Fraude à la banque mobile : Un entretien avec un régulateur britannique, une banque et une société FinTech
Dans le secteur des services financiers, que pensent les banques, les start-ups financières, les régulateurs et les fournisseurs de technologie de l'état de la fraude bancaire mobile ?
Lors d'un récent webinaire organisé par Finextra, intitulé Cutting Mobile Banking Fraud with Dynamic Authentication and App Security, nous avons interrogé un panel d'experts sur les complexités croissantes de la fraude bancaire mobile et sur la manière de l'atténuer en utilisant l'authentification dynamique et une approche multicouche de la sécurité.
Les intervenants invités étaient des experts d'ALEXBANK, de la fintech de cartes de crédit Infynit, de OneSpan et de l'autorité de régulation des systèmes de paiement du Royaume-Uni. Au cours du webinaire, le groupe a discuté de la fraude en tant que menace pour les institutions financières et des mesures de sécurité prises par les banques pour lutter contre l'ingénierie sociale, le phishing, la prise de contrôle des comptes, les logiciels malveillants mobiles et l'usurpation d'identité.
Le groupe a également discuté des domaines dans lesquels les banques peuvent s'améliorer, en particulier comment mieux se défendre contre la fraude bancaire mobile. Les panélistes ont donné un aperçu des technologies et des outils de sécurité les plus efficaces qui fonctionnent en temps réel, sans que les clients s'en aperçoivent. Ils ont également partagé d'autres bonnes pratiques, telles que l'éducation du conseil d'administration et l'implication des dirigeants au plus haut niveau de votre organisation dans les décisions relatives à la sécurité et à la stratégie de lutte contre la fraude.
Si vous avez manqué ce webinaire, voici un aperçu de ce qui a été abordé. Pour visionner l'intégralité de la présentation, accédez-y à la demande.
La menace constante de la fraude sur les appareils mobiles
Au cours de l'année écoulée, le secteur des services financiers a subi d'énormes pressions pour s'adapter rapidement et numériser le plus grand nombre possible d'étapes du parcours client. Une récente enquête sur les services bancaires numériques menée auprès de 14 000 consommateurs du monde entier a révélé que 96 % des personnes interrogées avaient effectué des transactions bancaires par voie numérique et que plus de 50 % d'entre elles utilisaient davantage les applications bancaires mobiles aujourd'hui qu'avant la pandémie. La grande majorité (87 %) a déclaré qu'elle continuerait à utiliser les services bancaires mobiles après la pandémie.
Simultanément, la sophistication et le volume des attaques frauduleuses et de la cybercriminalité ont également augmenté. Les fraudeurs se sont montrés à la hauteur de la situation en réponse à l'évolution mondiale vers la banque numérique, en mettant l'accent sur les téléphones mobiles. Cela s'explique en partie par le fait qu'il est désormais plus facile d'acheter des outils tels que des produits de fraude mobile en tant que service dans la clandestinité, ce qui permet à des attaquants moins qualifiés de lancer des attaques relativement sophistiquées contre des titulaires de comptes. C'est ce que montre un rapport de Kaspersky qui prévoit une augmentation de 20 % des attaques de prise de contrôle de comptes financiers en 2020 et une augmentation de 125 % des chevaux de Troie bancaires mobiles (logiciels malveillants qui volent les informations d'identification des comptes bancaires).
Malgré ces chiffres sombres, il y a de l'espoir. Les banques, les prêteurs, les prestataires de services de paiement et d'autres acteurs disposent de plusieurs options pour lutter contre les fraudeurs. Certains le font déjà et obtiennent de bons résultats. L'essentiel est de comprendre les zones de vulnérabilité afin de déterminer le meilleur plan d'action.
Jonathan Williams, spécialiste technique des paiements auprès du régulateur britannique des systèmes de paiement, une filiale indépendante de la Financial Conduct Authority, estime que le problème est en grande partie lié à l'identité. Il explique que l'identité est un domaine que les fraudeurs ont tendance à cibler et à exploiter, qu'il s'agisse de l'identité du client, du fournisseur de services financiers ou du bénéficiaire.
"En fin de compte, l'identité est la clé", dit-il. "Nous devons savoir que notre client est vraiment la personne qui essaie de faire une transaction. Et il doit être sûr que c'est bien nous, en tant que banque ou prestataire de services de paiement, qui interagissons avec lui. Cette identification mutuelle est un élément important du processus"
Les technologies de cybersécurité telles que l'authentification multifactorielle, la vérification de l'identité numérique, la biométrie comportementale et la surveillance continue permettent de s'assurer que les institutions financières connaissent réellement leurs clients avant que les transactions financières n'aient lieu - qu'il s'agit bien de la partie légitime qui effectue la transaction et non d'un cybercriminel.
