Artikelzyklus "Zukunft des Bankensystems"
Das Bewegen des Cyber-Sicherheitstorpfostens
Cyber-Risiko, während überhaupt nicht nicht neu, hat in die Höhe geschnellt Liste, Probleme für Banken – für die Regler, dafür zu führen der Vorstand, der CEO, das C-Gefolge, nennen Sie es. Niemand will auf der falschen Seite der Überschrift sein. Ein schließen, dass das fortsetzt, sich groß abzuzeichnen, ist dass die Natur der Bedrohung entwickelt sich ständig, und nicht nur von Technologieperspektive. Zum Beispiel heute kann eine Bank werden Sie nicht nur von Gruppen bedroht, die achten Geld, aber durch Schauspieler stehlen, die einfach können sein wollen störend.
Der Bankensektor in Indien entwickelt sich erleichtert schnell durch den mobilen und das Internetdurchdringen im Land und den technologischen Innovationen, die das feststehende stören Prozesse. In den letzten beiden Jahren, Technologien solcher als Cyberwallets, EMV Chipbasierte Karten, und zwei Faktorbeglaubigung über den SMSBASIERTEN Eine Zeit Kennwort (OTP) ist Hauptströmung in Indien geworden. Diese Neuerungen wurden entworfen, um Zahlung zu machen Transaktionen günstig und sicherer; aber sind wir wirklich sicher?
Cyberwallets
In Indien ersetzen Cyberwallets Bargeld zunehmend für Käufe und Zahlungen, besonders für das Mobiltelefon Telefon lädt wieder, DTH Dienstpläne laden, Versorgungsrechnungen wieder, Transportdienste, und sogar für Online-Geldübertragungen. Fast alle Großbänke in Indien sind losgefahren ihre eigene Version eines Cyberwallets mit dem unterschiedlichen Grad Funktionalitäten und versuchen, ins Wachsen zu klopfen Smartphone-Benutzermarkt. Mit der Steigerung des Gebrauchs dessen Smartphones, dort haben Sorgen darauf angebaut Cyber-Schwindel haben mit Cyberwallets verkehrt.
Cyberwallets in Indien sind in erster Linie gestützt mobil und so innewohnendes Risiko wie der folgende haben:
• Phishing-Schwindel:
Betrüger betrügen Kunden durch Telefon-ANRUFE/SMS/E-MAILS, sich empfindlich zu teilen Informationen wie PINS/Kennwörter, die resultieren können in der Veruntreuung des virtuellen Geldes von der Brieftasche.
• Das Schnüffeln / Eindringen-Angriff / Cyber Angriff:
Betrügerkerbe in die Cyberwalletplattform und manipulieren Brieftaschen, um Vorteil zu gewinnen. Betrüger fangen Verkehr ab zwischen der Cyberwalletplattform und den Verbrauchern dazu Ausweis ernten oder die Transaktionen zu manipulieren.
• Vorteile durch das Fehlverhalten:
Stammkunden Produkt oder Anwendungsfehler entdecken, die können Vorteil zu ihnen in spezifischen Drehbüchern und dann bringen wiederholt dieselben Drehbücher vortäuschen, um auszunutzen diese Beschränkungen.
• Unechter KYC:
Kunden können Fälschung ausstatten Wissen Ihren Kunde (KYC) Dokumente, um Zugang dazu zu gewinnen erstklassige Brieftaschen, die höheren Transaktionswert erlauben (Übertragung und Bargeld). Während Zentralbank Indiens (RBI) hat strenge KYC-Normen und Überwachung vorgeschrieben, die Wirksamkeit, diese Normen zu erfüllen, kann beschränkt werden.
• Anwendungsmanipulation durch den bevollmächtigten Benutzer:
Mitarbeiter, die admin/super-user Zugang haben, können unerlaubte Transaktionen wie Pseudo-durchführen virtuelle Geldgeneration auf ausgesuchten Brieftaschen, virtuell Geldwertveruntreuung von Brieftaschen, und betrügerische Umkehrungen.
