A mobilfizetés biztonsága
Már számos informatikai terület, technológia esetében megfigyelhető volt, hogy népszerűségük rohamos növekedésével a biztonsági megoldások nem tudták tartani a lépést, és ezáltal a cyberbűnözés előnyt szerzett. Többek között a mobilbiztonságot is ez fenyegeti, hiszen az okostelefonok gyors terjedése ellenére a védelemi eszközök sok esetben még mindig gyerekcipőben járnak. Azért, hogy A mobilfizetés kapcsán is előrelátó módon kell kezelni a kockázatokat, ehhez arra van szükség, hogy már most a figyelem középpontjába kerüljön a biztonság. Hiba lenne ugyanis abban reménykedni, hogy a cyberbűnözés „tetszését nem fogja elnyerni" a mobilfizetés.
2011 szeptemberében jelent meg az az Android-kompatibilis, Spitmo nevű trójai, amely bankoktól származó SMS-üzeneteket kémlel annak érdekében, hogy bizalmas adatokat, bejelentkezésekhez és tranzakciókhoz tartozó kódokat szivárogtasson ki. A kártékony program egy APK állomány formájában terjed, és amikor felkerül egy okostelefonra, akkor ott rögtön engedélyt kér különféle rendszerösszetevők eléréséhez, illetve egyes műveletek elvégzéséhez. A beérkező SMS-üzenetek közül előbb kiválogatja azokat, amelyek feltételezhetően banki kódokat is tartalmaznak, majd azokat feltölti egy szerverre. Ezáltal a terjesztőit olyan SMS-ekkel halmozza el, amelyek hitelesítéshez alkalmazható, egyszer használatos kódokat hordoznak.
A népszerűség ára
A cyberbűnözés mindig azokat a platformokat, technológiákat állítja célkeresztbe, amelyek a legnagyobb népszerűségnek örvendenek. Ezért először érdemes megvizsgálni, hogy a következő években mire lehet számítani a mobilfizetés terjedését illetően. Sajnos eddig a különböző kutatóintézetek meglehetősen eltérő előrejelzéseket tettek közzé, de az azért jól látszik, hogy e területen a növekedés töretlen lesz.
A Gartner szerint a mobileszközök segítségével megvalósított fizetések összértéke idén el fogja érni a 86 milliárd dollárt, ami több mint 75 százalékos növekedésnek felel meg 2010-hez képest. A Juniper Research ennél optimistább, mivel 2011-re 240 milliárdos forgalmat jósol, ami 2015-re meghaladhatja a 670 milliárd dollárt. Az NFC jelentős szerephez jut majd, ugyanis két év múlva az NFC-alapú tranzakciók fogják kitenni a mobilfizetések több mint felét.
A Mobio idei felmérése szerint viszont a mobilfizetés terjedését - hasonlóan, ahogy például azt a cloud computing esetében megfigyelhettük - jelentősen hátráltatják a biztonsági aggályok. A felmérés eredményéből az derül ki, hogy a megkérdezett amerikai felhasználók 94 százaléka akkor lenne hajlandó igazán foglalkozni a mobilfizetéssel, ha biztosan tudná, hogy az biztonságos. A legtöbbjük ezért az új megoldásokra az eddigi - készpénzes, bank- vagy hitelkártyás - fizetési lehetőségek kiegészítéseként tekint.
A mobilfizetés kockázatai
Mint minden biztonsági területnél, a mobilbiztonságnál sem elegendő egy-egy összetevő védelmére koncentrálni, hiszen minden infrastruktúra olyan erős, mint amilyen a leggyengébb láncszeme. Ezért a mobilfizetések kapcsán is célszerű rendszerszemlélettel közelíteni a kockázatok feltárása felé. Fenyegetettségek ugyanis a protokollok, illetve a hardverek és szoftverek szintjén egyaránt jelentkeznek. Emellett arról szem szabad megfeledkezni, hogy ezúttal is egy többszereplős környezetről beszélünk, ahol bankok, mobil- és pénzügyi szolgáltatók, kereskedők, valamint vásárlók is részt vesznek a folyamatokban.
