”Daj mi Twój smartfon a powiem Ci, kim jesteś” – ta zabawna sentencja obrazuje, czym w dzisiejszych czasach są telefony. Aplikacje mobilne wiedzą o nas wszystko – z kim rozmawiamy i o czym SMS-ujemy, jakie miejsca wczoraj odwiedziliśmy, a czasem nawet ile ważymy oraz co zjedliśmy na kolację. Gwarantują także dostęp do poczty elektronicznej, za pomocą której można zresetować hasła na wielu kontach, a także do bankowości elektronicznej i uwierzytelniających tokenów SMS. Z tego względu smartfony powinno się starannie chronić przed kradzieżą czy cyberatakami. I właśnie dlatego stworzyliśmy mobilną weryfikacje behawioralną! Przeczytaj, jak działa i dlaczego warto z niej korzystać.
Choć mobilna wersja pełni podobne funkcje co standardowa weryfikacja behawioralna, to jednak oba rozwiązania różnią się w sposobie działania. Przede wszystkim analizowane są odmienne czynniki. W przypadku desktopu algorytm analizuje m.in. prędkość pisania na klawiaturze czy sposób poruszania myszką, a użytkownik jest chroniony w aplikacji dostępnej z poziomu przeglądarki internetowej.
Weryfikacja behawioralna mobile monitoruje głównie czas nacisku na ekran dotykowy urządzenia oraz wskazania akcelerometru i żyroskopu. Z kolei sam użytkownik jest chroniony wewnątrz aplikacji mobilnej, która korzysta z tego mechanizmu.
Posłużymy się przykładem. Jeśli dany bank wdroży weryfikację behawioralną dla urządzeń mobilnych, wszyscy jego klienci korzystający z aplikacji zostaną objęci ochroną. Znacząco zwiększy to poziom bezpieczeństwa i pozwoli zapobiec atakom cyberprzestępców czy wykorzystaniu konta bankowego przez osoby do tego niepowołane.
A co w przypadku, gdy dana firma posiada już “standardową” weryfikację behawioralną, a zaimplementuje również mobilną wersję? Przykład banku znów będzie odpowiedni, gdyż użytkownicy naprzemienne korzystają z aplikacji mobilnych oraz dostępu do konta z poziomu komputera.
Efektem będzie utworzenie dla jednego użytkownika konta dwóch modeli behawioralnych. System będzie analizował jeden z nich, zależnie od wykorzystywanego urządzenia – ich wysoka efektywność pozostanie jednak niezmienna!
Sposób korzystania z aplikacji w wersji desktopowej jest inny, niż w przypadku aplikacji mobilnej dla każdego użytkownika. Ich interfejs graficzny jest inny, rozdzielczość jest inna, niektóre funkcje są dostępne lub nie. Dodatkowo, w przypadku urządzeń mobilnych należy zwrócić uwagę na inne cechy, niż w przypadku aplikacji desktopowych.
W aplikacji mobilnej użytkownik zazwyczaj nie korzysta z myszki oraz pełnowymiarowej klawiatury, więc ekstrakcja tych cech i budowanie modelu na ich podstawie nie ma sensu. Dlatego modele są wtedy budowane w oparciu o odczyty z ekranu dotykowego oraz sensorów, których z kolei zazwyczaj nie ma w większości laptopów lub komputerów stacjonarnych. Ze względu na te wszystkie aspekty, konieczne jest utworzenie osobnego modelu desktopowego i mobilnego dla tego samego użytkownika.
W jaki sposób weryfikacja behawioralna dla urządzeń mobilnych chroni użytkownika? Aby mogła ona działać, firma (np. bank) chcąca zabezpieczyć swoich klientów wdraża w swojej aplikacji mobilnej tzw. SDK (Software Development Kit), za pomocą którego możliwe jest zbieranie zanonimizowanych danych mobilnych, takich jak:
Bardzo ważne jest słowo zanonimizowane – dane te nie są w żaden sposób przechowywane czy przetwarzane. Motto Digital Fingerprints brzmi: “Nie ważne co robisz, ważne JAK”. W tym przypadku jest podobnie, ponieważ system weryfikacji behawioralnej nie potrzebuje znać treści, która jest wpisywana na klawiaturze. Analizowany jest tylko sposób pisania. System zastępuje kod klawisza informacją o jego rodzaju – czyli czy została wciśnięta litera, cyfra, lub inny rodzaj klawisza.
