iStock

OMOGUĆAVA M-ZABA

OTKRIVAMO: ČETIRI KORAKA DO SIGURNOG M-BANKINGA Prva analiza vodećih stručnjaka koji kontroliraju sigurnost vaših financijskih podataka na internetu

    AUTOR:
    • Saša Jušić

  • OBJAVLJENO:
  • 08.11.2018. u 08:30

 

Zagrebačka banka i Jutarnji vjeruju u budućnost u kojoj razvoj digitalnih tehnologija olakšava ljudima svakodnevicu i pomaže ostvariti svoje snove i životne ciljeve. Zaba kontinuirano razvija m-zabu kako bi građani efikasnije, jednostavnije i sigurnije mogli upravljati osobnim financijama. Donosimo analizu i preporuke stručnjaka za informacijsku sigurnost kako bismo mogli što sigurnije obavljati financijske transakcije preko našeg pametnog mobitela.

 

Mobilne aplikacije za upravljanje osobnim financijama postale su dio naše svakodnevice. Osim popularnosti pametnih telefona koji su značajno doprinijeli ovom trendu, jednostavnost korištenja i neke od naprednih funkcionalnosti kao što su slikaj i plati, dodatno su motivirali građane pa je dobar dio nas već zaboravio kako je to čekati u redu da bi se platilo nekoliko računa.

Osim popularnosti i praktičnosti mobilnih bankarskih aplikacija, postoji i druga strana korištenja ovakvih tehnologija - a to je sigurnost. Naslovi u medijima koji govore o hakerskim napadima ili krađi podataka ljude navodi na logična pitanja:

  • može li netko provesti transakciju u moje ime u slučaju gubitka pametnog telefona?
  • može li netko presresti moju komunikaciju s bankom dok sjedim u kafiću i plaćam račune?
  • može li netko ukrasti moje korisničke podatke i provesti transakciju u moje ime?
  • može li netko aktivirati mobilnu aplikaciju na svojem telefonu u moje ime?
  • mogu li se zaraziti malicioznim softverom koji može ukrasti moje podatke?

Dobra vijest za sve korisnike aplikacija mobilnog bankarstva je da su banke u Hrvatskoj, a i regiji svjesne ovih sigurnosnih izazova i da značajna sredstva i napore ulažu kako bi se ovakvim rizicima adekvatno upravljalo. Uz to, Hrvatska narodna banka svojim regulatornim okvirima i kontrolama, od banaka zahtijeva da redovito testiraju sigurnost svojih aplikacija mobilnog i Internet bankarstva.

Evo što pokazuje naša analiza o sigurnosti mobilnih aplikacija za upravljanje osobnim financijama.

Zagreb, 311018.
Strucnjak za informaticku sigurnost Sasa Jusic, fotografiran u prostorima tvrtke INFIGO IS.
Foto: Boris Kovacev / CROPIX
Boris Kovacev / CROPIX

Saša Jušić jedan je od vodećih stručnjaka u Hrvatskoj i regiji za informacijsku sigurnost i stariji konzultant u tvrtki INFIGO IS, koja 13 godina analizira i pomaže unaprijediti sigurnost digitalnih financijskih aplikacija.

 

1. KAKO FUNKCIONIRA M-BANKING

Kako bi se aplikacija aktivirala na vašem pametnom telefonu, obično se od vas zahtijeva unošenje zaštitnog koda (aktivacijskog ključa) koji se uglavnom sastoji od dva dijela. Jedan dio korisnik dobiva u banci, a drugi se iz sigurnosnih razloga dostavlja odvojenim kanalom, obično putem SMS poruke.

Prilikom aktivacije aplikacije na pametnom telefonu generira se i sigurno pohranjuje tajni ključ koji će se kasnije koristiti za zaštitu svih osjetljivih informacija koje se razmjenjuju s bankom. Ako banka zaprimi zahtjev za transakcijom koji nije potpisan ovim ključem, ista se neće provesti.

Kako bi se onemogućio neovlašteni pristup tajnom ključu korisnika, koriste se sigurnosne zaštite ugrađene u sam pametni telefon, ali i dodatna zaštita putem korisničkog PIN-a koji je poznat samo korisniku i postavljen u trenutku inicijalnog pokretanja aplikacije. Na taj način ukoliko netko i ukrade pametni telefon nije u mogućnosti pokrenuti aplikaciju bez poznavanja korisničkog PIN-a.

Dodatno, sva komunikacija s bankom štiti se enkripcijom u prijenosu (HTTPS zaštita) kako bi se omogućilo sigurno plaćanje računa od bilo kuda, pa čak i iz kafića.

M-ZABA JEDNOSTAVNA I SIGURNA. PREUZMI APLIKACIJU OVDJE

2. KAKVO JE STANJE SIGURNOSTI

Iako je razina sigurnosti mobilnih aplikacija u Hrvatskoj i regiji na zavidnoj razini, u svijetu sigurnosti uvijek vrijedi jedno pravilo, a to je da ne postoji apsolutna, 100%-na, sigurnost. Uvijek postoji rizik od previda ili grešaka koji mogu otvoriti mogućnost za potencijalne zloupotrebe.

