Nowe metody ochrony płatności mobilnych

Jak będą wyglądały nowe metody zabezpieczeń w bankach?

Dla firm finansowych bezpieczeństwo metod płatności stanowi kluczową potrzebę na takim samym poziomie, jak zapewnienie prywatności i wygodę wszystkich transakcji swoim klientom. Wraz z rosnącą liczbą próbek szkodliwego oprogramowania i zagrożeń cybernetycznych, wiele banków i instytucji finansowych (czyli ING, Bank of America, Mastercard, PayPal), które przystąpiły do FIDO Alliance (Fast IDentity Online), organizacji wspierającej oraz promującej technologie, dzięki którym użytkownicy będą mogli korzystać z usług online, bez tworzenia wielu kont i nowych haseł, (których niestety nie zmieniają lub stosują w wielu miejscach jednocześnie).

Protokoły te nie używają prostych haseł, a są oparte na kryptografii klucza publicznego i mocno odporne na phishing. Użytkownicy rejestrując swoje urządzenie do usługi online, wybierają lokalny mechanizm uwierzytelniania, taki jak przeciąganie palcem i patrzenie w kamerę, mówienie do mikrofonu, lub wprowadzanie kodu PIN. Po zarejestrowaniu, należy po prostu powtórzyć działania lokalne, w celu uwierzytelnienia i zalogowania do usługi. Użytkownik nie musi wpisywać hasła podczas uwierzytelniania na tym urządzeniu. Uniwersalna ramowa funkcja uwierzytelniania pozwala również na łączenie tych mechanizmów poprzez połączenia odcisku palca i PINu.

Drugie rozwiązanie zwiększa bezpieczeństwo usług online poprzez zastosowanie autoryzacji dwuetapowej, dodając do hasła kolejne silne zabezpieczenie. Użytkownik, tak jak dotąd, loguje się za pomocą nazwy użytkownika i hasła. Usługa może również w każdej chwili poprosić o autoryzację dla drugiego zabezpieczenia (takiego, które wybrał użytkownik). Może być to np. kod sms z numerem PIN wysłany na wskazany numer telefonu. Takie zabezpieczenia już z powodzeniem działają dla np. usług poczty.

Takie protokoły nie dostarczają informacji, które mogą być używane przez różne usługi internetowe do śledzenia użytkowników. Informacje biometryczne nigdy nie opuszczają urządzenia użytkownika.

Podczas zabezpieczania transakcji, dla banków zawsze najwyższym priorytetem jest zachowanie bezpieczeństwa wewnętrznego. Firmy te muszą z góry planować usuwanie awarii oraz mieć możliwość szybkiego zidentyfikowania i zbadania naruszeń bezpieczeństwa, poprzez dobrze zaplanowane procedury reagowania.

W obu powyższych przypadkach płatności największym zagrożeniem bezpieczeństwa może okazać się… człowiek. W wypadku aplikacji wystarczy, aby ustawił zbyt prosty PIN dostępu do aplikacji, nie zabezpieczył telefonu i go zgubił – wtedy może się okazać, że z własnej winy stał się ofiarą.

Ostatnie trzy lata to przykład tego, jak szybko rozwija się rynek technologii mobilnych. Wraz ze wzrostem ilości użytkowników smartfonów rośnie ilość użytkowników korzystających z mobilnych form płatności. Są już pierwsze aplikacje bankowe, które można obsługiwać głosem.

Zabezpieczenia odblokowywane głosem testuje także Google, o czym producent oprogramowania Bitdefender niedawno informował, jednak nadal nie są to w 100% skuteczne metody. Bioinżynieria naczyń krwionośnych palca także jest już wykorzystywana – ta metoda wydaje się niezawodna (układu naczyń nie da się podrobić), jednak kwestią czasu pozostaje jej dopracowanie, gdyż o wielu zabezpieczeniach kiedyś mówiliśmy „niezawodne” – np. o odciskach palców, które także w dość prosty sposób można podrobić. 

Docierają także do nas informacje o stworzeniu specjalnych elektronicznych opasek, które łącząc się ze smartfonem pozwalają na zalogowanie się do swojego konta bez żadnej dodatkowej weryfikacji. Jednak ta metoda może okazać się zgubna – hakerzy także nie próżnują.

Zdecydowanie metody biometryczne to przyszłość. Jednak należy także pamiętać, że w wypadku przelewów wykonywanych na smartfonach i tabletach także należy instalować oprogramowanie antywirusowe, gdyż pozwoli to wykryć złośliwe aplikacje, które mogą przejąć dane do autoryzacji przelewów i przekazać je w niepowołane ręce. Dodatkowa ochrona nigdy nie zaszkodzi.

Czy dalej będziemy potrzebowali antywirusów?

Ludzie zawsze powinni stosować rozwiązania bezpieczeństwa, aby nie stać się ofiarami cyberprzestępców. Rozwiązania bezpieczeństwa zawsze będą chronić użytkowników przed nieautoryzowanym dostępem do sieci i zapewniać bezpieczeństwo zgromadzonym przez nich danych. Darmowe hotspoty Wi-Fi są szczególnie podatne na monitorowanie ruchu i dystrybucję złośliwego oprogramowania, ponieważ nie są one chronione hasłem i każdy może z nich korzystać. Na komputerze osobistym, różne rodzaje złośliwego oprogramowania mogą próbować wykraść dane logowania i dokonywane transakcje finansowe, powodując znaczne straty finansowe, chyba, że ochrona antywirusowa będzie aktywna i zapobiegnie takim incydentom.

Jak w tej chwili możemy zabezpieczyć transakcje mobilne?

Podczas wykonywania płatności mobilnych zaleca się, aby nie ujawniać informacji na temat swojej tożsamości, hasła, numeru konta, PIN’u lub kodu CVV i nie podłączać się do publicznej sieci Wi-Fi.

Jeśli banki oferują własne aplikacje mobilne, klienci są zachęcani do korzystania z nich, ponieważ zazwyczaj zabezpieczone są kilkoma mechanizmami bezpieczeństwa, obejmującymi nie tylko szyfrowanie ruchu, tak jak w przypadku banku ING. Najlepiej, aby wszystkie transakcje wykonywane poprzez urządzenia mobilne były wykonywane za pomocą danych sieci komórkowej (3G, 4G itd.) oraz należy unikać publicznych hotspotów Wi-Fi, gdyż łatwo zostać „podsłuchanym” przez cyberprzestępców, którzy mogą przechwycić dane transakcji.