Vulnérabilités courantes dans la sécurité des applications mobiles
Voici quelques-uns des défis spécifiques auxquels les institutions financières sont confrontées en matière de sécurité des applications mobiles et d'escroqueries mobiles :
- Les consommateurs peuvent télécharger des applications bancaires mobiles à partir de magasins d'applications non autorisés ou non officiels où les fraudeurs peuvent télécharger des applications usurpées ou fausses conçues pour voler des données tout en se faisant passer pour des applications bancaires mobiles légitimes.
- Parfois, les fournisseurs et/ou les banques qui créent le logiciel en interne ne fournissent pas de sécurité adéquate, comme l'obscurcissement. L'obscurcissement rend plus difficile la tâche des fraudeurs ayant des compétences techniques pour faire de la rétro-ingénierie sur les applications bancaires mobiles afin de détecter les vulnérabilités et d'attaquer en conséquence. Cela est particulièrement important du point de vue de la sécurité de l'information, car de nombreuses applications mobiles stockent des données sensibles dans l'application elle-même.
- Les sessions des utilisateurs doivent être terminées correctement à la fin de la session. Dans certains cas, les fraudeurs peuvent profiter d'une session ouverte.
- La transmission des données est également un défi pour les applications bancaires mobiles. L'utilisation d'une connexion internet non sécurisée peut permettre aux fraudeurs de s'introduire, tout comme les claviers de tiers.
- La détection et la prévention des fraudes doivent être dynamiques et continues, et ne pas s'arrêter à l'authentification lors de la connexion. Ce n'est pas parce que la personne qui se connecte a un nom d'utilisateur et un mot de passe d'utilisateur légitime qu'elle est effectivement l'utilisateur légitime. Les banques et autres institutions financières doivent surveiller le comportement en continu et en temps réel, afin de s'assurer que l'utilisateur ne fait rien de potentiellement malveillant et que la session n'a pas été détournée.
3 meilleures approches pour la prévention de la fraude en temps réel
Vous trouverez ci-dessous quelques-unes des approches utilisées par le secteur bancaire et qui ont permis de prévenir avec succès les fraudes et les cyberattaques liées aux services bancaires mobiles :
- Protection des applications
Le bouclier des applications mobiles peut surveiller l'exécution des applications et stopper les attaques lorsque des fraudeurs tentent de voler des données. Il peut également protéger l'application contre l'usurpation d'identité (c'est-à-dire empêcher la création de fausses applications par des tiers non fiables). Le bouclier applicatif peut également contribuer à la surveillance dynamique de l'application. Si un pirate tente de pénétrer dans l'application ou de s'y accrocher, l'application s'arrêtera tout simplement. - Prévention dynamique de la fraude
L'utilisation d'un système de prévention de la fraude pour surveiller en permanence les sessions bancaires de chaque client afin de détecter toute activité inhabituelle ou suspecte est un autre moyen de protéger les clients. Les codes d'authentification à deux facteurs ne suffisent pas. Les comptes doivent être surveillés en temps réel, depuis la connexion de l'utilisateur jusqu'à sa déconnexion. En outre, la surveillance des comportements et des transactions permet de vérifier si l'activité du compte correspond à des schémas historiques. - Authentification biométrique
L'authentification biométrique est une opportunité fantastique pour les banques de mettre en œuvre simultanément la sécurité et la commodité. Les intervenants ont conseillé de mettre en œuvre l'authentification biométrique pour améliorer l'expérience client. Pour la mise en œuvre, il est fortement recommandé de s'associer à un fournisseur tiers expert dans ce domaine, tel que OneSpan.
La lutte permanente contre la fraude bancaire mobile
Rien n'est sûr à 100 %, c'est pourquoi les banques et autres institutions financières doivent adopter une approche multicouche de la prévention de la fraude. Cette approche consiste à mettre en œuvre l'authentification multifactorielle (MFA), à ne pas stocker les données à moins qu'elles ne soient absolument nécessaires et à les crypter. Un autre moyen de maintenir votre stratégie dynamique est de procéder à des tests de sécurité des applications, ainsi qu'à des tests de pénétration tout au long du processus de développement. Bien entendu, quel que soit le niveau de sécurité de vos applications bancaires mobiles Android et iOS, vous finirez par perdre un certain degré de contrôle, car il n'est pas possible de contrôler l'hygiène de sécurité des appareils sur lesquels votre application est téléchargée. C'est là que le blindage des applications mobiles et la surveillance continue des utilisateurs, des transactions et des appareils constituent une couche de sécurité supplémentaire.