Uzmanlar, Monzo’nun son 21 milyon sterlinlik müşteri doğrulama başarısızlıklarına göre para cezası, popüler kişisel finans uygulamalarının siber güvenlik ve gizlilik eksikliklerini ve iyi siber hijyenin önemini vurguladığını söyledi.
İngiltere’nin Finansal Davranış Otoritesi (FCA) yakın zamanda, Ekim 2018 ve Ağustos 2020 arasında, Challenger Bank’ın yeni müşteriler kaydolmak için yeterli “finansal suç sistemleri ve kontrolleri” yok olduğunu belirledi.
Bu para cezası tek bir siber güvenlik olayı ile ilişkili olmasa da, suçlular tarafından siber suç ve sahtekarlık eylemlerini yerine getirmek için sömürülebilen güvenlik açıklarının altını çiziyor. Monzo müşterileri, Buckingham Sarayı’nı adresleri olarak koymak gibi mantıksız ayrıntıları kullanarak hesaplar oluşturabildiler.
Bu arada, yetersiz risk değerlendirmeleri, bankaya katılan 34.000’den fazla yüksek riskli müşteri ile sonuçlandı-bu da işlem izleme sistemlerinin eksikliğinden daha da kötüleşen bir tehdit, yani finansal suç banka tarafından fark edilmeyebilir.
Monzo’nun bu başarısızlıkları, mali suç hacim ve sofistike artmaya devam ettikçe ortaya çıkıyor. İngiltere finans rakamlarına göre, 2024’te 3.31 milyon mali dolandırıcılık davası vardı ve sonuç olarak 1,17 milyar £ kayboldu.
Antivirüs uzmanı ESET küresel siber güvenlik danışmanı Jake Moore’a göre, Challenger Banks’ın geleneksel kurumlardan daha dijital olarak eğimli olmasına rağmen, her zaman siber güvenlik ve veri gizliliğine öncelik vermediklerini hatırlatmalıdırlar.
Yetkili, bankanın siber güvenlik duruşuyla ilgili olarak “Müşterinizi Bilin” ilkelerini takip edememek gibi “ciddi iç hatalar” yaptığını söyledi. Bunlar, müşteri kimliğini doğrulamak ve kara para aklama ve diğer organize suç türleri gibi ilişkili riskleri tanımlamak için prosedürler içerir. Moore, “Monzo, geleneksel bankacılığın bir zamanlar çabaladığı paradan tasarruf etmek için alanlara geri dönerken tartışmalı olarak ölçeklendirildi” dedi.
Santander Fine
Tabii ki, Monzo, düzenleyicilerin uygunluk ihlalleri nedeniyle incelemesi altında olan tek büyük banka değil. Üç yıl önce, Santander birkaç yıl boyunca kara para aklama karşıtı gaflar boyunca FCA tarafından 107,7 milyon sterlin para cezası ile tokatlandı. Ve ayrı ayrı, geçen yıl, 30 milyon müşterisini etkileyen felaket bir veri ihlali yaşadı.
Kişisel finans uygulamaları banka hesabı ve kredi kartı bilgileri gibi hassas veriler içerdiğinden, bu nitelikteki ihlaller, Microsoft’ta ve California Üniversitesi’ndeki Siber Güvenlik araştırmacısı olan Rajvardhan Oak, tam isimler, adresler, doğum tarihleri, doğum tarihleri ve sosyal güvenlik numaraları gibi hassas veriler içerdiğinden, Davis (UC Davis).
Siber suçluların, kişisel finans uygulamalarını ihlal ederek ve sahip oldukları hassas müşteri verilerinden yararlanarak “kimlik hırsızlığı, finansal sahtekarlık veya hatta uzun vadeli kredi hasarı” yapmaya devam edebileceğini söyledi.
Açık bankacılık riskleri
Bankalar sağlam siber güvenlik protokolleri kullansa bile, açık bankacılık yoluyla daha az titiz hizmet sağlayıcılarla paylaşılıyorsa müşterilerin verileri hala risk altında olabilir. İkincisi, birden fazla uygulama arasında veri aktarımını kolaylaştıran yazılım – Uygulama Programlama Arabirimleri (API) kullanır – böylece tüketicilerin finansal bilgileri birkaç sağlayıcıda paylaşılır ve en iyi fırsatlara ve farklı finansal hizmet türlerine erişmelerine izin verir.