Die Cyberwalletindustrie ist größtenteils in einer werdenden Stufe in Indien und Banken werden auf das Bauen eines Benutzers mehr eingestellt die Basis als vielleicht das Blicken in Schwindel kontrolliert Maßnahmen. Jedoch wird es dass die mobile Plattform bemerkt Adoptionsraten in Indien sind viel höher als in anderem Teile der Welt. Es ist deshalb dass diese Woge wahrscheinlich in der Adoption können Raten durch eine Überschwemmung von Cyber-Schwindeln begleitet werden.
Chipbasierte Karten
Laut von der Zentralbank Indiens erlassener Leitlinien, Banken haben angefangen, EMV chipbasierte Karten auszugeben, die die Zahlungstransaktionen mit dem erhöhten sichern Funktionalitäten in den folgenden Bereichen:
• Kartenbeglaubigung: Kartenbeglaubigung schützt gegen den nachgemachten (streichenden) Kartenschwindel. Die Karte wird während der Zahlungstransaktion beglaubigt, der Schutz gegen nachgemachte Karten.
• Kartenbesitzerüberprüfung: Kartenbesitzerüberprüfung beglaubigt den Kartenbesitzer und schützt dagegen verlorene und gestohlene Karten. Kartenbesitzerüberprüfung sichert dass die Person, die versucht, die Transaktion zu machen, ist die Person, der die Karte gehört.
• Transaktionsgenehmigung: Transaktionsgenehmigung verwendet ausstellerdefinierte Regeln, Transaktionen zu autorisieren. Die Transaktion wird irgendein online und offline autorisiert das Verwenden von ausstellerdefinierten Risikoparametern ist in der Karte untergegangen.
Während EMV chipbasierte Karten es schwieriger machen für Verbrecher, um Kreditkartenschwindel durch das Kopieren zu begehen ein magnetischer Streifen, das schlechte Verstehen von Cyber-Risiken gelindert durch EMV chipbasierte Karten führt zu Folgendem Verwundbarkeit:
• Der EMV chipbasierte durch die Bankunterstützung ausgegebene Karten sowohl Chip als auch Magnetischstreifenfunktionen und sind so ausgesetzt denselben Risiken wie magnetischer Streifen Karten. Magnetische Streifen auf EMV chipbasierte Karten sind verwundbar für das Klonen oder Herumbasteln.
• Die EMV chipbasierte Karten sind erfolgreich gewesen ausgenutzt und konnte dafür anfällig sein
– Vorspielangriff: Eine Karte in einen Schelm eingefügt Zahlungsterminal kann für eine Transaktion beladen werden es wird mit einer betrügerischen Karte an einem Terminal getan irgendwo sonst
– Jed-PIN-Angriff: Der Angreifer beginnt eine Transaktion mit gestohlenen Karten, fängt die PIN-Abfrage davon ab POS (Punkt des Verkaufs) Terminals und beglaubigt es unabhängig von der PIN ist hereingegangen, so erlaubend der Angreifer, um PIN-Überprüfung um dazu zu umgehen betrügerische Transaktionen autorisieren.
• EMV chipbasierte Karten lindern cyber nicht wirklich riskiert für den online oder die Transaktionen „nicht anwesende Karte“.
• EMV chipbasierte Karten verhindern den Diebstahl dessen nicht Kartendaten unterwegs. Infolgedessen, Daten ist noch verwundbar, weil Verbrecher fortsetzen, Zugangpunkte darin zu finden die Umgebung durch den Punkt von Verkaufssystemen und andere schwache Verbindungen.
• Die Sicherheitssorge wird auf den betrügerischen nicht beschränkt Kreditkartengebrauch, aber streckt sich bis zu den kritischen Daten aus gesammelt von den Banken oder Großhändlern, um zu personifizieren Kundenerfahrung.
• Das Einführen EMV chipbasierte Technologie tut nicht automatisch PCI-DSS-Voraussetzungen befriedigen.
Wenn auch bekannte Verwundbarkeit in chipbasiertem EMV Karten können befestigt worden sein, es ist nur eine Frage dessen die Zeit vor der neuen Verwundbarkeit wird identifiziert und ausgenutzt. EMV chipbasierte Karten wechseln bloß die Bedrohung aus Landschaft vom Punkt des Verkaufs zum Zahlungslebenszyklus und die Anwendungsgroßhändler laufen in ihrem online Umgebungen.
