Online banki ügyintézés – Hogyan tehető biztonságossá?

A mobil szolgáltatások legfontosabb minőségi tényezője a biztonságosság. Az ügyfeleik pénzügyein túl azok személyes adatait is kezelő pénzügyi intézmények számára különösen fontos minden más feladat elé helyezni az adatvédelmet.

A megfelelő szintű védelem biztosítására nem elég pusztán elkészíteni a mobil webhelyeket és alkalmazásokat. A műszaki haladással együtt a fenyegetések száma is folyamatosan növekszik – mobilalkalmazások esetén a jellege is változik. Pénzügyi szolgáltatók szolgáltatásainak igénybe vétele előtt érdemes tájékozódni azok biztonsági mechanizmusairól. A legújabb elemzések szerint az összes támadás több mint 43%-a éppen erre a területre összpontosul.

Az online pénzügyi rendszerek felhasználói által küldött és fogadott adatok megkaparintásának egyik leggyakoribb módja a hivatalos alkalmazások megfertőzése trójai kódokkal, azaz a kiberbűnözők terjesztette rosszindulatú alkalmazásokkal, amelyek gyakran az eredeti banki eszközök tükörmásolatai. Az adott eszköz a felhasználó tudta nélkül rosszindulatú szoftvert telepít, amely eltulajdonítja a személyes adatokat, bankszámlaszámokat és hitelkártyaadatokat.

„A kiberbűnözők továbbra is a legkülönfélébb trükkökkel igyekszenek meggyőzni a felhasználót a letöltött alkalmazás valódiságáról. Azonos képeket, ikonokat használhatnak, valamint utánozzák a valódi alkalmazás nevét. Erre az egyik példa a rosszindulatú hamis tokengenerátor, amely a pénzintézet által terjesztett, valódi tokengenerátort utánozó adateltulajdonító alkalmazás. Egy ártatlannak tűnő hibaüzenet is bizonyulhat a banki adatokhoz megtévesztéssel hozzáférést biztosító eszköznek” – mondta el Rik Ferguson, a Trend Micro nemzetközi biztonságkutatási vezetője.

A hamisítás nemcsak a banki alkalmazásokat érinti. Mobiltelefonos adathalász webhelyek is szolgálhatnak a személyes adatok eltulajdonítására, ami újabban egyre gyakoribb eset. Korábban az adathalász webhelyek csak az asztali gépeket célozták meg, napjainkban viszont dinamikusan terjednek a mobil szektorban is. Működésük hasonlít a kémprogramok mechanizmusára, tehát bankok és egyéb intézmények valódi webhelyeit utánozzák le, így győzik meg a felhasználót arról, hogy személyes, illetve hitelesítő adatait meg kell adnia a bank számára e-mail üzenetbenvagy Facebook-fiókon keresztül.

„Az általunk gyűjtött adatok szerint 2013 szeptemberéig 53%-kal növekedett az adathalász webhelyek száma” –figyelmeztetett Rik Ferguson.

Az adathalász webhelyek elleni védekezés egyik fontos szabálya, hogy ellenőrizni kell a webhely szabályos HTTPS-titkosítását. Ennek látható jele az URL-cím mellett megjelenő lakat ikon. Mindezekre azért fontos odafigyelni, mert a kiberbűnözők az ellopott e-maileket és más adatokat a bankszámla-hozzáférésen kívül még számos más területen is felhasználhatják. A többtényezőjű ügylethitelesítés is hatékony módja az online és mobil banki szolgáltatások védelmének. Az online banki ügyfeleknek minden esetben másodlagos ügylethitelesítési eljárást, például SMS üzenetet vagy véletlenszám-generátort alkalmazó pénzügyi intézményt ajánlatos választaniuk.

Követendő gyakorlat az online bankrendszerek összes felhasználója számára:

• Hosszú és bonyolult jelszó (benne kis- és nagybetűk, számjegyek, írásjelek és szimbólumok), amelyet nehezebb feltörni;
• A pénzügyi műveletek többtényezős hitelesítése például további védelmet biztosító ellenőrző SMS vagy e-mail üzenettel;
• A titkos adatokat tartalmazó mobil eszközök elvesztése vagy eltulajdonítása esetére PIN kód és távoli törlési funkció;
• Az ismeretlen feladójú üzenetek és az ellenőrizetlen alkalmazások elutasítása fontos biztonsági intézkedés, hiszen mindkettőt gyakran alkalmazzák a támadások mobil eszközön keresztüli indítására.