Po wdrożeniu SDK wyżej wymienione dane są przesyłane do systemu Digital Fingerprints, w którym są kolejkowane w postaci zdarzeń. Na podstawie zdarzeń następuje ekstrakcja cech opisujących zachowanie użytkownika. I to właśnie na bazie wygenerowanych cech jest możliwe wytrenowanie indywidualnego modelu dla każdego użytkownika, zwanego inaczej profilem behawioralnym.
Dzięki wykorzystaniu utworzonego modelu oraz wygenerowanych cech system dokonuje oceny aktualnie zalogowanego użytkownika (tzw. scoring). Im wyższy scoring, tym wyższe prawdopodobieństwo ataku lub przechwycenia sesji. Jeżeli scoring przekroczy określony próg w trakcie sesji, od razu zostaje wysłany alert do firmy o podejrzeniu ataku lub oszustwa, w którym pracownicy działu bezpieczeństwa mogą zająć się problemem.
Weryfikacja behawioralna mobile dostosuje się do użytkownika i jego stylu korzystania z telefonu lub tabletu. Nie ma znaczenia, w jaki sposób korzysta on z urządzenia. Użytkownik może pisać jednym palcem lub dwoma, wolno lub szybko. Sposób korzystania z urządzenia zostanie zapisany w postaci mobilnego profilu behawioralnego, który będzie unikalny dla każdego.
Jak wspomnieliśmy we wstępie, smartfon jest obecnie czymś w rodzaju klucza do sejfu – dosłownie (aplikacje bankowe) i w przenośni (ogromna liczba magazynowych informacji na nasz temat). Cyberprzestępcy i oszuści korzystają więc z coraz bardziej zaawansowanych metod, aby uzyskać do nich dostęp. W dodatku wiele aplikacji umożliwia podpięcie karty kredytowej w celu dokonania płatności – w niektórych przypadkach cyberprzestępca nawet nie musi mieć dostępu do konta, aby zrealizować transakcję!
Użytkownik korzystający z mobilnej weryfikacji behawioralnej jest cały czas chroniony. Przedstawimy Ci kilka scenariuszy:
Jak widać, w przypadku urządzeń mobilnych jest znacznie więcej ryzyk, niż w przypadku laptopów i komputerów stacjonarnych. Smartfony są małe, poręczne i prawie zawsze masz je przy sobie, dlatego tym bardziej należy zadbać o bezpieczeństwo podczas korzystania z nich.
Inwestycja w BB to bardzo korzystny ruch marketingowy i PR-owy – szczególnie dla firm, dla których wartością jest dbałość o jakość usług i bezpieczeństwo klienta. Ale nie tylko wizerunek jest ważny, a również i finanse. Desktopowa i weryfikacja behawioralna dla urządzeń mobilnych pozwala zapobiec fraudom czy wyciekom danych klientów, których skutki mogą być dla przedsiębiorstw bardzo kosztowne.
Z tego względu weryfikacja behawioralna mobile powinna być wdrożona m.in. w firmach z sektora:
Można więc stosować mobilną weryfikację behawioralną we wszystkich firmach, które udostępniają swoim użytkownikom aplikacje mobilne z możliwością dokonywania transakcji, logowania na konto bankowe czy też wymagają przechowywania danych wrażliwych.
Weryfikacja behawioralna mobile to unikatowe rozwiązanie w skali światowej. Jesteśmy jedną z niewielu (bądź jedyną) firm zajmujących się jej wdrożeniem na urządzenia mobilne i ciągłym uwierzytelnianiem z jej wykorzystaniem. Dodatkowym atutem jest bezkontekstowość – system działa w tle i nie wymaga od użytkownika żadnych działań uwierzytelniających, a przy tym jest skuteczniejszy niż tradycyjne rozwiązania typu tokeny SMS.
Digital Fingerprints S.A. ul. Gliwicka 2, 40-079 Katowice. KRS: 0000543443, Sąd Rejonowy Katowice-Wschód, VIII Wydział Gospodarczy, Kapitał zakładowy: 4 528 828,76 zł – opłacony w całości, NIP: 525-260-93-29
Biuro Informacji Kredytowej S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000110015, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 15.550.000 zł opłacony w całości, NIP: 951-177-86-33, REGON: 012845863.
Biuro Informacji Gospodarczej InfoMonitor S.A., ul. Zygmunta Modzelewskiego 77a, 02-679 Warszawa. Numer KRS: 0000201192, Sąd Rejonowy m.st. Warszawy, XIII Wydział Gospodarczy, kapitał zakładowy 7.105.000 zł opłacony w całości, NIP: 526-274-43-07, REGON: 015625240.