Örneğin Moore, bankaların vergi yönetimi platformları gibi üçüncü taraf uygulamalarla entegrasyonlar sunabileceğini, böylece tüm müşterilerinin işlemlerinin otomatik olarak masraflar için kaydedilmesi gerektiğini söyledi. Ancak bunu yaparken, bankalar kişisel finans uygulaması ekosisteminde “herhangi bir güvenlik açığından yararlanmayı ümit eden siber suçlular için saldırı yüzeyini genişletiyor”.
Örneğin, bilgisayar korsanları API anahtarlarına yetkisiz erişim elde edebiliyorlarsa, bu farklı hizmetler arasında ilerledikçe hassas finansal bilgileri ele geçirebilirler. Kişisel verileri çalmanın diğer yaygın araçları kimlik avı-meşru görünen ancak kötü amaçlı yazılımlar yayılan bağlantılar ve ekler içeren sahte e-postalar ve mesajlar-ve müşterilerin bilgisayarlara hesaplarına ve verilerine erişim hakları vermeye kandırıldığı “kötü niyetli rıza ekranları”.
Yine de tüm kişisel finans uygulamaları göründükleri şey değildir. Oak, birçok “kullanıcı verilerini reklamverenlerle veya analitik firmalarla paylaşıyor” ve bu şüpheli uygulamayı müşterilerine, müşteri gizliliğinin “ciddi” ihlali olarak tanımladığı şeyde açıklayamadığı konusunda uyarıyor.
Açık bankacılık hizmetleri popülerlik kazandıkça, siber suçlular bunu gerçek finansal hizmetler olarak maskelenen ancak girildiğinde kullanıcıların bilgilerini çalan Truva atı açık bankacılık uygulamaları oluşturma fırsatı olarak görebilirler.
Bu nedenle, Google Play Store veya Apple App Store gibi gerçek uygulama mağazalarından finansal uygulamaları indirmek ve bir uygulamanın güvenilir olup olmadığını belirlemek için kullanıcı incelemelerini okumak çok önemlidir.
Bu riskleri göz önünde bulundurarak, iyi siber hijyen çok önemlidir. Oak, kişisel finans uygulamaları kullanan herkesin yazılım güncellemelerini düzenli olarak uygulayarak, güçlü ve benzersiz şifreleri ayarlayarak, iki faktörlü kimlik doğrulama gibi uygulama içi güvenlik özelliklerini kullanarak ve yalnızca güvenilir fintech hizmetlerini kullanarak kendilerini koruyabileceğini söyledi.
Haven Financial Planning’in ticari direktörü Junaid Afzal, kişisel finans uygulama kullanıcılarının siber savunmalarını artan sahtekarlık ve siber suçun ortasında güçlendirmeleri için acil ihtiyacı ile anlaştı.
Siber suçu ve sahtekarlığı azaltmak için bir “finansal sağlık planı” nın bir parçası olarak, tüketicilerin güvensiz kamu Wi-Fi ağlarında finans uygulamalarını kullanmaktan ve bu uygulamalara verilen cihaz izinlerini gözden geçirmelerini önerdi. Afzal, “Kullanıcıların uygulama hijyeninde finansal hedeflerini güvence altına almaya kararlı oldukları için disiplinli olmaları gerekiyor” dedi.
Öte yandan Moore, tüketicileri, sosyal mühendislik saldırılarının manipülatif taktikleri gibi ortak çevrimiçi tehditleri anlamalarını geliştirmeye çağırdı ve kullanıcıları kimlik avı e -postaları ve spam çağrıları gibi kişisel bilgileri paylaşmak için kandırdı.
Fintech sağlayıcıları da siber güvenliği ciddiye almalıdır. Scarlett Sieber, Money20/20’nin baş büyüme ve strateji görevlisi ve yazarı Gömülü finans“Hassas verilerle ilgilenen herhangi bir fintech şirketi, siber güvenlik standartlarının en yüksek olmasına veya uzun sürmeyecekleri.”
Monzo’ya son para cezası ve siber güvenliği arasındaki bağlantılar hakkında yorum yapma fırsatı verildi, ancak Challenger Bank bu etkiye yanıt vermedi.
Ancak Santander, 2022 kara para aklama karşıtı para cezasına ve ayrı 2024 veri ihlaline yanıt olarak “mali suçla ilgili sorumluluklarını son derece ciddiye aldığını” belirtti.
Banka sözcüsü, “FCA soruşturması, Santander UK’nin iş bankacılığı müşterileri için tarihi AML süreçleriyle ilgili konulara odaklandı” dedi. “O zamandan beri finansal suç teknolojimizi, sistemlerimizi ve süreçlerimizi elden geçirerek bunu ele almak için önemli değişiklikler yaptık.”