Plus de confiance, moins de fraude mobile: comment offrir une expérience bancaire mobile plus sûre
La confiance est une composante essentielle du canal bancaire mobile. Cela semble simple: une banque doit avoir confiance que la personne qui envoie une demande de transaction est un client légitime. Et vice versa, un client doit être sûr que la communication qu'il reçoit sur ses appareils mobiles Android ou iOS concernant cette transaction provient bien de sa banque. Mais est-ce vraiment aussi simple que de bâtir la confiance dans le canal mobile? Et que peuvent faire les institutions financières (IF) pour empêcher les fraudeurs d'abuser de cette confiance avec des logiciels malveillants, des prises de contrôle de compte, le vol d'identité et d'autres types de fraude?
Plus d'utilisateurs, plus de fraude mobile
Il est évident que COVID-19 a changé la façon dont nous interagissons avec les banques. Les services bancaires mobiles sont à la hausse. Une récente Sondage Aite Group ont constaté que 86% des seniors de la génération Y, 83% des jeunes de la génération Y, 72% des membres de la génération X, 38% des baby-boomers et 17% des seniors ont accès à leurs comptes bancaires en utilisant leur téléphone mobile au moins une fois par semaine. Même les transactions bancaires mobiles d'entreprise augmentent en volume. Citi signalé une multiplication par dix du nombre d'utilisateurs de son application de banque mobile d'entreprise, CitiDirect BE, en mars 2020 par rapport au même mois un an plus tôt. Alors que la récente flambée des services bancaires mobiles a été largement attribuée au COVID-19, cette croissance de l'utilisation des services bancaires mobiles se poursuivra au-delà de 2020.
Les fraudeurs suivent l'opportunité et la voie de la moindre résistance. Cette opportunité se trouve actuellement dans le mobile et, sans surprise, nous avons constaté une forte augmentation des attaques frauduleuses. Les experts de l'industrie rapportent un Augmentation de 37% des attaques de phishing mobile dans le monde au T1 2020 par rapport au trimestre précédent et un Augmentation de 173% des chevaux de Troie bancaires mobiles pour la même période.
Ces attaques frauduleuses deviennent également de plus en plus complexes, y compris les attaques multicanaux qui combinent différentes techniques, où les appareils mobiles compromis jouent un rôle important. Dans le cas de ces attaques, les IF remarqueront que les stratégies anti-fraude qui ont fonctionné dans le canal Web ne seront pas aussi efficaces dans les services bancaires mobiles.
Plus de services, plus de données
Au cours des deux dernières années, nous avons assisté à une évolution considérable du canal des services bancaires mobiles vers l'offre de plus de services, y compris des transactions à plus haut risque. L'industrie a maintenant vu l'émergence de banques numériques axées sur le mobile et d'institutions eMoney exclusivement mobiles. Les appareils mobiles ne sont plus utilisés uniquement pour vérifier le solde du compte bancaire ou transférer de petites sommes. Ils deviennent nos identités numériques, utilisées comme jetons d'authentification multifactoriels sur plusieurs canaux bancaires. Ils offrent la commodité et la possibilité d'interagir à tout moment et en tout lieu avec les comptes bancaires et les IF.
Cependant, les IF ne peuvent pas gérer toutes les composantes de cette interaction. L'appareil mobile utilisé par le client sert à d'autres fins, y compris le divertissement, les médias sociaux, le numéro de téléphone, les messages texte SMS, la gestion de la maison et les achats. L'application bancaire est souvent installée sur un appareil avec des dizaines d'autres applications provenant de diverses sources et développeurs sur et en dehors des magasins d'applications officiels. En fonction de la sensibilisation du client à la sécurité et des actions personnelles, cet appareil peut potentiellement être jailbreaké / rooté, il peut contenir des applications malveillantes ou peut être partagé entre plusieurs utilisateurs. Le propriétaire de l'appareil pourrait également installer par erreur une fausse application bancaire à partir des magasins d'applications. En d'autres termes, l'état de sécurité réel de l'appareil mobile de chaque client sera différent; il fluctue et peut changer à tout moment. C'est un défi pour les IF: comment s'assurer que leurs applications mobiles peuvent fonctionner en toute sécurité dans ces conditions risquées?
