اعتماد بیشتر و کلاهبرداری کمتر در تلفن همراه: چگونه تجربه ایمن­تری در بانکداری تلفن همراه ارائه دهیم

به نظر ساده می­رسد: بانک باید اعتماد داشته باشد که شخص فرستنده درخواست تراکنش، مشتری قانونی است. و بالعکس، مشتری باید مطمئن باشد که ارتباطی که در دستگاه­های تلفن همراه اندرویدی یا iOS خود در رابطه با آن تراکنش دریافت می­کند، واقعاً از طریق بانک مورد نظر انجام می شود. اما آیا واقعاً اعتماد سازی در بخش تلفن همراه به همین سادگی است؟ و موسسات مالی (FI) برای جلوگیری از سوءاستفاده کلاهبرداران از این اعتماد با بدافزار، تصاحب حساب، سرقت هویت و انواع دیگر کلاهبرداری اینترنتی[MA1]  ، چه کاری می­توانند انجام دهند؟

کاربران بیشتر، کلاهبرداری بیشتر در تلفن همراه

بدیهی است که COVID-19 نحوه تعامل ما با بانک­ها را تغییر داده است. بانکداری تلفن همراه در حال افزایش است. بررسی اخیر Aite Group نشان داد که 86٪ از جوانان، 83٪ از نوجوانان، 72٪ از نسل­های دهه 1960 تا 1970، 38٪ از متولدین بعد از جنگ جهانی دوم و 17٪ از سالمندان با استفاده از تلفن همراه خود حداقل یک بار در هفته به حساب­های بانکی خود دسترسی پیدا می­کنند. حتی تراکنشات شرکت­های بانکی از طریق تلفن همراه نیز در حال افزایش هستند. Citi از افزایش ده برابری کاربران برنامه شرکتی بانکداری تلفن همراه خود، CitiDirect BE، در مارس 2020 در مقایسه با سال قبل همین ماه خبر داد. در حالی که افزایش اخیر در بانکداری تلفن همراه بیشتر به COVID-19 نسبت داده شده است، این رشد در استفاده از بانکداری تلفن همراه فراتر از سال 2020 ادامه خواهد یافت.

کلاهبرداران فرصت و مسیری که دارای کمترین مقاومت است را دنبال می­کنند. این فرصت در حال حاضر در تلفن همراه است و جای تعجب نیست که ما شاهد افزایش چشمگیر حملات کلاهبرداری هستیم. کارشناسان صنعت از افزایش 37 درصدی حملات موبایلی فیشینگ در سطح جهانی در سه ماهه اول سال 2020 نسبت به سه ماهه قبل و افزایش 173 درصدی در تروجان های بانکداری تلفن همراه در همین مدت خبر داده­اند.

 این حملات کلاهبرداری پیچیده­تر نیز می­شوند، از جمله حملات چند جانبه که تکنیک­های مختلف را ترکیب می­کنند، جایی که دستگاه­های تلفن همراه در معرض خطر نقش زیادی دارند. در صورت این حملات، موسسات مالی متوجه می­شوند که استراتژی­های ضد کلاهبرداری که در بخش وب کار می­کنند، به همان اندازه در بانکداری تلفن همراه موثر نیستند.

خدمات بیشتر، اطلاعات بیشتر

در چند سال گذشته، ما شاهد تحول عظیمی در بخش بانکداری تلفن همراه به سمت ارائه خدمات بیشتر ، از جمله تراکنش­هایی با ریسک بالاتر هستیم. این صنعت اکنون شاهد ظهور اولین بانک­های دیجیتال تلفن همراه و موسسات eMoney مخصوص تلفن همراه بوده است. دستگاه­های تلفن همراه، دیگر فقط برای بررسی مانده حساب بانکی یا انتقال مبالغ اندک استفاده نمی­شوند. آنها در حال تبدیل شدن به هویت­های دیجیتالی ما هستند که به عنوان نشانه­های احراز هویت[MA2]  چند عاملی در چندین بخش بانکی مورد استفاده قرار می­گیرند. آنها فرصت و راحتی را برای تعامل در هر زمان و هر مکان با حساب­های بانکی و موسسات مالی فراهم می­کنند.

