Програми мобільного банкінгу широко використовуються повсюдно, оскільки вони значно полегшують клієнтам роботу з банківськими послугами. Сьогодні ми поговоримо про такий аспект, як безпека мобільного банку. Як тенденція, творці додатків для онлайн-банкінгу не приділяють цьому питанню необхідної уваги. Часто через відсутність захищеного коду та архітектури додаток стає вразливим. Ми хочемо допомогти вам зрозуміти цю проблему та захистити своїх клієнтів.
Різновиди додатків: чи залежить від цього безпека мобільного банкінгу?
Додатків для смартфона багато, але з точки зору безпеки мобільного банку вони поділяються за місцем розташування та за типом використовуваної техніки передачі даних. Давайте виділимо варіанти для першої категорії:
- SIM-карта;
- Інтернет;
За типом технології, що використовується для роботи з сервером, можна виділити наступне:
- мережа;
- SMS-додатки;
- USSD;
Зараз найбільш популярними є програми, створені для операційних систем на смартфонах зі спеціальним API, які встановлюються на телефоні для взаємодії з банками. Вони в повній мірі користуються можливостями смартфона і мають чудовий інтерфейс.
Є програми, класифікації «без доступу до облікового запису», які включають допоміжні програми. Ці функції також можна знайти в програмах, що дозволяють виконувати дії з обліковим записом. Часто навігаційні програми для мобільного банкінгу набувають функціональності рахунку. Деякі банки поділяють такі варіанти на кілька додатків, що, з одного боку, є доцільним – тоді безпека мобільного банку тримається під посиленим контролем, а атаки зловмисників зменшуються.
Методи аналізу
Аналізуючи рівень захисту програми для смартфона, перевіряються 3 основні компоненти – сервери, клієнтська частина та канал зв’язку. Розглянемо методологію оцінки безпеки мобільного банку. Розрізняють динамічний та статичний аналіз. Перший включає:
- налаштування активованої програми;
- нечіткість;
- аналіз мережевого трафіку;
- перевірка роботи з файлами;
- перевірка пам’яті самої програми.
У свою чергу, статична перевірка передбачає перевірку вихідного коду, якщо є доступ до нього, зворотне проектування, декомпіляцію та перевірку на слабкі місця в коді.
Моделі зловмисників
Атаки на сервери нічим не відрізняються від атак на прості системи RBS. Атаки на стороні клієнта можуть статися, якщо є прямий доступ до телефону, на якому запущено вірус, що дає можливість контролювати канал. За допомогою опції фізичного доступу ви можете отримати доступ до файлів. Якщо додаток містить дані автентифікації або інші важливі дані, отримати їх і вкрасти кошти дуже просто. Щоб здійснити атаку за допомогою програми, будь-яких окремих технічних методів або Drive-by-Download, шахраї встановлюють віруси на телефон.
- Зловмисник, який має фізичний доступ до смартфона клієнта. У тому випадку, якщо телефон не має пароля.
- За відсутності доступу до телефону. Тоді зловмисник знаходиться близько до потенційної жертви і може провести атаку безпосередньо.
- Коли вірусна програма завантажується на смартфон клієнта.
Усі мобільні додатки сприйнятливі до шахрайських атак, а кіберзлочинці придумують нові способи крадіжки грошей та шкоди репутації банківських програм. Безпека ваших клієнтів на першому місці для вас як постачальника послуг мобільного банкінгу. Сучасні варіанти захисту безпеки мобільного банку – антивірусні програми, MDM тощо зменшують ризики, але не повністю вирішують проблему.
Ризики для користувачів Інтернет-банкінгу прямо пропорційні рівню захисту програми. Розробка та впровадження належної системи безпеки для вашого мобільного банківського додатку – це надійний спосіб захистити користувачів ваших послуг від незаконного посягання на їх кошти. Наші фахівці допоможуть вам у цьому. Питання безпеки – це перш за все для нас, тому ми приділяємо особливу увагу кожній деталі. Від наших спеціалістів ви отримаєте не тільки високоякісний продукт, але також докладні поради та постійну підтримку.