Pagamenti mobile nel mirino dei cyber criminali: tre regole per proteggersi
Sono 4,9 miliardi gli utenti di dispositivi mobili a livello globale che, con il crescere della popolarità dei pagamenti mobili, potrebbero essere esposti a cyber-rischi: le vulnerabilità in agguato nelle applicazioni di pagamento, nei telefoni cellulari e nei sistemi POS possono trasformarsi in ingressi nei conti degli utenti. Ma, anche sotto l’ombrellone, i cyber criminali non rinunciano ai loro bottini.
Il settore dei servizi finanziari sta vivendo un momento di grande cambiamento: fornire aggiornamenti regolari e nuovi prodotti online per soddisfare le esigenze in evoluzione dei consumatori, è un fattore chiave di differenziazione sul mercato. Tuttavia, il lancio di nuove funzionalità a un ritmo così veloce aumenta anche la superficie di attacco e le potenziali vulnerabilità. In effetti, i dati mostrano che le società finanziarie affrontano attacchi quotidiani e che un incredibile 36% riporta una perdita di dati.
Sebbene la sicurezza dei dati sia sempre stata uno dei principali inibitori, i pagamenti mobili stanno diventando sempre più popolari tra i consumatori, soprattutto dopo il rilascio di prodotti come Apple Pay, Samsung Pay e Google Wallet. Oltre ai rischi di smarrimento e furto per il dispositivo fisico, ci sono una miriade di rischi informatici che si estendono attraverso l’intero processo di pagamento mobile. Effettuare un pagamento mobile infatti coinvolge il dispositivo mobile, il commerciante, il POS, le organizzazioni che elaborano il pagamento per i commercianti e quelle che emettono le carte (di debito o credito). Misure di sicurezza inadeguate in una qualsiasi di queste fasi possono mettere a rischio i dati del titolare della carta.
Se un criminale informatico accede a una rete finanziaria sfruttando una vulnerabilità o utilizzando il social engineering per compromettere una qualsiasi delle fasi del processo di pagamento, il risultato non è solo la perdita di dati personali, ma anche la frode dato che il criminale è riuscito ad aggirare il sistema di sicurezza della banca per esempio. Alcuni degli attacchi che banche e aziende fintech dovrebbero maggiormente monitorare, sono gli attacchi a livello di applicazione, attacchi DDoS e attacchi botnet, oltre a malware.
Con l’aumento della popolarità dei pagamenti mobili i criminali informatici punteranno aggressivamente questo processo con attacchi sempre più sofisticati, come botnet intelligenti e malware polimorfico. Nel tentativo di prevenire e rilevare tali attacchi, stanno nascendo nuove soluzioni per proteggere i fornitori di servizi finanziari.
L’apprendimento automatico per fermare il crimine informatico
I sistemi di rilevamento di nuova generazione utilizzano l’apprendimento automatico per analizzare le minacce di modo che, man mano ne vengono sviluppate delle nuove, le difese di sicurezza siano sempre in grado di individuarle e mitigarle in tempo reale. Un’altra new entry nell’armeria della sicurezza è l’analisi del comportamento, che fa leva sull’apprendimento automatico per riconoscere comportamenti abituali, come tempi di utilizzo e posizione geografica. Questo genere di attività è fondamentale nella rilevazione di comportamenti anomali che possono essere indicativi di attività dannose o di una violazione.
Così come cresce il numero di consumatori che adottano i pagamenti mobili allo stesso modo dovrebbe crescere la capacità di banche e società di servizi finanziari di sfruttare le funzionalità di sicurezza implementate in ambienti distribuiti per tenere il passo con gli attacchi informatici moderni e automatizzati.
Le tre regole d’oro:
1. Collegarsi a reti wi-fi sicure: in viaggio, vorrete restare connessi, il che significa accedere a punti di accesso Wi-Fi pubblici. Molti sono perfettamente sicuri, ma non sempre è così. Se si viaggia all’estero, è buona norma disattivare il wi-fi all’arrivo in un nuovo Paese. Si verificano incidenti in cui i viaggiatori, arrivati in aeroporto, si collegano al wi-fi fasullo e vengono colpiti da un attacco. Quindi, una buona pratica è quella di disattivare il wi-fi fino a quando non è possibile verificare il SSID di un accesso wi-fi autentico. Lo stesso vale per il bluetooth: è bene accenderlo solo quando serve in viaggio. Per le feste estive in giardino o la maratona di videogame dei vostri figli, configurate una rete Wi-Fi dedicata agli ospiti. Potranno comunque navigare su Internet restando separati dalla rete domestica interna. Inoltre, verranno riconnessi automaticamente come guest la volta successiva in cui si trovano nei pressi del router.
2. Proteggersi da virus e malware: installate un software anti-malware affidabile e con valutazioni positive, mantenetelo aggiornato e attivatelo regolarmente.
3. Mantenere i dispositivi aggiornati: uno dei vettori di attacco di maggior successo utilizzato dagli hacker è rappresentato dalle vulnerabilità già note, ma che non vengono protette. Gli sviluppatori di dispositivi e app creano regolarmente aggiornamenti di sicurezza progettati per proteggere dalle minacce note. È importante scaricare ed eseguire subito questi aggiornamenti non appena disponibili.