Comment les banques peuvent combattre l'homme lors d'attaques moyennes

OneSpan Team,

La banque numérique a gagné en popularité ces dernières années et ne montre aucun signe de ralentissement. Un rapport sur le paysage financier britannique en 2020 a révélé que seuls 7,7% des clients bancaires britanniques préfèrent les visites en succursale, la grande majorité préférant utiliser les canaux en ligne ou mobiles. En conséquence, les succursales bancaires du Royaume-Uni ont fermé leurs portes, Lequel? estimant que le réseau des succursales bancaires du Royaume-Uni a diminué d'un tiers au cours des cinq dernières années. Cette année seulement, 247 fermetures d'agences sont prévues au Royaume-Uni.

Cette tendance vers le numérique a été alimentée par les banques challenger centrées sur le client, telles que Monzo, Revolut et Starling, qui revendiquent à elles deux près de 20 millions de clients. Ces derniers mois, la pandémie mondiale de coronavirus a également contraint de nombreux consommateurs à adopter des plates-formes bancaires numériques s'ils ne les utilisaient pas auparavant, car les mesures de maintien à domicile ont empêché un accès facile aux succursales bancaires.

Alors que la banque numérique a amélioré l'expérience client globale, elle a également élargi la cible des attaques pour les cybercriminels, avec des menaces telles que attaques man-in-the-browser ou man-in-the-middle devenant de plus en plus courants et ayant de graves conséquences pour les clients. Heureusement, il existe une gamme de technologies que les banques peuvent mettre en œuvre pour aider à se défendre contre de telles menaces sans compromettre l'expérience utilisateur de la banque numérique.

L'homme au milieu des attaques

Ces attaques se produisent lorsqu'un cybercriminel est capable d'intercepter les communications entre l'appareil d'un client et le serveur bancaire. Le criminel est alors en mesure de modifier les détails de la transaction, tels que le montant et le compte bancaire prévu, sans que le client ne s'en aperçoive. En conséquence, une transaction standard de 100 £ pourrait se transformer en une transaction de 10000 £ directement connectée au compte bancaire des criminels.

Il existe plusieurs façons pour les criminels d'intercepter les communications, mais un exemple courant est lorsqu'un client utilise un point d'accès WiFi public. Ceux-ci ne sont souvent pas sécurisés et sont faciles à infiltrer pour les cybercriminels. Ainsi, lorsqu'un client effectue une transaction en utilisant un réseau WiFi public, il peut partager sans le savoir des données de transaction financière sensibles via un réseau contrôlé par un cybercriminel.

Combattre l'homme au milieu des attaques par la réglementation

En Europe, le Directive révisée sur les services de paiement (PSD2) a poussé les banques et les institutions financières à faire évoluer leurs offres bancaires en ligne et mobiles, en introduisant une série d'exigences de sécurité conçues pour contrer les attaques de l'homme au milieu.

Par exemple, PSD2 a défini des exigences pour l'authentification forte du client (SCA) en plus de la liaison dynamique, également appelée signature de données de transaction. L'exigence de liaison dynamique protège une transaction en trois parties.

Premièrement, il faut que le payeur authentifie les données de transaction qu'il a saisies, telles que le montant et le bénéficiaire, et confirme leur exactitude. Un code d'authentification est ensuite généré qui est lié aux données de transaction, de sorte que toute modification des détails de la transaction invaliderait le code.

Deuxièmement, la confidentialité et l'intégrité des données de transaction doivent être protégées tout au long du processus d'authentification, afin d'empêcher un individu malintentionné d'intercepter et modifier ces informations. Cela garantit que le code d'authentification est généré sur la base des détails authentiques de la transaction.

Enfin, le client doit connaître les données de transaction qu'on lui demande d'authentifier. Cela signifie que les données de transaction doivent être présentées au client au moment de l'autorisation.

Combattre les attaques de l'homme au milieu grâce à la technologie

La technologie Cronto est un moyen pour les banques de vérifier les transactions et de protéger leurs clients contre les attaques de l'homme du milieu. Cronto est disponible via une application mobile et sécurise le canal de communication entre le client et la banque pour protéger les données de transaction contre toute modification. Les données sont ensuite présentées en texte brut afin que l'utilisateur puisse confirmer qu'elles correspondent à sa transaction prévue avant de générer un code d'authentification basé sur les détails de la transaction.

Seule la banque est en mesure de générer ce code et il ne peut être décrypté que par l'appareil mobile de l'utilisateur. Cette approche unique de la vérification des transactions simplifie l'expérience car elle réduit l'interaction utilisateur requise pour authentifier une transaction - les clients pointent simplement leur téléphone vers l'écran pour numériser l'image - essentiellement une image couleur de type QR - et saisissent un code de réponse dans le navigateur. . Ainsi, toutes les informations chiffrées relatives à la transaction peuvent être communiquées entre la banque et le client sans prendre le risque qu'elles soient interceptées ou falsifiées par des pirates informatiques.

En conséquence, les banques peuvent offrir une solution de sécurité rapide et conviviale qui protège les clients, garantit la conformité et améliore finalement l'expérience utilisateur.

Logo de la banque Raiffeisen
Étude de cas

Raiffeisen transforme l'expérience client grâce à la sécurité

Raiffeisen Italie met en œuvre l'authentification mobile et le blindage de l'application mobile pour la conformité PSD2 et la facilité d'utilisation.

En savoir plus

Cet article, rédigé par David Vergara, directeur principal du marketing produit, a été publié pour la première fois le 20 août 2020 sur FinanceDerivative.com

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.