Mobil Uygulamalarda Güvenlik Tehditleri
Siber Güvenlik Uzmanları (CSO-Computer Security Officer) eski siber güvenlikli günlerinde “ne zaman olacak” diye düşünürlerdi, şimdi, “sırada ne var?” diye daha çok düşünüyorlar. Bugünkü konumuz; Mobil uygulama katmanında fintech güvenlik tehditlerini engellemek
Artan güvenlik farkındalığına rağmen, yakın tarihli bir çalışmada test edilen finans kurumu uygulamalarının yüzde 97’sinin, tersine mühendislik veya geri derlemeye karşı güvenlik açığı yaratan yeterli korumadan yoksun olması endişe verici. Akıllı telefon kullanıcılarının yüzde 63’ünün en az bir finansal uygulamaya sahip olduğu göz önüne alındığında, genel risk çok büyük.
İle şirket başına yılda $ 18.300.000 ulaşan bankacılık sektöründe dijital saldırıların maliyetinin, bir şey kesinlikle doğru çalışmıyor. İyi haber şu ki, fintech veri varlıklarını savunmanın akıllı ve dayanıklı yolları var. Kuruluşunuzun mobil ödeme güvenliğini nasıl güvenebileceğiniz bir hale getirebileceğinizi öğrenelim.
Mobil cihaz koruma katmanları
Mobil cihaz güvenliği birkaç katmandan oluşur. Donanım için, güvenli önyükleme, yüklenen tüm yazılımların onaylı bir yazar tarafından dijital olarak imzalanmasını gerektirir. İşletim sistemi katmanında, hem iOS hem de Android, kötü amaçlı yazılım uygulamalarının hasarını sınırlayan sanal sanal alanlar gibi yerleşik güvenlik özelliklerine sahiptir. Bu arada, iOS sürücü şifrelemesi standart olarak gelirken bazı Android kullanıcılarının bu özelliği etkinleştirmesi gerekebilir.
Ancak uygulama katmanı, güvenlik açısından en karmaşık katman olabilir. Uygulama yüklemesi potansiyel riski taşır ve uygulamaların dinamik yapısı yeni güvenlik açıkları açabilir.
Güvenli mobil ödeme uygulamaları için temel gereksinimler nelerdir?
Endüstri standartları ve güvenlik düzenlemelerine uyum
ABD’de Gramm-Leach-Bliley Yasası (GLBA), finans kuruluşlarının hassas müşteri verilerini korumasını gerektirir. GLBA uyumlu olmak için, fintech’ler müşterileri hassas verileri nasıl paylaşacakları konusunda bilgilendirmelidir. Ayrıca, kişisel verilerinin üçüncü şahıslarla paylaşılmasını istemiyorlarsa müşterileri vazgeçme hakları konusunda bilgilendirmelisiniz. Tüm finans kuruluşları, müşterilerin özel verilerine, yazılı bir bilgi güvenliği planına uygun olarak özel korumalar uygulamalıdır. Ayrıntılar, FTC’nin GLBA Koruma Önlemleri Kuralında özetlenmiştir .
2019’da FTC , GLBA’ya tüm müşteri verilerini şifreleme, çok faktörlü kimlik doğrulama veri erişimini kullanma ve yetkisiz kullanıcıların müşteri bilgilerine erişmesini önlemek için daha fazla erişim kontrolü uygulama gerekliliğini içerebilecek değişiklikler önerdi .
Geleneksel ödeme hizmetleri ve finansal ortamla uyumluluk
Dijital güvenli ödeme hizmetleri, geleneksel ödeme hizmetleri ve bankalar ve kredi kartı şirketleri gibi finansal ortamlarla uyumlu olmalıdır. Bu, karşılıklı bir birlikte varoluşu gerektirir ve mevcut hizmetlerin ve altyapının kullanılması anlamına gelir. Kullanıcı sürtünmesini en aza indirmek için hem yeni hem de geleneksel işlem yolları mevcut olmalıdır. Son olarak, operasyonel aksaklık ve uygulama maliyeti minimum düzeyde olmalıdır.
Hileli işlemleri tespit edin ve önleyin
Mobil ödeme güvenliği, iki ana tür işlem sahtekarlığıyla karşı karşıyadır : dijital ödemeyi toplayan bir tüccar tarafından yapılan dolandırıcılık veya ödeme yapmak için çalınan kimlik bilgilerini kullanan biri tarafından yapılan dolandırıcılık. Satıcı sahtekarlığı, çevrimiçi ve çevrimdışı ayak izlerinin yakından incelenmesi de dahil olmak üzere Müşterinizi Tanıyın (KYC) durum tespiti ile önlenebilir .
Satıcı dışı ödeme dolandırıcılığı, çalıntı kart, şifre hırsızlığı, cep telefonu ihlali, kimlik avı ve telefon araması dolandırıcılığı gibi çalınmış kimlik bilgilerinin kullanılmasını içerir. Mobil uygulama zayıflıklarından yararlanmak için kullanılan bazı stratejiler şunları içerir:
- Tersine mühendislik – Arka uç işlevini ortaya çıkarmak için uygulamanızın düşmanca bir kopyasını oluşturur. Şifreleme algoritmalarını, kaynak kodu düzenlemelerini ve daha fazlasını açığa çıkarabilir.