Kako bi banke osigurale da se to ne dogodi, one redovito provode sigurnosna ispitivanja kojima se u kontroliranim uvjetima simuliraju neovlaštene aktivnosti potencijalnog napadača. Cilj takvih testova je da se potencijalni sigurnosni nedostaci uoče i isprave prije nego to učine potencijalni napadači. Među aplikacijama koje smo testirali, na sreću vrlo malo ih sadržava ranjivost u dijelu nesigurnog prijenosa informacija.

3. ŠTO M-BANKING ČINI SIGURNIM

Iako je nemoguće u potpunosti eliminirati rizike, u pravilu možemo reći da su aplikacije za mobilna plaćanja vrlo sigurne i njihovo korištenje se preporuča.

Evo što sve m-banking aplikacije čine sigurnijima:

Korištenje tzv. dvofaktorske ili višefaktorske autentikacije

Aplikacije za mobilna plaćanja u pravilu koriste dvofaktorsku autentikaciju. Za prijavu u aplikaciju morate posjedovati mobilni uređaj te poznavati korisnički PIN koji vam je dodijeljen od strane vaše banke. To znači da ukoliko netko i ukrade mobilni uređaj on neće biti u mogućnosti ostvariti pristup aplikaciji za mobilna plaćanja bez da poznaje vaš PIN. Ukoliko ga pak pokuša pogoditi višestrukim uzastopnim pokušajima, dobro dizajnirana aplikacija će onemogućiti korištenje aplikacije. Neki korisnici dodatno koriste i autentikaciju na sam mobilni uređaj, što donosi dodatnu razinu zaštite, a sve popularnije su biometrijske metode autentikacije putem otiska prsta ili prepoznavanja lica.

Kontinuirani trend podizanja sigurnosti mobilnih/pametnih uređaja

Sigurnost samih mobilnih uređaja raste iz dana u dan što dodatno otežava provođenje neovlaštenih aktivnosti. Sigurnosne mjere inicijalno ugrađene u same uređaje i operacijske sustave kao što su Android i iOS, vlasnicima aplikacija omogućuje lakšu izradu sigurnih aplikacija te umanjuju rizike od eventualnih previda ili grešaka u razvoju.

Šifriranje ili enkripcija

Za pohranu i prijenos osjetljivih podataka, ispravno dizajnirane mobilne aplikacije poput onih velikih bankovnih sustava koriste šifriranje ili enkripciju. To znači da ako netko dođe u posjed vašeg mobilnog uređaja ili presretne vašu komunikaciju dok iz kafića plaćate svoje račune, napadač neće biti u mogućnosti doći do vaših podataka.

Istodobni rad m-bankinga i drugih aplikacija / funkcija uređaja

Na otvorenijim platformama (npr. Android) dodatna mjera zaštite može biti zabrana uporabe m-bankinga tijekom aktivnog korištenja aplikacija koje prekrivaju zaslon (overlay). Najčešće se radi o aplikacijama koje prilagođavaju boje zaslona, ali takve aplikacije katkad mogu sadržavati i maliciozne softvere. Ovakva mjera zaštite je, u kombinaciji s „izmiješanom“ (shuffle) tipkovnicom i zabranom printscreena, jednostavna, ali vrlo djelotvorna.

Regulatorni zahtjevi

Od financijskih institucija i drugih organizacija koje omogućuju mobilna plaćanja zahtijeva se da redovito testiraju sigurnost svojih aplikacija. Na taj način proaktivno se žele identificirati i ukloniti sve sigurnosne slabosti koje bi u stvarnom radu mogle biti iskorištene za provođenje neovlaštenih aktivnosti.

M-ZABA JEDNOSTAVNA I SIGURNA. PREUZMI APLIKACIJU OVDJE

4. SAVJETI ZA KORISNIKE M-BANKING

Kako bi sebe i svoje aplikacije dodatno zaštitili, vodite računa o sljedećem:

  • Uvijek dohvaćajte aplikacije iz sigurnih i provjerenih izvora.
  • Koristite PIN ili otisak prsta za dodatnu autentikaciju na svoje uređaje. Na ovaj način u slučaju krađe ili gubitka uređaja, napadaču se dodatno otežava krađa vaših podataka.
  • Koristite uređaje na legitiman način u skladu s preporukama proizvođača (bez jailbreakanja iphone uređaja  ili rootanja Android uređaja i sličnih drugih mogućnosti). Samo na ovaj način vam uređaji mogu garantirati odgovarajuću razinu sigurnosti.
  • Kada završite s korištenjem aplikacije mobilnog bankarstva uvijek pritisnite gumb Odjava – nemojte samo pokrenuti drugu aplikaciju na vašem pametnom telefonu.

Prilog je napravljen u produkciji Native Ad Studija i Zabe, u skladu s najvišim profesionalnim standardima Jutarnjeg.