اعتماد بیشتر و کلاهبرداری کمتر در تلفن همراه: چگونه تجربه ایمنتری در بانکداری تلفن همراه ارائه دهیم
اعتماد یکی از مولفههای اساسی بخش بانکداری تلفن همراه است.
به نظر ساده میرسد: بانک باید اعتماد داشته باشد که شخص فرستنده درخواست تراکنش، مشتری قانونی است. و بالعکس، مشتری باید مطمئن باشد که ارتباطی که در دستگاههای تلفن همراه اندرویدی یا iOS خود در رابطه با آن تراکنش دریافت میکند، واقعاً از طریق بانک مورد نظر انجام می شود. اما آیا واقعاً اعتماد سازی در بخش تلفن همراه به همین سادگی است؟ و موسسات مالی (FI) برای جلوگیری از سوءاستفاده کلاهبرداران از این اعتماد با بدافزار، تصاحب حساب، سرقت هویت و انواع دیگر کلاهبرداری اینترنتی[MA1] ، چه کاری میتوانند انجام دهند؟
کاربران بیشتر، کلاهبرداری بیشتر در تلفن همراه
بدیهی است که COVID-19 نحوه تعامل ما با بانکها را تغییر داده است. بانکداری تلفن همراه در حال افزایش است. بررسی اخیر Aite Group نشان داد که 86٪ از جوانان، 83٪ از نوجوانان، 72٪ از نسلهای دهه 1960 تا 1970، 38٪ از متولدین بعد از جنگ جهانی دوم و 17٪ از سالمندان با استفاده از تلفن همراه خود حداقل یک بار در هفته به حسابهای بانکی خود دسترسی پیدا میکنند. حتی تراکنشات شرکتهای بانکی از طریق تلفن همراه نیز در حال افزایش هستند. Citi از افزایش ده برابری کاربران برنامه شرکتی بانکداری تلفن همراه خود، CitiDirect BE، در مارس 2020 در مقایسه با سال قبل همین ماه خبر داد. در حالی که افزایش اخیر در بانکداری تلفن همراه بیشتر به COVID-19 نسبت داده شده است، این رشد در استفاده از بانکداری تلفن همراه فراتر از سال 2020 ادامه خواهد یافت.
کلاهبرداران فرصت و مسیری که دارای کمترین مقاومت است را دنبال میکنند. این فرصت در حال حاضر در تلفن همراه است و جای تعجب نیست که ما شاهد افزایش چشمگیر حملات کلاهبرداری هستیم. کارشناسان صنعت از افزایش 37 درصدی حملات موبایلی فیشینگ در سطح جهانی در سه ماهه اول سال 2020 نسبت به سه ماهه قبل و افزایش 173 درصدی در تروجان های بانکداری تلفن همراه در همین مدت خبر دادهاند.
این حملات کلاهبرداری پیچیدهتر نیز میشوند، از جمله حملات چند جانبه که تکنیکهای مختلف را ترکیب میکنند، جایی که دستگاههای تلفن همراه در معرض خطر نقش زیادی دارند. در صورت این حملات، موسسات مالی متوجه میشوند که استراتژیهای ضد کلاهبرداری که در بخش وب کار میکنند، به همان اندازه در بانکداری تلفن همراه موثر نیستند.
خدمات بیشتر، اطلاعات بیشتر
در چند سال گذشته، ما شاهد تحول عظیمی در بخش بانکداری تلفن همراه به سمت ارائه خدمات بیشتر ، از جمله تراکنشهایی با ریسک بالاتر هستیم. این صنعت اکنون شاهد ظهور اولین بانکهای دیجیتال تلفن همراه و موسسات eMoney مخصوص تلفن همراه بوده است. دستگاههای تلفن همراه، دیگر فقط برای بررسی مانده حساب بانکی یا انتقال مبالغ اندک استفاده نمیشوند. آنها در حال تبدیل شدن به هویتهای دیجیتالی ما هستند که به عنوان نشانههای احراز هویت[MA2] چند عاملی در چندین بخش بانکی مورد استفاده قرار میگیرند. آنها فرصت و راحتی را برای تعامل در هر زمان و هر مکان با حسابهای بانکی و موسسات مالی فراهم میکنند.
