Ochrona przed nadużyciami w bankowości mobilnej

Firma HID Global udostÄ™pniÅ‚a kolejnÄ… wersjÄ™ oprogramowania Authentication Server w wersji 7.3. NowoÅ›ciÄ… jest rozwiÄ…zanie ActivID Trusted Transactions, które wykorzystujÄ…c technologiÄ™ Mobile Push w powiÄ…zaniu z bezpiecznym tunelem, umożliwia bankom znacznie bardziej wygodne przesyÅ‚anie klientom powiadomieÅ„ o oczekujÄ…cych transakcjach na telefony i tablety i ich przeprowadzanie po uprzedniej autoryzacji.

- Klienci majÄ… coraz wiÄ™kszy problem z odróżnieniem oficjalnych stron internetowych, oryginalnych wiadomoÅ›ci e-mail czy telefonów pochodzÄ…cych z ich banku od tych, które sÄ… przygotowane przez oszustów. StÄ…d coraz trudniej jest im uniknąć nieprawidÅ‚owych lub faÅ‚szywych transakcji – mówi Tim Phipps, wiceprezes marketingu produktowego Identity Assurance w HID Global. – DziÄ™ki wprowadzonemu rozwiÄ…zaniu ActivID Trusted Transactions, banki mogÄ… zaoferować swoim klientom znacznie wygodniejszy sposób mobilnej autoryzacji transakcji out-of-band, który ostrzega ich w czasie rzeczywistym o podejrzanych transakcjach przeprowadzanych na kontach. ZapewniajÄ…c prosty sposób potwierdzenia wiarygodnoÅ›ci odnotowanej transakcji, oddajemy kontrolÄ™ z powrotem w rÄ™ce klientów – wyjaÅ›nia.

Instytucje finansowe używajÄ…ce kanaÅ‚ów bankowoÅ›ci mobilnej polegajÄ… zazwyczaj na prostych hasÅ‚ach statycznych lub na weryfikacji out-of-band bazujÄ…cej na jednorazowych hasÅ‚ach OTP (one-time-password) przesyÅ‚anych na telefony klientów w wiadomoÅ›ciach SMS. CyberprzestÄ™pcy, którzy zaatakowali przeglÄ…darkÄ™ internetowÄ… użytkownika lub zainstalowali zÅ‚oÅ›liwe oprogramowanie za pomocÄ… SMSa, mogÄ… przejąć jego konto i przeprowadzić nieautoryzowane transakcje na ogromne sumy pieniÄ™dzy. Do przeprowadzenia takich ataków wykorzystuje siÄ™ metody phishingu, vishingu, SMS malware, techniki man-in-the-middle i man-in-the-browser, co powoduje obniżenie zaufania konsumentów do bankowoÅ›ci elektronicznej.

W celu rozwiÄ…zania tego problemu oferowane przez firmÄ™ HID Global rozwiÄ…zanie out-of-band „Phone-as-a-Token” („telefon jako token”) wykorzystuje podpis transakcji oparty o kryptografiÄ™ klucza publicznego, realizowany poprzez zaufany i bezpieczny kanaÅ‚ elektroniczny. CaÅ‚a komunikacja jest szyfrowana z wzajemnym uwierzytelnieniem miÄ™dzy urzÄ…dzeniem mobilnym wykorzystywanym przez użytkownika, a aplikacjÄ… banku. Niezaprzeczalność transakcji jest zapewniona dziÄ™ki generowaniu prywatnego klucza użytkownika poza systemem banku, a nastÄ™pnie jego ochronie przed ujawnieniem, sklonowaniem lub dostÄ™pem z poziomu innej aplikacji. W poczÄ…tkowej fazie transakcji, system autoryzacji ActivID Authentication Server używa mechanizmu Mobile Push, aby do zarejestrowanego dla danego użytkownika urzÄ…dzenia mobilnego dostarczyć powiadomienie autoryzacyjne. W kolejnym kroku dane transakcji sÄ… bezpiecznie przesyÅ‚ane i zwizualizowane na telefonie użytkownika wraz z proÅ›bÄ… o ich akceptacjÄ™ lub odrzucenie przy pomocy aplikacji wykorzystujÄ…cej narzÄ™dzie ActivID Mobile Signing Software Developer Kit (SDK). Autoryzowane odpowiedzi sÄ… przekazywane do serwera ActivID Authentication Server, który sprawdza ich autentyczność i przesyÅ‚a je do systemu bankowego, aby zaakceptować lub zablokować transakcjÄ™.

BezpieczeÅ„stwo, caÅ‚kowity koszt posiadania (TCO) i wygoda użytkowania (UX) różniÄ… siÄ™ pomiÄ™dzy poszczególnymi metodami wykorzystujÄ…cymi telefon jako token. Uwierzytelnianie Out-of-band (OOB) z powiadomieniami Push, zachowuje najlepszy balans pomiÄ™dzy uzyskanym bezpieczeÅ„stwem a wygodÄ… użytkowania, dziÄ™ki czemu w wielu przypadkach okazuje siÄ™ być najlepszym wyborem – mówi Ant Allan, analityk z firmy Gartner.

Dostępność
ActivID Trusted Transactions z powiadomieniami Mobile Push jest dostępne w najnowszej wersji oprogramowania ActivID Server Authentication 7.3 firmy HID Global.