Siber suçluların neden giderek artan bir şekilde gelişmekte olan fintech ve ticaret gibi bankacılık uygulamalarını birincil hedefleri olarak hedef aldığını tahmin etmek için fazla bir şeye gerek yok – siber suçlular büyük ölçüde finansal olarak motive oldular ve olmaya devam ediyorlar. Son araştırmalar, geleneksel bankacılık uygulamalarının geçen yıl 29 belirli bankacılık trojanının hedef aldığı uygulamaların %61’ini oluşturduğunu, diğer %39’unun ise gelişmekte olan fintech ve ticaret uygulamalarını oluşturduğunu buldu.
Bu uygulamalar tarafından kullanılan geleneksel güvenlik mekanizmalarında ne sorun var? Güçlü Parolalar, Alan Tabanlı Güvenlik, Tek Seferlik Parolalar (OTP) ve Çok Faktörlü Kimlik Doğrulama (MFA) gibi araçlar ve taktikler, siber suçlu taktiklerinin kaçamak doğasıyla baş edemedikleri için yeterli olmuyor. Tehdit aktörleri, kullanıcıların ve kuruluşların zamanlarının çoğunu nerede geçirdiklerinin farkındadır ve günümüzün uzak gerçekliğinde bu, mobil cihazlardadır. Peki bankalar ve finans kuruluşları bankacılık uygulamalarını saldırılardan nasıl koruyabilir ve böylece kullanıcılarının ve çalışanlarının en hassas bilgilerini nasıl koruyabilir?
Eldeki savaş
Çözüme dalmadan önce, kuruluşların karşı karşıya olduğu soruna biraz renk katmama izin verin. Sorunu doğrudan ele almak için, sorunun kapsamına dair görünürlüğe sahip olmalıyız.
Zimperium zLabs ekibi geçen yıl bankacılık uygulamalarını hedef alan 10 yeni aktif bankacılık kötü amaçlı yazılım ailesi keşfetti. 2022’den beri varlığını sürdüren 19 kötü amaçlı yazılım ailesi, onları kaçamak kategorisine iten ve özellikle finansal sömürü arayışlarında amansız olan yeni yetenekler gösterdi. Bir kötü amaçlı yazılım aracısının veya yeteneğinin son derece kaçamak olarak nitelendirilmesi, kuruluşların çoğunluğu tarafından normalde kullanılan geleneksel güvenlik araçlarını gizlice aşma yeteneği gösterdiği anlamına gelir. Örneğin, yeni truva atları, siber suçluların kimlik bilgilerini ve hesap bakiyelerini çıkararak, yetkisiz işlemler başlatarak, Çok Faktörlü Kimlik Doğrulama (MFA) belirteçleri elde ederek ve fon transferlerini yetkilendirerek dolandırıcılığı otomatikleştirmelerine olanak tanıyan Otomatik Transfer Sistemi (ATS Modülü) adı verilen bir taktikten yararlandı.
Kullanıcıların mobil tabanlı kimlik avı saldırılarına karşı çok daha hassas olduklarını da göz önünde bulundurmak önemlidir. Bir banka veya finans kuruluşunda BT ve güvenlik lideri olarak, artık çalışan davranışlarının dizginlerini eskisi kadar sıkı tutmadığınız gerçeğini kabul etmelisiniz. Bir zamanlar çalışanlar büyük ölçüde merkezi bir veri merkezine bağlı yönetilen iş cihazlarından çalışırken, artık çalışanlar verileri aktarmak, belgeleri paylaşmak ve iletişim kurmak için yönetilen ve kişisel cihazların bir karışımını kullanarak dünyanın dört bir yanından uzaktan çalışıyorlar. Çalışanlar veya dış kullanıcılar tarafından kullanılmak üzere bir bankacılık uygulaması sağlarsanız, bu ihmalkar kullanıcı davranışlarını avlamak isteyen siber suçlular için çekici bir saldırı yüzeyi olur. Ve getirisi kazançlıdır – finansal bilgilerin ihlali birinin tüm hayatını alt üst etme potansiyeline sahiptir.
