Aspect Software signaleert kwetsbaarheden in opgelegde
tweefactor-authenticatie van Europese Bankautoriteit
Banken en betaaldiensten die sms gebruiken voor het versturen van eenmalige wachtwoorden om mobiele en online betaaltransacties te verifiëren, stellen hun klanten bloot aan identiteitsfraude. Hiervoor waarschuwt Aspect Software, specialist op het gebied van customer engagement-oplossingen.
De waarschuwing van Aspect Software loopt vooruit op de nieuwe richtlijnen van de Europese Bankautoriteit (EBA), die consumenten beter moeten beschermen tijdens mobiele en online banktransacties. De richtlijnen zijn vanaf 1 augustus 2015 van kracht. Door deze richtlijnen zijn banken en betaaldiensten verplicht om multifactorauthenticatie te gebruiken voor complexe transacties, zoals betalingen. Deze vorm van authenticatie houdt in dat op twee onafhankelijke manieren (factoren) een identiteitscheck van de klant plaatsvindt.
Keiron Dalton, expert op het gebied van mobiele beveiliging en directeur Cloud Services bij Aspect Software denkt dat de EBA-richtlijnen betaaldiensten en banken zal dwingen zich meer op veiligheid te richten bij mobiel en online bankieren. Tegelijkertijd waarschuwt hij dat de richtlijnen ten koste zullen gaan van het gebruiksgemak en mogelijk deuren opent voor nieuwe, geavanceerdere vormen van fraude, zoals SIM-Swap. “Deze regels leiden tot grote veranderingen in digitaal bankieren. Banken zullen niet langer in staat zijn om hun klanten eenvoudige en snelle bankdiensten te bieden, Ze moeten nadenken over hoe veilig hun systemen zijn en in hoeverre deze de belangen van hun klanten beschermen.”
Dalton: “De nu voorgestelde tweefactor-authenticatiemethode verplicht veel betaaldiensten om hun huidige methode overboord te gooien. Op dit moment maken deze diensten voor het voltooien van betaaltransacties in toenemende mate gebruik van eenmalige wachtwoorden via sms of kaartlezers. Maar met sms is eenvoudig te frauderen. We hoeven alleen maar te kijken naar de cijfers om te zien dat gebruikers van digitaal bankieren kwetsbaarder zijn geworden. Een rapport van het Amerikaanse softwarebedrijf FICO uit 2013 concludeert dat ‘Card not Present’-transacties (telefonische of internetaankopen) de grootste oorzaak is van fraude. Banken richten zich te veel op klantvriendelijkheid, met als gevolg een schade van 357 miljoen euro1. Hierdoor krijgen internetoplichters toegang tot gegevens van klanten, waarvan ze volop misbruik maken. Bij mobiel bankieren is SIM-Swap hard op weg om de favoriete methode van fraudeurs te worden. In zo’n geval krijgt iemand onrechtmatig een duplicaat van een mobiele simkaart in handen, waardoor hij de communicatie, ook via sms, kan onderscheppen. Slachtoffers merken hier niets van, totdat het te laat is. Hun rekening is dan al leeggeplunderd.”
Dalton vindt dat banken nu moeten handelen, willen ze voorbereid zijn op de invoering van de EBA-richtlijn in augustus 2015. Hun aandacht moet zich richten op de risico’s die de keuze van een kanaal (mobiel, internet) met zich meebrengt op het gebied van authenticatie. Dalton: “Betaaldiensten en banken moeten nadenken of ze met een eenvoudige en snelle bank-app geen concessies doen aan de veiligheid. Ze kunnen er ook voor kiezen om een goed evenwicht te creëren. Harde tokens, zoals een kaartlezer, en zachte tokens, zoals een sms, zijn bewezen geschikt voor online bankieren, maar zorgen voor ongemak tijdens de transactie. En consumenten zijn drukke mensen. Klantervaring wordt steeds belangrijker dankzij de 24-uurs economie en de roep om meer gebruiksgemak. Dat maakt het belang van vrijwel niet-detecteerbare verificatie alleen maar groter. SIM-Swap-checks, detectie-omleidingen, locatiebepaling, het zijn allemaal eenvoudige controles die een gebruiker ongemerkt kan uitvoeren en ze bieden tegelijkertijd een krachtig authenticatiemiddel voor het apparaat waarop iemand aan het online bankieren is. Met de inzet van data die afkomstig zijn van een apparaat, zoals locatiegegevens, zijn verdachte handelingen eenvoudig en onmerkbaar te controleren, zodat te bepalen is of een transactie frauduleus is of niet. De gebruiker merkt er niets van, het gebruiksgemak is optimaal.”
“De EBA-richtlijnen moeten betaaldiensten en banken vooral aanzetten om het gebruiksgemak en eenvoudige toegang tot betaalmogelijkheden te stimuleren. Dit zijn essentiële voorwaarden voor modern bankieren. Tegelijkertijd hebben banken de verantwoording voor het beschermen van hun klanten. Betaaldiensten en banken die deze drie aspecten van online bankieren niet combineren, zien hun klanten vertrekken”, aldus Dalton.
1 Wisselkoers 31 december 2013 via Oanda.com
Over Aspect
De volledig geïntegreerde oplossing van Aspect brengt de drie belangrijkste facetten samen van de moderne customer engagement strategy: beheer van consumenteninteractie, personeelsoptimalisatie en backoffice. Met een volledige suite van cloud-, self-hosted en hybride opties helpen we de meest veeleisende contactcenters en backoffices hun mensen, processen en contactmoment naadloos op elkaar aan te sluiten en zo bijzondere consumentenervaringen te bieden. Ga voor meer informatie naar www.aspect.com.