Az elmúlt években a mobilfizetéshez használt protokollok sokat fejlődtek, azonban implementációs hibák bármikor felmerülhetnek. Ebből a szempontból mind a biztonsági kutatók, mind a fekete kalapos hackerek figyelmet fordítanak a GSM esetleges gyengeségeinek feltárására. Azonban ennél jóval komolyabb veszélyt jelentenek a kriptográfiai algoritmusokban rejlő hibalehetőségek. Ezek kihasználásával ugyanis közbeékelődéses (man-in-the-middle) támadásokra vagy megszemélyesítésre épülő csalásokra is lehetőségük nyílhat a támadóknak. Nyilvánvalóan a protokollok megfelelő kezelésének és támogatásának mind fejlesztői, mind szolgáltatói oldalon jelentős szerepet kell kapnia.
A hardverek, az operációs rendszerek és a szoftverek szintjén jelentkező kockázatokkal azonban már nemcsak a szolgáltatóknak és a fejlesztőknek kell foglalkozniuk, hanem maguknak a végfelhasználóknak is. A biztonságtudatosság ugyanis elengedhetetlen ahhoz, hogy védelmi technológiákkal el lehessen érni a kívánt végső célt, azaz a biztonságos fizetést. A hardver szintű fenyegetettségek egyik legtöbbször hangoztatott eleme a mobilkészülékek és eszközök illetéktelen kezekbe kerülése. Hasonló problémákat vetnek fel a SIM-kártyák klónozása révén megvalósuló csalások is. Ezért rendkívül fontos, hogy a fizetéseket kezelő alkalmazások olyan hitelesítő mechanizmusokat támogassanak, amelyek révén a jogosulatlan pénzügyi tranzakciók megakadályozhatók. Ebből a szempontból lényeges szerepet kell kapniuk a jelszavas és biometrikus hitelesítési technikáknak. Szolgáltatói oldalon pedig a tranzakció-monitorozás fontossága értékelődik fel; hiszen ha egy pénzintézet képes felismerni - például az ügyfél korábbi vásárlási szokásainak értékelése alapján - a különböző anomáliákat, akkor megelőző lépéseket tehet. Ilyen megoldások már napjainkban is elérhetők, azonban a mobilfizetések miatt szükség lesz ezek kiterjesztésére.
A jövőben a mobilfizetések kapcsán a legtöbb problémát minden bizonnyal a szoftver szintű károkozások fogják jelenteni, amelyek az operációs rendszerek vagy a különféle alkalmazások sérülékenységeinek kihasználásával igyekeznek majd pénzhez juttatni a csalókat. Nyilvánvalóan nemcsak maguk a mobilalkalmazások lehetnek sérülékenyek, hanem azok a fejlesztőkörnyezetek is, amelyekben készülnek.
Már napjainkban is mind nagyobb problémát jelentenek a mobil operációs rendszerekkel kompatibilis kártékony kódok. A kockázatokat csökkenteni kell annak ellenére, hogy ezek számossága és változatossága jóval elmarad a Windows-alapú rendszereket fenyegető ártalmas programoktól. Mindez már csak azért is fontos, mert a támadások jelentős részét anyagi haszonszerzés vezérli, és a mobilvírusok jelentős hányada emelt díjas SMS-ek küldéséből, illetve adatlopásból is „kiveszi a részét".
A Google nagy hangsúlyt helyezett arra, hogy az elektronikus pénztárca megoldása biztonságosan legyen használható. Alapvetően három védelmi vonalat épített a Wallet köré. Egyrészt meghagyta a bankkártyáknál megszokott PIN-kódos azonosítást, másrészt egy olyan chipet fejlesztett ki, amely az okostelefon memóriájától elkülönítetten működik, és bizonyos körülmények teljesülése – például fizikai rongálás – esetén megsemmisíti a tárolt adatokat, ezzel akadályozva meg a bizalmas információkhoz való illetéktelen hozzáférést. Harmadrészt pedig a Google Wallethez tartozó infrastruktúra támogatja a Mastercard PayPass technológiát, amely többek között a kártyaadatok titkosított átvitelét segíti elő.
Többszintű védelem
A Smart Card Alliance már évekkel ezelőtt foglalkozni kezdett a mobilfizetés biztonságával, és különös hangsúlyt helyezett az érintés nélküli technológiák vizsgálatára. A kutatók arra a következtetésre jutottak, hogy a védelmet ez esetben is egy összetett, többlépcsős folyamat révén lehet megvalósítani. Ennek részét kell képeznie az üzleti folyamatok elemzésének, a fenyegetettségek és a sérülékenységek feltárásának, a kockázatértékelésnek, a kockázatok csökkentésére alkalmas megoldások fejlesztésének és a biztonsági szabályok bevezetésének is.