Değerli bankacılık uygulamalarının güvenliğini sağlama
BT ve güvenlik liderlerinin bankacılık veya finans kuruluşlarını güvence altına almak için yapabilecekleri dört temel şey vardır. Bunları aşağıda sıralıyorum:
- Birinci, Uygulamanın koruma önlemlerinin karmaşıklık düzeyine uygun olduğundan emin olun günümüzün tehdit aktörlerinden. Uygulama güvenliği ekibinizin, geleneksel kod korumalarını aşabilen tehdit aktörlerine karşı savaşacak gelişmiş kod koruma tekniklerine ihtiyacı vardır. Bu korumalar, mobil uygulamaların tersine mühendisliğini ve kurcalanmasını engellemeyi hedeflemelidir. Kötü niyetli aktörler, birden fazla uygulama güçlendirme ve kurcalamaya karşı koruma yöntemiyle karşılaştıklarında bir uygulamayı parçalara ayırmakta çok daha fazla zorlanırlar. Bu çok katmanlı mimari, yalnızca hedeflenen kötü amaçlı yazılımların oluşturulmasını engellemekle kalmaz, aynı zamanda ölçeklenebilir dolandırıcılık olasılığını da azaltır. Amaç, mobil uygulama güvenliği duruşunuzu, saldırganların saldırının değerini ve potansiyel kazancını görmediği bir noktaya yükseltmektir
- İkincisi, ekiplerinizin çeşitli tehdit vektörleri arasında çalışma zamanı görünürlüğünü etkinleştirincihaz, ağ, uygulama ve kimlik avı dahil. Birçok güvenlik ve geliştirme ekibi, gerçek zamanlı olarak son kullanıcı cihazlarındaki uygulamalarını hedef alan mobil tehditler hakkında sınırlı bir anlayışla karanlıkta çalışmaktadır. Zimperium araştırması, çoğu uygulamanın OWASP ve MASVS ile büyük ölçüde uyumlu olmadığını bulmuştur. Bu boşluğu kapatmak için, risklerin etkin bir şekilde tanımlanması ve raporlanması için gerçek zamanlı görünürlük zorunludur.
- Üçüncü, gerçek zamanlı tehdit yanıtı için cihaz içi korumayı devreye alın. Gerçek zamanlı tehdit görünürlüğünüz sabitlendikten sonra, gerçek zamanlı Görünürlüğün tüm amacı tehditlere saatler veya günler sonra değil, anında yanıt vermektir. Bu eyleme geçme yeteneği otonom olmalı, ağ bağlantısına veya arka uç sunucu iletişimine bağımlı olmamalıdır. Elbette, yanıt tehdidin ciddiyetine ve bağlamına bağlı olacaktır; bu, uygulamayı durdurmayı, davranışını dinamik olarak değiştirmeyi veya kullanıcıyı eğitim materyaline yönlendirmeyi içerebilir.
- Son olarak, hayati önem taşımaktadır Tüketiciye yönelik dikkat ve eğitim yatırımıeğitmek ve kurumsal güvenlikte zayıf bir nokta olarak kalmamalarını sağlamak. Kuruluşunuzun bankacılık uygulamasının kullanıcıları olarak, çok fazla izin tehlikesinin farkında olmaları önemlidir. İstedikleri şeye yakından bakmadan erişilebilirlik izinleri vermek riskli olabilir çünkü bu izinler uygulamalara bir cihazın işlevleri üzerinde geniş bir kontrol sağlayabilir. Bir uygulamanın sahte olduğunun ipuçlarından biri, bankacılık trojanlarının genellikle tonlarca izin istemesi ve ardından işlemleri otomatikleştirmek, hassas verileri (şifreler gibi) yakalamak veya meşru bankacılık uygulamalarına sahte giriş ekranları yerleştirmek için erişilebilirlik özelliklerini kullanmasıdır.
Mobil uygulamaları hedef alan saldırılar sektörler arasında birçok benzerliğe sahiptir, ancak bankanız veya finans kuruluşunuz için güvenlik sesi olarak, sektörünüzde akılda tutulması gereken nüanslar vardır. Gerçekten mobil destekli bir işletmenin mobil öncelikli bir güvenlik stratejisine ihtiyacı vardır ve kullanıcıları veya çalışanları için uygulamalar sunan bankacılık kuruluşları her zaman bankacılık trojanlarının ve finansal olarak motive olmuş siber suçluların taktiklerine karşı dikkatli olmalıdır.
yazar hakkında
Krishna Vishnubhotla, yetenekli ürün ve pazarlama stratejileriyle startup büyümesini hızlandırma konusunda uzmanlaşmış, SaaS sektöründe deneyimli bir profesyoneldir. Mobil uygulama güvenlik ürünlerine yoğun bir şekilde odaklanarak, önemli gelir büyümesini yönlendiren ürün vizyonlarını tanımlama ve uygulama konusunda kanıtlanmış bir geçmişe sahiptir. Küresel bir müşteri başarı portföyünü yönetmenin yanı sıra, yüksek değerli stratejik ortaklıklar kurmuştur. Liderlik becerileri, birden fazla sektörde çeşitli bir müşteri kitlesine hizmet ederek gelir yaratma çabalarına öncülük etmeye kadar uzanır.
Krishna’ya LinkedIn (https://www.linkedin.com/in/krishna-vishnubhotla/) adresinden ve şirketinin web sitesi https://www.zimperium.com/ adresinden ulaşılabilir.