Ryzykowne zachowania klienta w Internecie? Ty poniesiesz konsekwencje
Klienci w naturalny sposób zakładają, że kanały transakcyjne dostarczane przez dobrze im znane firmy są bezpieczne. Ufają swojemu dostawcy usług bankowych lub popularnemu operatorowi e-commerce.
W ciągu ostatnich 5 lat ilość naruszeń bezpieczeństwa wzrosła o 67%. University of Maryland podaje, że hakerzy atakują średnio co 39 sekund
Wierzą też, że dostarczane przez nich aplikacje są dobrze zabezpieczone, co bardzo często jest zgodne z prawdą.
Jak jednak ochronić klientów przed nimi samymi? Jak zabezpieczyć ich przed ryzykownymi zachowaniami w sieci, czy zainfekowanymi urządzeniami, z których korzystają? Biorąc pod uwagę fakt, że najczęściej dostawca aplikacji nie ma kontroli nad urządzeniem końcowym użytkownika, odpowiedź na to pytanie staje się szczególnie trudna.
Liczba oszustw internetowych rośnie w zastraszającym tempie ‒ według Accenture, w ciągu ostatnich 5 lat ilość naruszeń bezpieczeństwa wzrosła o 67%. University of Maryland podaje, że hakerzy atakują średnio co 39 sekund.
Szczególnie niepokojący jest fakt, że nawet przy zachowaniu najwyższych standardów bezpieczeństwa w aplikacji, oszuści nadal mogą wykorzystać urządzenia Twoich klientów przeciwko nim samym lub sfałszować transakcję przy użyciu sklonowanej tożsamości. A gdy im się to uda, w ostatecznym rozrachunku klient będzie miał poczucie, że to dostawca aplikacji, czy też strony nie zabezpieczył jego działań w odpowiedni sposób.
Dlaczego? Bo nawet w przypadku, gdy fraudowa transakcja została wykonana przez uprawnionego użytkownika działającego pod presją, to Ty, jako dostawca, do niej dopuściłeś. A arsenał możliwych oszustw jest pokaźny: authorized push payments (APP fraud), przejęcia kont, phishing, spoofing. Do wyboru, do koloru…
Bezpieczeństwo i wygoda?
Jakie w takim razie możliwości ma dostawca aplikacji? Wydaje się, że dosyć ograniczone. Bo przecież instytucje opieki zdrowotnej, udostępniające swoim klientom aplikacje do umawiania konsultacji lekarskich online, nie mogą wymusić na pacjentach, aby ci pobrali oprogramowanie antywirusowe i dbali o jego aktualność na swoich telefonach komórkowych lub komputerach. Tak jak bank nie wie, czy klient poprawnie uwierzytelniony do bankowości online nie działa pod presją oszusta, który wymusza na nim wykonanie konkretnych akcji.
Potrzebne są rozwiązania, które zapewnią wysoki poziom bezpieczeństwa, nie powodując przy tym utrudnień dla użytkownika końcowego
Silne metody uwierzytelniania, takie jak 2FA, mają swoje zasłużone miejsce w zabezpieczaniu przed nieuczciwymi próbami uwierzytelniania i autoryzacji, ale nie są wystarczające, aby zapewnić ochronę przed kradzieżą tożsamości lub oszustwami, które mają miejsce już po fakcie prawidłowego uwierzytelnienia użytkownika.
Co więcej, w niektórych przypadkach 2FA może być nadmiarowe i prowadzić do pogorszenia komfortu użytkowania aplikacji. W systemach do obsługi programów lojalnościowych, gdzie ochrona jest konieczna, aby zapobiec próbom wyłudzenia punktów lub nagród przy użyciu sklonowanej tożsamości, powtarzający się wymóg uwierzytelniania dwuskładnikowego może być postrzegany przez klientów jako przesadny i niewygodny.