با این وجود موسسات مالی نمی­توانند همه مولفه­های این تعامل را مدیریت کنند. دستگاه تلفن همراه مورد استفاده مشتری اهداف دیگری از جمله سرگرمی، رسانه­های اجتماعی، شماره تلفن، پیامک­های متنی، مدیریت خانگی و خرید را در اختیار شما قرار می دهد. برنامه بانکی غالباً روی دستگاهی نصب می­شود که ده­ها برنامه دیگر از منابع مختلف و توسعه دهندگان داخل و خارج از فروشگاه­های رسمی دریافت برنامه­ها  به آن وارد می­شوند. بسته به آگاهی امنیتی و اقدامات شخصی کاربر، این دستگاه می­تواند به طور بالقوه jailbroken باشد یا Root شده باشد، می­تواند حاوی برنامه­های مخربی باشد یا بین کاربران بیشتری به اشتراک گذاشته شود. صاحب دستگاه می­تواند به اشتباه یک برنامه بانکی جعلی از فروشگاه­های برنامه نیز نصب کند. به عبارت دیگر، وضعیت امنیتی واقعی دستگاه تلفن همراه هر مشتری متفاوت خواهد بود، نوسان دارد و می­تواند در هر زمان تغییر کند. این یک چالش برای موسسات مالی است: چگونه اطمینان حاصل کنیم که برنامه­های تلفن همراه آنها می­توانند در این شرایط خطرناک ایمن کار کنند؟

با توجه به امنیت برنامه بانکداری تلفن همراه، محافظ برنامه تلفن همراه آن را قادر می­سازد تا بدون ایجاد مزاحمت در تجربه کاربر، در محیط­های غیرقابل اعتماد، بدون خطر و با امنیت کار کند. این برنامه را تقویت می­کند و به آن این امکان را می­دهد که حتی روی دستگاه­های در حالت jailbroken یا root شده نیز به طور ایمن اجرا شود. تجزیه و تحلیل داده­ها جنبه مهم دیگری است. یک بخش بانکداری از راه دور، مانند بانکداری تلفن همراه، مقدار قابل توجهی از داده­های مربوط به کاربر، دستگاه و تراکنش­ها را ارائه می­دهد. این شامل داده­های رد و بدل شده بین هر دو، هم دستگاه و هم سرور بانک در طی هر تراکنش و همچنین مجموعه گسترده­ای از داده های جمع آوری شده از دستگاه تلفن همراه در یک زمینه کلی­تر است. موسسات مالی باید راه­هایی برای نهایت استفاده از این طیف گسترده از داده­ها را برای ارزیابی مداوم سطح ایمنی و ریسک تراکنش­ها پیدا کنند.

ایجاد اعتماد در تلفن همراه

اعتماد، اصل استراتژی رشد دیجیتالی موسسات مالی است. یک موسسه مالی باید مطمئن باشد که کاربر را می­شناسد و می­تواند با اطمینان برای کاربر شناخته شده یک شناسه قوی که استفاده از آن راحت باشد به عنوان بخشی از استراتژی احراز هویت دو جانبه یا چند عاملی (MFA)، تهیه کند. به اصطاح قانونی باید مراحل فرآیند مشتری خودت را بشناس[MA3]  (KYC) را به دقت رعایت کند. همچنین باید به قصد کاربر چه برای انجام یک تراکنش مالی و چه اطمینان از روند کار هنگام تبادل اطلاعات، اعتماد داشته باشد. اعتماد همچنین باید در رابطه با دستگاه کاربر و برنامه مورد استفاده آن­ها وجود داشته باشد. همچنین مهم است که به بخش ارتباطی به / از هویت­ها، دستگاه­ها و برنامه­های قابل اعتماد، اعتماد کنند. آخرین ولی مهمترین عامل، موسسات مالی همچنین باید در مورد رفتار کاربر در همه دستگاه­های خود در همه بخش­های بانکی آگاهی داشته و اعتماد ایجاد کنند.

ایجاد و حفظ این اعتماد شامل اقدامات در سطوح زیر است:

• سمت مشتری: ارتقا امنیت دستگاه تلفن همراه مشتری
• سمت سرور: تجزیه و تحلیل داده­ها در پس زمینه
• کانال ارتباطی: ایجاد اعتماد بین دستگاه تلفن همراه و بانک برای ایجاد تعامل ایمن در هر دو جهت

با سطوح زیر می­توان به یک محیط قابل اعتماد در سمت مشتری دست یافت:

• ایجاد یک پیوند امن بین کاربر و دستگاه با مجموعه­ای از ابزارهای تدارک دیده شده
• امنیت و یکپارچگی برنامه – به عنوان مثال برای توسعه دهندگان، ابزارهایی برای ذخیره امن داده­ها در داخل برنامه تهیه شود
• محافظت از برنامه برای حفاظت از آن در برابر حملات زمان اجرا
• ارزیابی خطر و محتویات دستگاه (به عنوان مثال در حالت jailbreak بودن یا نبودن، موقعیت مکانی)، از وقتی که برنامه بانکداری تلفن همراه روی دستگاه­ به اشتراک گذاشته شده نصب شود.
•  

یک تعامل مورد اعتماد به دست می­آید توسط:

• احراز هویت دستگاه
• شناسایی مشتری ( KYC )
• احراز هویت بانک
• ایجاد یک کانال امن برای تعامل

نمایه­ای (پروفایل) در سمت سرور به دست می­آید توسط:

بررسی مستقل هر تعامل و تجزیه و تحلیل تمام داده­های موجود، توانایی ایجاد نمایه کاربر و نمایه دستگاه در سمت سرور و ایجاد جدول زمانی برای شناسایی فعالیت­های غیر طبیعی را فراهم می­کند.