- Kötü amaçlı kod yerleştirme – Saldırgan, iki nokta üst üste veya eşit işaretlere karşı korumasız bir bölüme JavaScript kodunu enjekte etmek için uygulama içi formları hackler. Karakter sınırı olmayan formlar özellikle savunmasızdır.
- Gölge API’ler – API, güvenliği ihlal edilmiş bir uç nokta olarak görünmez ve saldırgan, ağ filtrelerinden kaçan onaylanmış bir kullanıcı olarak görünür.
2020’de güvenli bir fintech uygulaması oluşturma
Riski azaltmak için, günümüzün en sağlam fintech güvenlik stratejileri genellikle şunları içerir:
Çok faktörlü kimlik doğrulama
Kişisel soru cevapları, SMS onay kodu veya biyometri (parmak izi, yüz vb.) Gibi ek bir kimlik doğrulama katmanı (veya katmanları) uygular.
Mobil uygulama koruması
Mobil uygulama koruması, uygulama güvenliğini kaynak kodu düzeyinde sağlamlaştırır. Bu, gelişmiş kod gizleme (karıştırma), dize şifreleme, kontrol akışı gizleme ve meta veri gizleme yoluyla gerçekleşir. Uygulama işlevini etkilemese de kod karıştırma, kodu anlamayı neredeyse imkansız hale getirir.
Beyaz kutu şifreleme
Beyaz kutu şifreleme, daha güvenli şifreleme için hibrit uygulama kodu ve anahtarları oluşturmak için matematiksel teknikler ve dönüşümler kullanır. Bu, anahtarların uygulamada bulunmasını veya çıkarılmasını engeller. Beyaz kutu şifrelemesinin nasıl çalıştığına dair kesin ayrıntılar, her tasarımcı için benzersizdir.
Kurcalama önleme
İzleme kodunu girerek, kodunuzun değiştirilip değiştirilmediğini veya saldırıya uğradığını tespit edebilir. Bu arada, anahtar koruması, anahtarlarınızın her zaman korunmasını sağlamak için bir matematik ve kriptografi kombinasyonu kullanır. Bilgisayar korsanları, birden fazla zorluk katmanıyla karşılaştıklarında genellikle daha kolay hedeflere doğru ilerler.
Geçiş halindeki verileri güvenli hale getirin
Optimum güvenlik için, aktarılmakta olan veriler, güvenli depolama ve şifreleme anahtarlarının ve sertifikalarının periyodik rotasyonunu gerektirir. Örneğin sertifika yönetimini kullanarak yalnızca belirlenmiş uygulamalar arka uç web sunucularına bağlanabilmelidir. Ayrıca, otomatik tehdit algılama hizmetleri, verileri tanımlanan sınırların ötesine taşıma girişimlerini algılayabilir. Son olarak, geçiş halindeki verilerin güvenliği, IPsec gibi protokoller aracılığıyla ağ iletişimlerinin doğrulanmasıyla iyileştirilebilir.
Akıllı bulut seçimi
Genel bir bulut SaaS uygulaması, yalnızca doğrulanmış, iyi uygulanmış bir güvenlik stratejisine sahip bir satıcıdan kabul edilmelidir. Hibrit bulut, bir SaaS güvenlik duvarı içinde yalnızca şirketiniz için özel bir bulut oluşturmanıza olanak tanır. Özel bulut maksimum güvenlik ve kontrol sunar, ancak yazılımı ve altyapıyı satın almanız ve bakımını yapmanız gerekir.
API’lerinizi koruyun
Şifreleme ve gizlemelere ek olarak, API güvenliği, taşıma katmanı (TLS) güvenliği, sertifika yetkilisi doğrulaması ve sertifika sabitleme ile geliştirilebilir. Bu arada, segmentasyon yalnızca belirli kullanıcıların belirli API kaynaklarına erişmesine izin verir.
Geleceğin Fintech güvenliği
Kapsamlı bir fintech güvenlik stratejisi asla durmaz ve yeni yöntemler hızla ortaya çıkar. Örneğin, biyometrinin sahtekarlığa karşı üstün bir savunma engeli olduğuna inanılıyor. Biyometrik kimlik doğrulama, hızlı bir şekilde uygun fiyatlı, pratik ve geniş çapta erişilebilir hale geliyor. Sektördeki sağlayıcılar bankalar, finans kurumları, ödeme işleme firmaları ve akıllı telefon üreticileri ile ortaklık yapmaktadır.
Bu arada, AI / ML teknolojilerinin ve veri analitiğinin gücü, düzensiz veri kalıplarının ve şüpheli işlemlerin tespitini iyileştirir. Büyük hacimli verileri hızlı ve verimli bir şekilde işleme yeteneği, her türlü güvenlik önlemi için bir temel taştır.
Ek olarak, ödemelerle ilgili olarak, CNN’ler (Evrişimli Sinir Ağları) müşteri profili oluşturmayı ve dolandırıcılık niyetinin tespitini geliştirebilir. CNN modelleri, nitel ve nicel tehdit verilerini yakalayan karmaşık veri kaynaklarını işler. Yapay zeka hızının ve verimliliğinin faydalarıyla birleştiğinde CNN, sahtekarlığı engellemek için zorlu bir güç haline gelir.