقات الأخرى الوصول للكتابة إلى الملفات)
- فحص SSL معطل / البيانات الحساسة أثناء النقل (أي الاتصالات غير المشفرة)
- الملفات التنفيذية القابلة للكتابة – يمكن أن تؤدي إلى ثغرات أمنية إضافية في التطبيق عند دمجها مع مشكلات أخرى
- عدم وجود تشويش على الكود المصدري للتطبيق، مما يسهل الهندسة العكسية
- تنفيذ SecureRandom ضعيف
- تحميل التعليمات البرمجية الديناميكية
- تعيين علامة “HttpOnly” بشكل غير مناسب (لمنع هجمات XSS)
- تعيين علامة “آمنة” بشكل غير مناسب (لمنع إرسال ملفات تعريف الارتباط عبر قنوات غير آمنة)
- حركة مرور TLS مع البيانات الحساسة
- عدم توفر أمان نقل التطبيق (على سبيل المثال، تعطيل ATS عالميًا).
يمكنك أيضًا استخدام الصندوق الأسود أو صندوق أبيض اختبار الاختراق للتحقق مما إذا كان تطبيق الخدمات المصرفية عبر الهاتف المحمول الحالي الخاص بك يحتوي على أي من نقاط الضعف هذه واطلب من فريق التطوير الخاص بك إصلاحها إن وجدت. وبصرف النظر عن هذه التدابير، يمكنك أيضًا إعادة صياغة تطبيقك بعدة طرق.
5 طرق لتعزيز أمن الخدمات المصرفية عبر الهاتف المحمول
1. إدخال بصمة الجهاز
تعمل هذه الميزة على تحديد سلامة الجهاز وتساعد على تأكيد هوية المستخدم باستخدام مجموعة فريدة من الإشارات التي يتم الحصول عليها من الجهاز. تتضمن هذه الإشارات عادةً عنوان IP والموقع وحجم الشاشة والمتصفح والوقت من اليوم ونوع الجهاز وما إلى ذلك.
2. تنفيذ حلول SIEM
تسمح الحماية المصرفية عبر الهاتف المحمول باستخدام نظام SIEM بتحديد عدد كبير من المخاطر والحالات الشاذة والسلوكيات الضارة، مثل:
- جهاز مكسور الحماية أو متجذر
- الجهاز متصل بشبكة Wi-Fi غير آمنة
- يقوم الجهاز بتشغيل المحاكي
- الوصول من الدول الأجنبية
- سرعة عالية لعمليات تسجيل الدخول الأخيرة
- التصعيد في محاولات تسجيل الدخول السيئة
- ظروف أخرى غير عادية.
يمكنك إنشاء قواعد الارتباط المخصصة الخاصة بك وتحديد متى ستؤدي هذه الأحداث إلى تشغيل تنبيه النظام.
3. أضف مصادقة متعددة العوامل
إن المطلب البسيط المتمثل في إرسال كلمة مرور للوصول إلى الحساب البنكي للعميل في تطبيق الخدمات المصرفية عبر الهاتف المحمول لم يعد مرضيًا لمنع الاحتيال. لزيادة أمن الخدمات المصرفية عبر الهاتف المحمول، يجب على البنوك إضافة طبقة أخرى من الدفاع، مثل كلمات المرور التي يتم إنشاؤها لمرة واحدة أو المصادقة البيومترية. يمكن أن يعتمد الأخير إما على الخصائص الفيزيائية الثابتة أو الأنماط السلوكية البشرية. بينما تحلل القياسات الحيوية الثابتة الخصائص الفسيولوجية للأشخاص، مثل بصمات الأصابع، وقزحية العين، وشبكية العين، وما إلى ذلك، تتعامل القياسات الحيوية السلوكية مع صوت الشخص، وإيقاع الكتابة، وسرعة التمرير، وأنماط التمرير، وغيرها من السمات التي تكشف عن الطرق الفريدة التي يتفاعل بها الأشخاص مع أجهزتهم. عند تنفيذها، يكاد يكون من المستحيل على المحتالين تقليد هذه العوامل.
4. تقديم تنبيهات نصية وبريد إلكتروني في الوقت الفعلي
من خلال إضافة تنبيهات أمنية إلى وظيفة الخدمات المصرفية عبر الهاتف المحمول، ستتمكن من إخطار عملائك في الوقت الفعلي عند وجود أي نشاط غير عادي عبر الإنترنت أو من خلال جهاز محمول. تسمح هذه التنبيهات للبنك بإخطار العملاء بما يلي:
- عندما تحدث عمليات شراء كبيرة
- عندما يتغير الملف الشخصي للعميل أو كلمة المرور
- عندما يتجاوز السحب من أجهزة الصراف الآلي مبلغًا معينًا
- عندما ينخفض رصيد حساب العميل عن مبلغ محدد
- عند حدوث أي عملية شراء ببطاقة الخصم، وما إلى ذلك.
على سبيل المثال، إذا لاحظ البنك أن العميل قد قام بالدفع عبر الإنترنت إلى مستفيد غير معروف، فيمكن للبنك إرسال تنبيه نصي للمستهلك للتأكد من أن المعاملة المطلوبة مشروعة. ونتيجة لذلك، لا تساعد هذه الوظيفة في منع الاحتيال فحسب، بل يمكنها أيضًا تحسين تجربة العملاء وزيادة الثقة.
5. قم بتثقيف عملائك بشكل استباقي
إن تعزيز أمن الخدمات المصرفية عبر الهاتف المحمول ليس مسؤولية البنك فقط، ويجب على العملاء اتخاذ الاحتياطات الخاصة بهم أيضًا. ولهذا السبب، يجب على البنوك التي تقدم تطبيقات الخدمات المصرفية عبر الهاتف المحمول لعملائها أيضًا تثقيفهم حول كيفية حماية أنفسهم من أي نشاط احتيالي.
الأمن أم تجربة المستخدم؟
يعد تحقيق التوازن المناسب بين الأمان وتجربة المستخدم هدفًا صعبًا في تطوير الخدمات المصرفية عبر الهاتف المحمول. مع الأخذ في الاعتبار أن تطبيقات الخدمات المصرفية عبر الهاتف المحمول تقوم حاليًا بتخزين ونقل العدد المتزايد من البيانات الحساسة للعملاء، يجب على البنوك توظيف المطورين ذوي الخبرة فقط الذين يتمتعون بعقلية “الأمان أولاً”. ومع ذلك، فإن اعتماد الخدمات المصرفية عبر الهاتف المحمول يرتبط ارتباطًا وثيقًا بتجربة المستخدم والراحة العامة للتطبيق. إذا ضحّت البنوك بتجربة المستخدم من أجل الأمان، فقد لا يرغب العملاء، وخاصة جيل الألفية، في استخدام الخدمات المصرفية عبر الهاتف المحمول بسبب الاحتكاك المتزايد. وبالتالي، ننصح البنوك بالتفكير في كيفية تحقيق التوازن بين الأمان وتجربة المستخدم أثناء التخطيط لتنفيذ الخدمات المصرفية عبر الهاتف المحمول وإنشاء المتطلبات الخاصة بها.