با این وجود موسسات مالی نمیتوانند همه مولفههای این تعامل را مدیریت کنند. دستگاه تلفن همراه مورد استفاده مشتری اهداف دیگری از جمله سرگرمی، رسانههای اجتماعی، شماره تلفن، پیامکهای متنی، مدیریت خانگی و خرید را در اختیار شما قرار می دهد. برنامه بانکی غالباً روی دستگاهی نصب میشود که دهها برنامه دیگر از منابع مختلف و توسعه دهندگان داخل و خارج از فروشگاههای رسمی دریافت برنامهها به آن وارد میشوند. بسته به آگاهی امنیتی و اقدامات شخصی کاربر، این دستگاه میتواند به طور بالقوه jailbroken باشد یا Root شده باشد، میتواند حاوی برنامههای مخربی باشد یا بین کاربران بیشتری به اشتراک گذاشته شود. صاحب دستگاه میتواند به اشتباه یک برنامه بانکی جعلی از فروشگاههای برنامه نیز نصب کند. به عبارت دیگر، وضعیت امنیتی واقعی دستگاه تلفن همراه هر مشتری متفاوت خواهد بود، نوسان دارد و میتواند در هر زمان تغییر کند. این یک چالش برای موسسات مالی است: چگونه اطمینان حاصل کنیم که برنامههای تلفن همراه آنها میتوانند در این شرایط خطرناک ایمن کار کنند؟
با توجه به امنیت برنامه بانکداری تلفن همراه، محافظ برنامه تلفن همراه آن را قادر میسازد تا بدون ایجاد مزاحمت در تجربه کاربر، در محیطهای غیرقابل اعتماد، بدون خطر و با امنیت کار کند. این برنامه را تقویت میکند و به آن این امکان را میدهد که حتی روی دستگاههای در حالت jailbroken یا root شده نیز به طور ایمن اجرا شود. تجزیه و تحلیل دادهها جنبه مهم دیگری است. یک بخش بانکداری از راه دور، مانند بانکداری تلفن همراه، مقدار قابل توجهی از دادههای مربوط به کاربر، دستگاه و تراکنشها را ارائه میدهد. این شامل دادههای رد و بدل شده بین هر دو، هم دستگاه و هم سرور بانک در طی هر تراکنش و همچنین مجموعه گستردهای از داده های جمع آوری شده از دستگاه تلفن همراه در یک زمینه کلیتر است. موسسات مالی باید راههایی برای نهایت استفاده از این طیف گسترده از دادهها را برای ارزیابی مداوم سطح ایمنی و ریسک تراکنشها پیدا کنند.
ایجاد اعتماد در تلفن همراه
اعتماد، اصل استراتژی رشد دیجیتالی موسسات مالی است. یک موسسه مالی باید مطمئن باشد که کاربر را میشناسد و میتواند با اطمینان برای کاربر شناخته شده یک شناسه قوی که استفاده از آن راحت باشد به عنوان بخشی از استراتژی احراز هویت دو جانبه یا چند عاملی (MFA)، تهیه کند. به اصطاح قانونی باید مراحل فرآیند مشتری خودت را بشناس[MA3] (KYC) را به دقت رعایت کند. همچنین باید به قصد کاربر چه برای انجام یک تراکنش مالی و چه اطمینان از روند کار هنگام تبادل اطلاعات، اعتماد داشته باشد. اعتماد همچنین باید در رابطه با دستگاه کاربر و برنامه مورد استفاده آنها وجود داشته باشد. همچنین مهم است که به بخش ارتباطی به / از هویتها، دستگاهها و برنامههای قابل اعتماد، اعتماد کنند. آخرین ولی مهمترین عامل، موسسات مالی همچنین باید در مورد رفتار کاربر در همه دستگاههای خود در همه بخشهای بانکی آگاهی داشته و اعتماد ایجاد کنند.
ایجاد و حفظ این اعتماد شامل اقدامات در سطوح زیر است:
- سمت مشتری: ارتقا امنیت دستگاه تلفن همراه مشتری
- سمت سرور: تجزیه و تحلیل دادهها در پس زمینه
- کانال ارتباطی: ایجاد اعتماد بین دستگاه تلفن همراه و بانک برای ایجاد تعامل ایمن در هر دو جهت
با سطوح زیر میتوان به یک محیط قابل اعتماد در سمت مشتری دست یافت:
- ایجاد یک پیوند امن بین کاربر و دستگاه با مجموعهای از ابزارهای تدارک دیده شده
- امنیت و یکپارچگی برنامه – به عنوان مثال برای توسعه دهندگان، ابزارهایی برای ذخیره امن دادهها در داخل برنامه تهیه شود
- محافظت از برنامه برای حفاظت از آن در برابر حملات زمان اجرا
- ارزیابی خطر و محتویات دستگاه (به عنوان مثال در حالت jailbreak بودن یا نبودن، موقعیت مکانی)، از وقتی که برنامه بانکداری تلفن همراه روی دستگاه به اشتراک گذاشته شده نصب شود.