Konieczna jest ochrona całej sesji użytkownika ‒ nie tylko fazy uwierzytelniania, ale całego procesu transakcji
Dostawcy usług online mają twardy orzech do zgryzienia balansując między koniecznością zapewnienia ochrony przed cyberoszustwami, a potrzebą dostarczenia produktów gwarantujących najwyższy poziom user experience. Potrzebne są rozwiązania, które zapewnią wysoki poziom bezpieczeństwa, nie powodując przy tym utrudnień dla użytkownika końcowego.
Co ważne, aby nie stracić zaufania klientów, absolutnie konieczna jest ochrona całej sesji użytkownika ‒ nie tylko fazy uwierzytelniania, ale całego procesu transakcji.
Zapobieganie fraudom ‒ właściwe narzędzia
Zachowanie najwyższego poziomu użyteczności wymaga, aby rozwiązania z zakresu cyber security były w pełni transparentne dla użytkownika. Magia dzieje się w tle, a dodatkowe czynności, takie jak uwierzytelnianie dwuskładnikowe są wymagane wyłącznie w przypadku, kiedy jest to konieczne.
Taki sposób działania, oparty na paradygmacie adaptive authentication nie wpływa negatywnie na komfort obsługi. Rozwiązanie Comarch Cyber Threat Protection działa w kontekście aplikacji lub strony internetowej, z której klienci korzystają, aby uzyskać dostęp do swoich usług. Monitoruje szeroki zakres parametrów związanych z tym, co dzieje się na urządzeniu użytkownika, ale także takich, które definiują typowe zachowania użytkownika. Następnie w wyniku analizy zebranych artefaktów wyliczany jest scoring transakcji, na podstawie którego podejmowana jest decyzja, czy użytkownik powinien zostać zautoryzowany, czy też nie.
Funkcjonalność wykrywania złośliwego oprogramowania pozwala sprawdzić, czy na urządzeniu użytkownika nie zainstalowano podejrzanych aplikacji
Rozwiązania tego typu bazują na rozbudowanych modułach, które pozwalają wykrywać konkretne typy oszustw. Przykładowo, zastosowanie biometrii behawioralnej umożliwia nie tylko odróżnienie człowieka od maszyny, ale także wykrycie sytuacji, kiedy zachowanie użytkownika odbiega od standardowego. Czy użytkownik pisze na klawiaturze wolniej niż zwykle lub porusza wskaźnikiem myszy w nietypowy sposób? Może to sugerować, że działa pod presją, próbując wykonać instrukcje przekazywane telefonicznie przez oszusta.
Rozpoznawanie urządzenia i weryfikacja jego reputacji umożliwia sprawdzenie unikalnych charakterystyk i zidentyfikowanie zmian. Przykładem może być zmiana wersji systemu operacyjnego, czy przyspieszone zużywanie baterii (które może wskazywać na złośliwe oprogramowanie działające w tle).
Funkcjonalność wykrywania złośliwego oprogramowania pozwala sprawdzić, czy na urządzeniu użytkownika nie zainstalowano podejrzanych aplikacji. Można to zrobić nawet wtedy, gdy zostały one pobrane w trakcie sesji. Sprawdza również, czy urządzenie nie działa w trybie root lub jailbreak.
Rozpoznawanie urządzenia i weryfikacja jego reputacji umożliwia sprawdzenie unikalnych charakterystyk i zidentyfikowanie zmian
Inne moduły pozwalają na weryfikację, czy wartości tymczasowe nie zostały wykorzystane do uzyskania dostępu do systemu za pomocą skradzionej tożsamości.
Budowanie zaufania i partnerstwa
Wszystkie te złożone operacje muszą bezwzględnie odbywać się w tle, aby wyeliminować negatywny wpływ na komfort użytkowania aplikacji mobilnej, czy webowej.
Takie całościowe podejście podnosi rolę dostawcy usług do poziomu godnego zaufania partnera, który chroni nie tylko kanały transakcyjne, ale całość transakcji realizowanej przez klienta.
Przynosi to dodatkową wartość klientom i jest strategią korzystną dla obu stron: im większe bezpieczeństwo Twoich klientów, tym silniejsza twoja pozycja wiarygodnego partnera.
Product Manager, Comarch.
Comarch Cyber Security dowiedz się więcej