SMSBASIERTER OTP
SMSBASIERTES ehemaliges Kennwort (OTP) ist äußerst populär und eine der am weitesten verwendeten Form der twofactor Beglaubigung (2FA) in Indien. SMSBASIERTER OTP ist verwendet von Banken, um Zeitkennwörter schnell zu liefern und sicher mit aus dem Bandlieferkanal wie auf allen verfügbarer einfacher Nachrichtenübermittlungsdienst (SMS) Handys. Die meisten Banken haben durchgeführt SMSBASIERTER OTP für kritische Dienste wie Begünstigter Hinzufügung, Geldübertragungen und haben irgendeinen völlig oder teilweise ersetzte andere Beglaubigungsmechanismen solcher als Bratrost, Profilkennwörter.
OTPs machen es schwierig für Angreifer, unerlaubt zu gewinnen Zugang zu eingeschränkten Ressourcen, wie Bankkonten oder Datenbanken mit empfindlichen Informationen. SMSBASIERTER OTP ist leicht, zu verwenden, zu führen und zu verteilen, und verlangt keine zusätzliche Hardware oder zu installierende Software auf dem Handy des Benutzers. Jedoch SMSBASIERTER OTP ist unsicher vom Nationalen Institut dafür erklärt worden Standards und Technologie (NIST) und sind nur eine Überbrückung Lösung bestenfalls.
Einige der mit SMSbased OTP vereinigten Hauptcyber-Risiken sind wie folgt:
• SMS-Nachrichten können abgefangen oder umadressiert werden. Angreifer kann im Stande sein, die SMS abzulenken, die ein ehemaliges Kennwort (OTP) zu ihrem eigenen Gerät, der enthält lässt den Angreifer jeden Dienst, einschließlich des Hinzufügens a entführen neuer Begünstigter, Geld usw. übertragend.
• Die voreingetragene Handynummer kann nicht sein ich habe mit jedem Mobilfunknetz verkehrt, und gekonnt hat wirklich VoIP (oder anderes softwarebasiertes) Dienst sein. SMSBASIERTER OTP ist für die Entführung, wenn verwundbar Person verwendet ein Begleitkommentarinternet-Protokoll (VoIP) Dienst, der Anrufdienstleistungen anbietet über eine Breitbandinternetverbindung statt a traditionelles Netzwerk.
• Das Ändern der voreingetragenen Handynummer kann nicht seien Sie ohne SMSBASIERTEN OTP möglich.
• Die SMS kann an einen falschen Empfänger als geliefert werden das Handy kann verloren/gestohlen werden oder die Zahl kann vom Benutzer geändert worden sein.
Zwei-Faktoren-Beglaubigung muss sich weiter entwickeln und verwenden Sie alternative Kanäle, um aus dem Band zu leisten Lieferung von OTPs. Also, während der Gebrauch von SMSBASIERTEM OTP ist wenn es missbilligt wird, ist sicheres Mobilgerät noch ein lebensfähiger Alternative zu SMSBASIERTEM OTP.
Beschluss
Die wirkliche Neuerung, die Geschäftswachstum steuern und Wert schafft auch die erste Ordnung Cyber-Risiken. Innovativ Technologien wie Chipbasierte Karten und SMSBASIERT OTP haben den Banken geholfen, Sicherheit durchzuführen kontrolliert, um traditionelle Cyber-Risiken zu lindern. Jedoch, als die Technologie hat sich entwickelt, Angriffsvektoren haben auch hoch entwickelter werden. Fragen sind jetzt ich habe auf Technologien erhoben, die zuvor als gedacht wurden sicher.
Wir sind nur so sicher wie unsere schwächste Verbindung. Das Aussehen daran Cyber-Bedrohungen in der Isolierung, beschränkt streng unsere Fähigkeit dazu die ganze Auswirkung des Cyber-Risikos verstehen. Es gibt ein Bedarf am erhöhten Cyber-Risikobewertungsfachwerk und die Prüfung der Methodik, um unaufhörlich zu entdecken, und gegen das Entwickeln von Cyber-Bedrohungen schützen. Seiend sicher ist wichtiger als jemals, es gibt eine Notwendigkeit auch ständig wachsam und im Gesicht dessen elastisch zu sein das Entwickeln von Cyber-Bedrohungen.
Sehr interessant. Alle Artikel sind super.
ReplyDelete