Legalna sesja, nielegalna kontrola. Czego bank nie widzi w kanale mobilnym?
Dlaczego poprawna sesja nie oznacza braku ryzyka?
Wraz ze wzrostem liczby użytkowników i operacji mobilnych rośnie ryzyko nadużyć, szczególnie tych opartych na manipulacji klienta. W wielu organizacjach widoczność kończy się na uwierzytelnieniu i analizie transakcji. W praktyce oznacza to jedno: bank widzi poprawnie zalogowanego użytkownika i właściwie wykonane operacje – ale nie widzi sygnałów zdalnego dostępu i oznak przejęcia kontroli nad urządzeniem.
Efekt tej luki jest dobrze znany zespołom fraudowym. O incydencie bank dowiaduje się dopiero na etapie reklamacji. Z perspektywy systemów wszystko wyglądało poprawnie. Transakcja została „wyklikana” przez klienta na jego własnym urządzeniu. Dopiero po czasie okazuje się, że za tą aktywnością stał przestępca.
Nie każda aktywność użytkownika jest jego decyzją
W scenariuszu remote access scam (oszustwo z wykorzystaniem zdalnego pulpitu) problemem nie jest przełamanie zabezpieczeń technicznych czy kradzież danych logowania. Użytkownik loguje się poprawnie, ale przeważnie od tego momentu przestaje działać samodzielnie. Pod wpływem presji czasu i manipulacji, wykonuje instrukcje oszusta, często pozostając z nim w kontakcie telefonicznym.
Nierzadko dochodzi również do udostępnienia ekranu lub przejęcia kontroli nad urządzeniem za pomocą narzędzi takich jak AnyDesk, TeamViewer czy innych. Z punktu widzenia banku nadal jest to w pełni legalna sesja. Z punktu widzenia ryzyka – kontrola nad nią została przejęta.
To właśnie w tym miejscu pojawia się krytyczna luka: systemy widzą uwierzytelnionego użytkownika, ale nie są w stanie rozpoznać, że działa on pod wpływem przestępcy.
Fraud zaczyna się także przed logowaniem
Co istotne, ekspozycja na nadużycie może pojawić się jeszcze przed rozpoczęciem pełnej sesji.
W niektórych aplikacjach wybrane funkcje, takie jak wygenerowanie kodu BLIK, są dostępne jeszcze przed logowaniem. To tworzy obszar ryzyka, który nie zawsze jest objęty standardową logiką detekcyjną banku.
W praktyce oszust może wykorzystać ten moment na dwa sposoby. W pierwszym scenariuszu manipuluje klientem banku podczas rozmowy i nakłania go do odczytania wygenerowanego kodu.
W drugim wariancie, gdy wcześniej uzyska zdalny dostęp do urządzenia, może sam doprowadzić do wygenerowania kodu na ekranie jeszcze przed zalogowaniem do aplikacji. Jeżeli mechanizmy ochronne koncentrują się wyłącznie na aktywności po uwierzytelnieniu, ten etap pozostaje poza pełną widocznością banku.
Widoczność przed i w trakcie sesji: nowy standard ochrony mobilnej
Aby realnie domknąć lukę w kanale mobilnym bank potrzebuje narzędzi, które dają widoczność technicznych sygnałów ryzyka przez cały czas trwania sesji – a nawet przed jej formalnym rozpoczęciem. W praktyce oznacza to konieczność monitorowania aktywności narzędzi do zdalnego dostępu w czasie rzeczywistym. Podejście to pozwala zidentyfikować sytuacje, w których użytkownik, mimo poprawnego uwierzytelnienia, nie działa w pełni autonomicznie.
Istotnym elementem jest moment rozpoczęcia obserwacji. Jeśli widoczność zaczyna się dopiero po uwierzytelnieniu, część fraudów już zdążyła się wydarzyć.
Równie ważna jest spójność tej widoczności w różnych środowiskach – zarówno w natywnych aplikacjach mobilnych, jak i w sesjach realizowanych przez przeglądarkę. Dzięki temu bank może zapewnić jednolity poziom ochrony na Androidzie i iOS, niezależnie od urządzenia, z którego korzysta użytkownik.
Podejście to jest rozwijane m.in. w rozwiązaniach klasy Remote Desktop Detection for Mobile, które koncentrują się na identyfikacji aktywności narzędzi takich jak AnyDesk czy TeamViewer w czasie rzeczywistym. Ich zastosowanie pozwala bankom przesunąć moment reakcji z etapu reklamacji na moment trwania sesji – tam, gdzie faktycznie powstaje ryzyko.
W efekcie możliwe staje się nie tylko ograniczenie strat finansowych, ale również zmniejszenie liczby reklamacji i wzmocnienie zaufania do kanału mobilnego.
Jak banki realnie ograniczają fraudy typu remote access scam?
Przykłady wdrożeń tego podejścia pokazują, że rozszerzenie widoczności o kontekst zdalnego dostępu może istotnie ograniczyć skalę fraudów typu remote access scam – w niektórych przypadkach nawet o 97%.
W miarę dojrzewania kanału mobilnego tego typu mechanizmy stają się naturalnym uzupełnieniem istniejących systemów detekcyjnych. Bo dziś kluczowe pytanie nie brzmi już: czy klient poprawnie się uwierzytelnił. Pytanie brzmi: kto faktycznie kontroluje jego urządzenie w trakcie sesji. Rozwiązania klasy Remote Desktop Detection powstały właśnie po to, by na to pytanie odpowiedzieć – w czasie rzeczywistym.
Skuteczność takiego modelu ochrony najlepiej widać na przykładzie wdrożenia w jednym z banków.
Skuteczne cyberbezpieczeństwo budowane w Polsce
PREBYTES tworzy technologie, które pomagają bankom chronić to, co w cyfrowej bankowości najcenniejsze: klientów, dostęp do usług i własne środowiska bezpieczeństwa.
Firma rozwija rozwiązania do przeciwdziałania fraudom i przejęciom kont, a także narzędzia z obszaru threat intelligence i testowania skuteczności detekcji.
Projektuje je tak, by można je było wdrażać wygodnie, bez przebudowy architektury, z pełnym uwzględnieniem wymagań regulacyjnych sektora finansowego.
W Polsce rozwiązania PREBYTES zapewniają bezpieczeństwo systemów bankowych obsługujących ponad 30 mln użytkowników.