یک تعامل مورد اعتماد به دست میآید توسط:
- احراز هویت دستگاه
- شناسایی مشتری ( KYC )
- احراز هویت بانک
- ایجاد یک کانال امن برای تعامل
نمایهای (پروفایل) در سمت سرور به دست میآید توسط:
بررسی مستقل هر تعامل و تجزیه و تحلیل تمام دادههای موجود، توانایی ایجاد نمایه کاربر و نمایه دستگاه در سمت سرور و ایجاد جدول زمانی برای شناسایی فعالیتهای غیر طبیعی را فراهم میکند.
هنگامی که اعتماد در این سه سطح وجود دارد، از طریق یک رویکرد 360 درجهای برای امنیت تلفن همراه و تجزیه و تحلیل کلاهبرداری، موسسات مالی میتوانند یک تجربه غنی از بانکداری تلفن همراه را ارائه دهند. به عنوان مثال، کاربران میتوانند به ویژگیهای بیشتری در برنامههای تلفن همراه دسترسی پیدا کنند که در غیر این صورت به دلایل امنیتی در دسترس نخواهند بود (به عنوان مثال درخواست برای حساب های بانکی اضافی یا ارسال انتقالهای پولی بیشتر).
ایجاد و مدیریت این اعتماد به تجزیه و تحلیل دادههای زیادی نیاز دارد. این جا است که یک سیستم پیشگیری از کلاهبرداری مبتنی بر تجزیه و تحلیل خطر و یادگیری ماشینی نقش حیاتی دارد. این کار با جمع آوری، به روشی شفاف و مستمر، طیف گستردهای از دادههای خاص تلفن همراه انجام میشود. جمع آوری و تجزیه و تحلیل دادههای شامل عناصر خاصی از بخش تلفن همراه، مهم است. از آنجا که تلفنهای همراه به طور کلی محتویات غنیتری را فراهم میکنند و امکان تجزیه و تحلیل پیشرفتهتری را میدهند، نهایت استفاده از محتویات گسترده بخش تلفن همراه برای مبارزه با کلاهبرداری تلفن همراه ضروری است.
به عنوان مثال، این دادهها میتواند شامل موارد زیر باشد:
- سلامت دستگاه - از جمله، تشخیص اینکه دستگاه jailbroken شده است یا فعالیت مشکوکی در دستگاه وجود داشته است. این به ارزیابی خطر مربوط به اقدامات کاربر ناشی از این دستگاه و تنظیم اقدامات امنیتی لازم کمک میکند.
- آگاهی دادن در مورد تایید هویت بیومتریک[MA4] ، مانند ثبت کردن تشخیص چهره یا قوی بودن PIN کد. این به موتور جستجوی خطر کمک میکند تا تصمیم بگیرد آیا اقدامات احراز هویتی که قبلاً اعمال شده است، برای اعتماد به هویت کاربر کافی است. مورد اجرایی این در ایران احراز هویت سجام[MA5] است.
- اطلاعات کلی دستگاه، مانند نسخه سیستم عامل، مدل دستگاه و غیره. این به تشخیص تغییرات ناگهانی دستگاه کمک میکند، که میتواند نشانهای از حمله کلاهبرداری در حال انجام باشد.
یک دستگاه تلفن همراه قابل اعتماد
دستگاه تلفن همراه قابل اعتماد موسسات مالی را قادر میسازد دامنه خدمات ارائه شده از طریق بخش تلفن همراه را گسترش دهند. ارزیابی مداوم خطر، اعتماد به نفس بیشتری را به موسسات مالی نگران به حملات پیچیده کلاهبرداری تلفن همراه میدهد. با استفاده از یک موتور تجزیه و تحلیل خطر، موسسات مالی میتوانند با اطمینان هر نوع موارد کاربردی، از افزایش محدودیت تراکنشها تا اجازه دادن به مشتریان موجود برای باز کردن یک حساب سپرده جدید، را فعال سازند.
دستگاه تلفن همراه قابل اعتماد همچنین از موارد کاربردیای فراتر از دسترسی به بانکداری تلفن همراه پشتیبانی میکند. وقتی موسسات مالی اقدامات امنیتی را اعمال میکنند که میزان اطمینان کافی را فراهم میکند، دستگاه میتواند به عنوان یک احراز هویت چند جانبه رمزی، دو برابر عمل کند. میتواند به عنوان تایید ایمنی برای تراکنشهای بانکداری آنلاین یا به عنوان تایید برداشت وجه از دستگاههای خودپرداز مورد استفاده قرار گیرد. با تجزیه و تحلیل مداوم صدها داده با دقت و به موقع با استفاده از یادگیری ماشین، موسسات مالی میتوانند آن سطح از اعتماد را ارائه دهند.
