Mobilne aplikacje bankowe podatne na zagrożenia
Obecnie cyberprzestępcy wykorzystują do swoich działań m.in. taktykę „Man in the Middle”. Dzięki stworzonej fałszywej aplikacji zdobywają uprawienia administratorów i omijając certyfikaty bezpieczeństwa, mogą zdobywać oraz przesyłać prywatne informacje użytkowników.
Aplikacje służące do dokonywania transakcji bankowych mogą się bronić przed przestępcami także za pomocą użycia protokołu OFX (Open Financial Exchange). Jak zaznacza Michela Menting, starszy analityk w ABI Reserach’s Cybersecurity Unit, jest on stosowany w większości renomowanych instytucji finansowych.
System operacyjny generuje ryzyko ataków, co oznacza, że zagrożenia dotyczące jego lub sieci internetowej mogą stać się narzędziem ataku bądź też szpiegowania transakcji bankowych. Szczególnie jest to niebezpieczne w przypadku popularnego w ostatnim czasie „uwalniania” swoich urządzeń przez użytkowników.
„Jeśli otoczenie smartfona jest niebezpieczne to wszelkie dokonywane za jego pomocą transakcje są automatycznie zagrożone. Bez znaczenia, jakie funkcjonują na nim zabezpieczenia” – zaznacza Menting.
Jej zdanie potwierdza Marc Brown z Trustwave, który także uważa, że aplikacje mobilne nie są odpowiednio chronione przed zagrożeniami dla systemu. Zastosowanie rozwiązań typu Sandbox może okazać się niewystarczające, gdyż istnieją możliwości pokonania tych zabezpieczeń.
System operacyjny Androida jest określany jako „szczególnie niebezpieczny”. Chociażby dlatego, że pozwala osobom trzecim na nieskrępowany dostęp do „App Stores” i tym samym dystrybuowanie fałszywych aplikacji. Ostatni raport firmy Blue Coat pokazuje, z jaką łatwością cyberprzestępcy mogą atakować urządzenia z tym OS.
Przykładowo, są oni w stanie odinstalować na smartfonie prawidłową aplikacje i w jej miejsca wstawić fałszywą, nie różniącą się niczym od oryginału. Użytkownik dokonując codziennych czynności, przesyła więc swoje dane do hakerów. Jak zaznacza Luis Corrons, dyrektor techniczny PandaLabs, taki scenariusz to tylko hipoteza, gdyż póki co nie wystąpił ani razu w praktyce.
Zdaniem Micheli Menting bezpieczne nie są także transakcje bankowe wykonywane za pomocą mobilnych wyszukiwarek internetowych. Twierdzi ona, że „nawet są zagrożone szpiegowskim oprogramowaniem instalowanym przez niepowołane osoby”. Corrons idzie jeszcze o krok dalej i nazywa takie działania jeszcze bardziej niebezpiecznymi, gdyż ludzie używają wyszukiwarek do surfowania po sieci, co generuje kolejne zagrożenia.
Menting wyraża nadzieję, że poziom bezpieczeństwa w zakresie bankowości mobilnej będzie się zwiększał. Jednym z wystosowanych przez nią propozycji jest chociażby zastosowanie systemu dwufaktorowej autentyfikacji.
Takie właśnie rozwiązanie funkcjonuje chociażby w DBS Bank. Rzecznik prasowy tej instytucji zapewnił portal ZDnet, że automatyczne wylogowanie użytkownika następują zaraz po wyłączeniu aplikacji, a każdorazowa autentyfikacja odbywa się właśnie w strukturze 2FA.
Autorem tekstu jest Krzysztoł Kołaski