En ce qui concerne la sécurité de l'application bancaire mobile, blindage d'application mobile lui permet de fonctionner en toute sécurité dans des environnements non fiables sans interrompre l'expérience utilisateur. Il renforce l'application et lui permet de fonctionner en toute sécurité, même sur des appareils enracinés / jailbreakés. L'analyse des données est un autre aspect important. Un canal de banque à distance, comme les services bancaires mobiles, offre une quantité importante de données relatives aux utilisateurs, aux appareils et aux transactions. Cela couvre à la fois les données échangées entre l'appareil et le serveur de la banque lors de chaque transaction, ainsi qu'un large éventail de données collectées à partir de l'appareil mobile dans un contexte plus général. Les IF doivent trouver des moyens d'exploiter ce large éventail de données pour évaluer en permanence le niveau de confiance et le risque de transaction.
Établir la confiance mobile
La confiance est au cœur de la stratégie de croissance numérique d'une IF. Un FI doit être sûr qu'il connaît l'utilisateur et qu'il peut fournir en toute sécurité à cet utilisateur connu des informations d'identification solides et faciles à utiliser dans le cadre d'une stratégie d'authentification à deux ou plusieurs facteurs (MFA). Il doit également faire confiance à l'intention de l'utilisateur, que ce soit pour une transaction financière ou pour une assurance de processus lors de l'échange d'informations. La confiance doit également exister en ce qui concerne l'appareil de l'utilisateur et l'application qu'il utilise. Il est également important de faire confiance au canal de communication vers / depuis les identités, les appareils et les applications de confiance. Enfin, les IF doivent également avoir un aperçu et établir la confiance concernant le comportement de l'utilisateur sur tous leurs appareils sur tous les canaux bancaires.
Créer et maintenir cette confiance implique des actions aux niveaux suivants:
- Côté client: améliorer la sécurité de l'appareil mobile du client
- Côté serveur: analyse des données en arrière-plan
- Canal de communication: établir la confiance entre l'appareil mobile et la banque pour permettre une interaction sécurisée dans les deux sens
Un environnement de confiance côté client peut être obtenu en:
- Création d'un lien sécurisé entre l'utilisateur et l'appareil avec un ensemble d'outils de provisioning
- Sécuriser l'intégrité de l'application - par exemple, fournir aux développeurs les outils pour stocker en toute sécurité les données dans l'application
- Blindage de l'application pour la protéger contre les attaques d'exécution
- Évaluer le risque et le contexte de l'appareil (ex: jailbreak, géolocalisation), puisque l'application bancaire mobile est installée sur un appareil partagé
Une interaction de confiance est établie par:
- Authentification de l'appareil
- Authentifier l'utilisateur
- Authentifier la banque
- Fournir un canal sécurisé pour l'interaction
Un profil côté serveur est établi par:
Examiner chaque interaction indépendamment et analyser toutes les données disponibles permet de créer un profil utilisateur et un profil de périphérique côté serveur et de créer une chronologie pour identifier les activités anormales.
Lorsque la confiance existe à ces trois niveaux, grâce à une approche à 360 degrés de la sécurité mobile et de l'analyse de la fraude, les IF peuvent offrir une riche expérience de banque mobile. Par exemple, les utilisateurs peuvent accéder à plus de fonctionnalités dans les applications mobiles qui ne seraient pas disponibles autrement pour des raisons de sécurité (par exemple, demander des comptes bancaires supplémentaires ou envoyer des transferts d'argent plus importants).
L'établissement et la gestion de cette confiance nécessitent de nombreuses analyses de données. C'est là qu'un système de prévention de la fraude basé sur l'analyse des risques et l'apprentissage automatique joue un rôle essentiel. Il fonctionne en rassemblant, de manière transparente et continue, un large éventail de données spécifiques aux mobiles. Il est important de collecter et d'analyser des données qui comprend des éléments caractéristiques du canal mobile . Étant donné que les téléphones mobiles fournissent en général un contexte beaucoup plus riche et permettent une analyse plus avancée, il est essentiel de tirer parti du contexte plus large du canal mobile pour lutter contre la fraude mobile.
Par exemple, ces données peuvent inclure:
- État de l'appareil: détection, entre autres, si l'appareil a été jailbreaké ou s'il y a eu une activité suspecte. Cela permet d'évaluer le risque lié aux actions des utilisateurs provenant de cet appareil et d'ajuster les mesures de sécurité nécessaires.
- Aperçu de l'authentification et de la biométrie, comme le score de reconnaissance faciale ou la force du code PIN. Cela aide le moteur de gestion des risques à décider si les mesures d'authentification qui ont déjà été appliquées sont suffisantes pour faire confiance à l'identité de l'utilisateur.
