Приложения для мобильного банкинга широко используются повсеместно, потому как значительно упрощают для клиентов работу с банковскими услугами. Сегодня поговорим о таком аспекте, как безопасность мобильного банка. По тенденции, создатели приложений для онлайн-банкинга не уделяют требуемого внимания данному вопросу. Зачастую по причине отсутствия безопасного кода и архитектуры, приложение становится уязвимым. Мы хотим помочь вам разобраться в этом вопросе и обезопасить ваших клиентов.
Разновидности приложений: зависит ли от этого безопасность мобильного банкинга?
Приложений для смартфона существует очень много, но в понятии безопасности мобильного банка они разделяются по расположению и по типажу применяемой техники передачи данных. Выделим варианты для первой категории:
- SIM;
- Web;
- мобильные.
По типу применяемой технологии работы с сервером бывают следующие:
- сетевые;
- SMS-приложения;
- USSD;
И как раз программы, созданные для операционных систем на смартфонах со специальным API, которые устанавливаются на телефон для взаимодействия с банками, сейчас пользуются наибольшей популярностью. Они в полной мере используют возможности смартфона и имеют отличный интерфейс.
Есть приложения, классификации «без доступа к счету», к которым относятся программы-помощники. Данные функции бывают и в приложениях, дающих возможность производить действия со счетом. Зачастую навигационные мобильные банкинг-приложения приобретают функции работы со счетами. Некоторые банки делят такие опции на несколько приложений, что с одной стороны довольно целесообразно – тогда безопасность мобильного банка держится под более жестким контролем, атаки злоумышленников уменьшаются.
Методы анализа
Анализируя уровень защиты приложения для смартфона, проверяются 3 главных составляющих – серверы, клиентская часть и канал для связи. Рассмотрим методологию оценки безопасности мобильного банка. Выделяют динамический и статический анализ. К первому относятся:
- налаживание приложения, которое было активировано;
- фаззинг;
- анализ трафика сети;
- проверка работы с файлами;
- проверка памяти самого приложения.
В свою очередь, статическая проверка предусматривает тест исходного кода, если есть доступ к нему, обратное проектирование, декомпиляцию, проверку слабых мест кода.
Модели нарушителя
Атаки на серверы никаким образом не различны с атаками на простые системы ДБО. А атаки клиентской части могут произойти, если есть прямой доступ к телефону, на который запущен вирус, что предоставляет возможность держать под контролем канал. В варианте физического доступа можно получить доступ к файлам. Если в приложении есть данные аутентификации либо прочие критические данные, то их очень легко получить и произвести кражу средств. Чтобы осуществить атаку при помощи приложения, каких-либо отдельных технических методик либо Drive-by-Download мошенники устанавливают на телефон вирусы.
- Злоумышленник, который имеет физический доступ к клиентскому смартфону. В том случае, если телефон не имеет пароля.
- При отсутствии доступа к телефону. Тогда злоумышленник находится рядом с потенциальной жертвой и может проводить атаку непосредственно.
- При загрузке на клиентский смартфон какого-либо вирусного приложения.
Все мобильные приложения подвержены мошенническим атакам, злоумышленники придумывают все новые способы похищения денег и нанесению ущербов репутации банковских приложений. Безопасность ваших клиентов – превыше всего для вас, как для провайдера услуг мобильного банкинга. Современные варианты защиты безопасности мобильного банка – антивирусные программы, MDM и прочее, сокращают риски, однако не решают в полной мере проблему.
Риски для пользователей онлайн-банкинга прямо пропорциональны уровню защиты приложения. Разработка и внедрение надлежащей системы защиты приложения для мобильного банкинга – это верный способ защитить пользователей ваших услуг от незаконного посягательства на их средства. Наши специалисты помогут вам в этом. Вопрос безопасности для нас стоит превыше всего, именно поэтому, каждой детали мы уделяем особое внимание. От наших специалистов вы получите не только высококачественный продукт, но и детальную консультацию и постоянную поддержку.