A biztonságos fizetés - ahogy azt korábban említettük - több szereplő hathatós közreműködésének eredményeként valósulhat meg. Emellett az üzleti folyamatok és a technológiák szintjén is meg kell hozni a szükséges intézkedéseket. Ami a technológiát illeti, a legfontosabb a fizetéshez használt alkalmazások, az elfogadóhelyeken üzemeltetett eszközök, terminálok, valamint a mobileszközök és a tranzakciókban részt vevő egyéb hardver-, illetve szoftverelemek megóvása.
Ahhoz, hogy a tranzakciók megbízható módon legyenek kezdeményezhetők és végrehajthatók, a biztonsági folyamatokat több ponton kell megerősíteni. A védelmi intézkedéseknek ki kell terjedniük az eszközmenedzsmentre, a hitelesítésre, az authorizációra és nem utolsósorban a pénzügyi adatok megfelelő kezelésére. Ez utóbbira külön is ki kell térnünk, ugyanis már napjainkban is komoly kihívásokkal küzd a mobilkészüléken való adattárolás. A viaForensics kutatói egy felmérést készítettek, amelynek során többek között a mobilalkalmazásokban található biztonsági megoldásokra voltak kíváncsiak. Összesen száz népszerű - különféle mobil operációs rendszerekhez kifejlesztett - szoftvert vettek górcső alá, majd megállapították, hogy a programok 83 százaléka nem felel meg az alapvető biztonsági követelményeknek. A legtöbbször azért buktak el az alkalmazások a teszteken, mert az általuk kezelt adatokat nem védett módon tárolták. Sokszor még a jelszavak is titkosítatlanul voltak megtalálhatók a készülékeken.
Megbosszulhatja magát a funkciógazdagság
A kockázatokat általában jelentősen fokozza, ha egy rendszer rengeteg - kontrollálatlan, nem megfelelően konfigurált és karbantartott - funkcióval rendelkezik. Ezért a biztonsági szakemberek gyakran tanácsolják, hogy a szükségtelen szolgáltatásokat le kell tiltani, mert ezzel a potenciális támadási felületek száma csökkenthető. Joggal merülhet fel a kérdés, hogy az egyre több alkalmazást futtató, mind több lehetőséget biztosító okostelefonok ebből a szempontból megfelelő megoldást kínálnak-e arra, hogy a modern kor pénztárcájául szolgáljanak. A piaci trendek, a felhasználói igények és a gyártók tervei azt mutatják, hogy - többek között kényelmi okok miatt - az okostelefonok lesznek a mobilfizetés alappillérei. Ezért az előbbiekben már említett eszközmenedzsment nagy kihívások elé néz, hiszen heterogén környezetekben kell majd biztosítania a megfelelő kontrollt.
Megfelelőség
Várható, hogy a közeljövőben az információbiztonsággal foglalkozó szabványok és előírások a mobilbiztonság, illetve a mobilfizetés kapcsán is bővülni fognak. Ezáltal különösen a pénzintézeteknek és a mobilszolgáltatóknak újabb megfelelőségi követelményekkel kell majd szembenézniük. Azt azonban nehéz megjósolni, hogy a szabványok és főleg a jogszabályok mikor fogják lekövetni a mobilfizetés terén tapasztalható fejlődést.
A cyberbűnözés már készülődik
A legnépszerűbb mobilplatformok elleni támadások - még ha a számuk egyelőre nem is jelentős - jól bizonyítják a számítógépes bűnözők érdeklődésének fokozódását. A napjainkban megjelenő mobilvírusok, trójai és kémprogramok inkább csak szárnypróbálgatásnak tekinthetők, ugyanakkor olyan kártékony kódok fejlesztését alapozhatják meg, amelyek a mobilfizetés elterjedésekor komoly károkat okozhatnak. Ezért mind a szolgáltatóknak, mind a kereskedőknek, mind a vásárlóknak felkészülten kell várniuk az új technológiák színre lépését, és az elmúlt évek biztonsági incidenseiből, nehézségeiből leszűrhető tapasztalatok felhasználásával megfontoltan, körültekintően kell kezelniük a korszerű pénztárcákat.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.