- Informations générales sur l'appareil, telles que la version du système d'exploitation, le modèle de l'appareil, etc. Cela permet de détecter les changements soudains d'appareil, ce qui peut être un indicateur d'une attaque frauduleuse en cours.
Un appareil mobile de confiance
Un appareil mobile de confiance permet aux IF d'élargir la portée des services offerts via le canal mobile. L'évaluation continue du risque donne plus de confiance aux IF préoccupés par les attaques sophistiquées de fraude mobile. Avec un moteur d'analyse des risques , Les IF peuvent activer en toute confiance tout cas d'utilisation, de l'augmentation de la limite de transaction à l'autorisation des clients existants d'ouvrir un nouveau compte de dépôt.
Un appareil mobile de confiance prend également en charge les cas d'utilisation au-delà de l'accès aux services bancaires mobiles. Lorsque l'IF applique des mesures de sécurité qui permettent la bonne quantité de confiance, l'appareil peut servir de jeton d'authentification multicanal. Il peut être utilisé pour signer en toute sécurité des transactions bancaires en ligne ou pour approuver les retraits de fonds aux guichets automatiques. Grâce à l'analyse continue de centaines d'éléments de données en temps réel à l'aide de l'apprentissage automatique, les IF peuvent offrir ce niveau de confiance.
Pour permettre la notion de dispositif de confiance, une solution antifraude doit fonctionner avec une approche plus large et holistique qui combine différents éléments:
- Collecte et stockage sécurisés des données
- Canal sécurisé pour le transfert de données de l'appareil mobile vers le serveur de la banque
- Analyse sécurisée des applications et côté serveur
Ces éléments créent une image complète et fiable de l'appareil du client en déterminant un score de risque. Le score doit être évalué en permanence et des contrôles doivent être en place pour réagir en cas d'augmentation du niveau de risque.
Gestion continue de la confiance
Comme mentionné précédemment, le niveau de confiance d'un appareil mobile peut changer à tout moment. C'est pourquoi il est si important de:
- Évaluez dynamiquement la confiance associée à l'appareil.
Il ne suffit pas d'établir le niveau de confiance lorsqu'un utilisateur commence sa session bancaire. Sur un appareil BYOB, l'état et la condition de l'appareil peuvent changer à n'importe quelle minute (par exemple, si un utilisateur installe une application suspecte). Cela peut créer des circonstances risquées dans lesquelles ni l'IF ni l'utilisateur ne contrôlent plus la transaction bancaire. - Réagissez instantanément à toute modification de l'environnement dans lequel l'application bancaire fonctionne.
Le rôle de l'IF est de maintenir une évaluation en direct de la situation et d'intervenir immédiatement lorsqu'il existe un soupçon justifié que l'appareil (et donc la session bancaire) a été compromis, par exemple par des logiciels malveillants. - Vérifiez l'identité numérique de l'utilisateur de manière transparente et continue.
En plus de surveiller l'environnement dans lequel l'application bancaire fonctionne, les IF doivent également confirmer qu'ils traitent avec l'utilisateur légitime tout au long de la session, afin d'éviter une situation dans laquelle un fraudeur prend le relais après que l'utilisateur s'est connecté avec succès. L'IF doit rechercher tout indice indiquant que la demande de transaction ne provient pas de la bonne personne; ils peuvent le faire en évaluant le contexte comportemental.
Cela signifie-t-il que les IF peuvent simplement refuser l'accès aux services lorsque le niveau de confiance diminue? À notre avis, une approche rigide de la confiance des appareils éloignerait un large segment d'utilisateurs de services bancaires mobiles. De nos jours, de nombreux appareils mobiles sont jailbreakés ou enracinés. Le fait qu'un tel appareil soit utilisé dans le canal des services bancaires mobiles soulèvera un signal dans l'analyse des risques de fraude et les IF pourraient être tentés de fermer l'application. Mais cela frustrerait les clients mobiles, les incitant probablement à changer de banque. Au lieu de cela, associez la technologie d'analyse des risques blindage d'application et autre technologies de sécurité mobile peut aider à prévenir la fraude tout en augmentant la satisfaction et la confiance des clients. Ces technologies identifieront les facteurs de risque tout en permettant à l'application bancaire mobile de fonctionner en toute sécurité dans un environnement par ailleurs risqué.