هنگامی که اعتماد در این سه سطح وجود دارد، از طریق یک رویکرد 360 درجه­ای برای امنیت تلفن همراه و تجزیه و تحلیل کلاهبرداری، موسسات مالی می­توانند یک تجربه غنی از بانکداری تلفن همراه را ارائه دهند. به عنوان مثال، کاربران می­توانند به ویژگی­های بیشتری در برنامه­های تلفن همراه دسترسی پیدا کنند که در غیر این صورت به دلایل امنیتی در دسترس نخواهند بود (به عنوان مثال درخواست برای حساب های بانکی اضافی یا ارسال انتقال­های پولی بیشتر).

ایجاد و مدیریت این اعتماد به تجزیه و تحلیل داده­های زیادی نیاز دارد. این جا است که یک سیستم پیشگیری از کلاهبرداری مبتنی بر تجزیه و تحلیل خطر و یادگیری ماشینی نقش حیاتی دارد. این کار با جمع آوری، به روشی شفاف و مستمر، طیف گسترده­ای از داده­های خاص تلفن همراه انجام می­شود. جمع آوری و تجزیه و تحلیل داده­های شامل عناصر خاصی از بخش تلفن همراه، مهم است. از آنجا که تلفن­های همراه به طور کلی محتویات غنی­تری را فراهم می­کنند و امکان تجزیه و تحلیل پیشرفته­تری را می­دهند، نهایت استفاده از محتویات گسترده بخش تلفن همراه برای مبارزه با کلاهبرداری تلفن همراه ضروری است.

به عنوان مثال، این داده­ها می­تواند شامل موارد زیر باشد:

• سلامت دستگاه - از جمله، تشخیص اینکه دستگاه jailbroken شده است یا فعالیت مشکوکی در دستگاه وجود داشته است. این به ارزیابی خطر مربوط به اقدامات کاربر ناشی از این دستگاه و تنظیم اقدامات امنیتی لازم کمک می­کند.
• آگاهی دادن در مورد تایید هویت بیومتریک[MA4]  ، مانند ثبت کردن تشخیص چهره یا قوی بودن PIN کد. این به موتور جستجوی خطر کمک می­کند تا تصمیم بگیرد آیا اقدامات احراز هویتی که قبلاً اعمال شده است، برای اعتماد به هویت کاربر کافی است. مورد اجرایی این در ایران احراز هویت سجام[MA5]  است.
• اطلاعات کلی دستگاه، مانند نسخه سیستم عامل، مدل دستگاه و غیره. این به تشخیص تغییرات ناگهانی دستگاه کمک می­کند، که می­تواند نشانه­ای از حمله کلاهبرداری در حال انجام باشد.

یک دستگاه تلفن همراه قابل اعتماد

دستگاه تلفن همراه قابل اعتماد موسسات مالی را قادر می­سازد دامنه خدمات ارائه شده از طریق بخش تلفن همراه را گسترش دهند. ارزیابی مداوم خطر، اعتماد به نفس بیشتری را به موسسات مالی نگران به حملات پیچیده کلاهبرداری تلفن همراه می­دهد. با استفاده از یک موتور تجزیه و تحلیل خطر، موسسات مالی می­توانند با اطمینان هر نوع موارد کاربردی، از افزایش محدودیت تراکنش­ها تا اجازه دادن به مشتریان موجود برای باز کردن یک حساب سپرده جدید، را فعال سازند.

دستگاه تلفن همراه قابل اعتماد همچنین از موارد کاربردی­ای فراتر از دسترسی به بانکداری تلفن همراه پشتیبانی می­کند. وقتی موسسات مالی اقدامات امنیتی را اعمال می­کنند که میزان اطمینان کافی را فراهم می­کند، دستگاه می­تواند به عنوان یک احراز هویت چند جانبه رمزی، دو برابر عمل کند. می­تواند به عنوان تایید ایمنی برای تراکنش­های بانکداری آنلاین یا به عنوان تایید برداشت وجه از دستگاه­های خودپرداز مورد استفاده قرار گیرد. با تجزیه و تحلیل مداوم صدها داده با دقت و به موقع با استفاده از یادگیری ماشین، موسسات مالی می­توانند آن سطح از اعتماد را ارائه دهند.