برای توانا ساختن مفهوم دستگاه قابل اعتماد، یک راه حل ضد کلاهبرداری باید با یک رویکرد جامعتر، گستردهتر که عناصر مختلفی را ترکیب میکند عمل کند:
- ایمن کردن جمع آوری و ذخیره اطلاعات
- ایمن کردن کانال برای انتقال داده از دستگاه تلفن همراه به سرور بانک
- ایمن کردن برنامه و تجزیه و تحلیل سمت سرور
این عناصر با تعیین میزان خطر، تصویری کامل و قابل اعتماد از دستگاه مشتری ایجاد میکنند. میزان خطر باید به طور مداوم ارزیابی شود و در صورت افزایش سطح خطر، باید نظارت کنندهها آماده نشان دادن واکنش باشند.
مدیریت اعتماد مداوم
همانطور که قبلاً نیز اشاره شد، هر لحظه میزان امنیت دستگاه تلفن همراه میتواند تغییر کند. به همین دلیل بسیار مهم است که:
- امنیت مرتبط با دستگاه به صورت پویا ارزیابی شود.
ایجاد سطح امنیت، فقط هنگامی که کاربر تازه دوره بانکی خود را شروع میکند، کافی نیست. در دستگاه BYOB ، وضعیت و حالت دستگاه هر دقیقه میتواند تغییر کند (به عنوان مثال، اگر کاربر برنامه مشکوکی را نصب کند). این میتواند شرایط خطرناکی را ایجاد کند که در آن نه دیگر موسسات مالی و نه دیگر کاربر تراکنشهای بانکی را کنترل نمیکنند.
- فوراً نسبت به هرگونه تغییر در محیطی که برنامه بانکی در آن کار میکند، واکنش نشان داده شود.
نقش موسسات مالی این است که ارزیابی پویایی از وضعیت داشته و بلافاصله در صورت وجود سوظن موجه در مورد به خطر افتادن دستگاه (و بنابراین دوره بانکی)، مثلاً توسط بدافزار، وارد عمل شود.
- هویت دیجیتالی کاربر را به روشی شفاف و مداوم تأیید کند.
به علت نظارت بر محیطی که برنامه بانکی در آن کار میکند ، موسسات مالی همچنین باید تأیید کنند که در طول کل دوره با کاربر قانونی معامله میکنند تا از وضعیتی که یک کلاهبردار پس از ورود موفقیتآمیز کاربر اوضاع را بدست میگیرد، جلوگیری کنند. موسسات مالی باید به دنبال هرگونه سرنخی باشند که درخواست تراکنش از طرف شخص درستی ارائه نشده است. آنها میتوانند با ارزیابی محتویات رفتاری این کار را انجام دهند.
آیا این به این معنی است که وقتی سطح اطمینان کاهش مییابد، موسسات مالی میتوانند دسترسی به خدمات را به سادگی منع کنند؟ به نظر ما، رویکرد سختگیرانه به اعتماد دستگاه، بخش بزرگی از کاربران بانکداری به تغییر بانک میکند. در عوض، کنار هم قرار دادن فناوری تجزیه و تحلیل خطر با محافظ برنامه و سایر فناوریهای امنیتی تلفن همراه میتواند ضمن افزایش رضایت و اعتماد مشتری، از کلاهبرداری جلوگیری کند. این فناوریها عوامل خطر را شناسایی میکنند اما همچنان به برنامه بانکداری تلفن همراه اجازه میدهند تا با امنیت در یک محیط خطرناک دیگر عمل کند.
احراز هویت دیجیتال یوآیدی
احراز هویت بیومتریک با تراکنشهای مالی در ایران نیز بسیاری از مشکلات و جرایم مالی در فضای دیجیتال کاهش میدهد. سرویس احراز هویت دیجیتال[MA6] یوآیدی با روندهای جهانی همگام شده است و با ارائه خدمات احراز هویت بیومتریک با استفاده از فناوریهای هوش مصنوعی[MA7] ، به موسسات مالی، بستر انجام تراکنشهای مالی با شناسایی هویت غیرحضوری[MA8] را فراهم کرده است. حال که ضرورت این راهکار به دلیل افزایش جرایم مالی در فضای دیجیتال و ایجاد روشهایی با تجربه کاربری ضعیف مانند رمز دوم پویا، بیش از پیش احساس میشود میتواند در انجام تراکنشهای مالی تحول ایجاد کند.