برای توانا ساختن مفهوم دستگاه قابل اعتماد، یک راه حل ضد کلاهبرداری باید با یک رویکرد جامع­تر، گسترده­تر که عناصر مختلفی را ترکیب می­کند عمل کند:

• ایمن کردن جمع آوری و ذخیره اطلاعات
• ایمن کردن کانال برای انتقال داده از دستگاه تلفن همراه به سرور بانک
• ایمن کردن برنامه و تجزیه و تحلیل سمت سرور

این عناصر با تعیین میزان خطر، تصویری کامل و قابل اعتماد از دستگاه مشتری ایجاد می­کنند. میزان خطر باید به طور مداوم ارزیابی شود و در صورت افزایش سطح خطر، باید نظارت کننده­ها آماده نشان دادن واکنش باشند.

مدیریت اعتماد مداوم

همانطور که قبلاً نیز اشاره شد، هر لحظه میزان امنیت دستگاه تلفن همراه می­تواند تغییر کند. به همین دلیل بسیار مهم است که:

1. امنیت مرتبط با دستگاه به صورت پویا ارزیابی شود.

ایجاد سطح امنیت، فقط هنگامی که کاربر تازه دوره بانکی خود را شروع می­کند، کافی نیست. در دستگاه BYOB ، وضعیت و حالت دستگاه هر دقیقه می­تواند تغییر کند (به عنوان مثال، اگر کاربر برنامه مشکوکی را نصب کند). این می­تواند شرایط خطرناکی را ایجاد کند که در آن نه دیگر موسسات مالی و نه دیگر کاربر تراکنش­های بانکی را کنترل نمی­کنند.

1. فوراً نسبت به هرگونه تغییر در محیطی که برنامه بانکی در آن کار می­کند، واکنش نشان داده شود.

نقش موسسات مالی این است که ارزیابی پویایی از وضعیت داشته و بلافاصله در صورت وجود سوظن موجه در مورد به خطر افتادن دستگاه (و بنابراین دوره بانکی)، مثلاً توسط بدافزار، وارد عمل شود.

1. هویت دیجیتالی کاربر را به روشی شفاف و مداوم تأیید کند.

به علت نظارت بر محیطی که برنامه بانکی در آن کار می­کند ، موسسات مالی همچنین باید تأیید کنند که در طول کل دوره با کاربر قانونی معامله می­کنند تا از وضعیتی که یک کلاهبردار پس از ورود موفقیت­آمیز کاربر اوضاع را بدست می­گیرد، جلوگیری کنند. موسسات مالی باید به دنبال هرگونه سرنخی باشند که درخواست تراکنش از طرف شخص درستی ارائه نشده است. آنها می­توانند با ارزیابی محتویات رفتاری این کار را انجام دهند.

آیا این به این معنی است که وقتی سطح اطمینان کاهش می­یابد، موسسات مالی می­توانند دسترسی به خدمات را به سادگی منع کنند؟ به نظر ما، رویکرد سختگیرانه به اعتماد دستگاه، بخش بزرگی از کاربران بانکداری به تغییر بانک می­کند. در عوض، کنار هم قرار دادن فناوری تجزیه و تحلیل خطر با محافظ برنامه و سایر فناوری­های امنیتی تلفن همراه می­تواند ضمن افزایش رضایت و اعتماد مشتری، از کلاهبرداری جلوگیری کند. این فناوری­ها عوامل خطر را شناسایی می­کنند اما همچنان به برنامه بانکداری تلفن همراه اجازه می­دهند تا با امنیت در یک محیط خطرناک دیگر عمل کند.

احراز هویت دیجیتال یوآیدی

احراز هویت بیومتریک با تراکنش‌های مالی در ایران نیز بسیاری از مشکلات و جرایم مالی در فضای دیجیتال کاهش می‌دهد. سرویس احراز هویت دیجیتال[MA6]  یوآیدی با روندهای جهانی همگام شده است و با ارائه خدمات احراز هویت بیومتریک با استفاده از فناوری‌های هوش مصنوعی[MA7]  ، به موسسات مالی، بستر انجام تراکنش‌های مالی با شناسایی هویت غیرحضوری[MA8]  را فراهم کرده است. حال که ضرورت این راهکار به دلیل افزایش جرایم مالی در فضای دیجیتال و ایجاد روش‌هایی با تجربه کاربری ضعیف مانند رمز دوم پویا، بیش از پیش احساس می‌شود می‌تواند در انجام تراکنش‌های مالی تحول ایجاد کند.