بانکداری بر مبنای ماشین های هوشمند و هزینه پنهان خدمات مالی

موسسات مالی بیش از هر صنعت دیگری داده های مشتریان خود را در اختیار دارند. این داده‌های حساس که اطلاعات قابل شناسایی شخصی (PII) نامیده می‌شود، به این معنی است که سرویس‌های مالی باید حتی بیشتر از خطر نقض داده‌ها محتاط باشند و آنها در معرض جریمه‌های سازمان رفتار مالی (FCA) و آسیب قابل توجهی به اعتبارشان هستند.

حساب‌های بانکی، چه شخصی و چه تجاری، مدت‌هاست که هدف اصلی مجرمان سایبری بوده است، APIها یکی از الزامات قوانین بانکداری باز اخیر و PSD2 هستند و هدف جدیدی را برای هکرها ایجاد می کنند. 97 درصد از مشاغل خدمات مالی حملات را به یک API در سال 2020 گزارش می دهند و پیش بینی می شود که حملات API به متداول ترین نوع حمله در سال 2022 تبدیل خواهد شد. API های باز تبادل داده ها را بین بانک ها و سازمان های شخص ثالث تسهیل می کنند. هر کسی که موجودی کارت اعتباری خود را به برنامه بانکداری شخصی خود اضافه کرده است، از آن استفاده کرده است. اما کاربردها فراتر از این است – آنها می توانند پیشنهادات رقابتی و تجربه مشتری را بهبود بخشند و داده ها را برای جمع آوری کنندگان و کارگزاران شخص ثالث در دسترس قرار دهند. بسیاری از ارائه دهندگان API و توسعه برنامه تلفن همراه خود را برون سپاری می کنند، به این معنی که یک کد توسط چندین مشتری استفاده می شود. هر گونه آسیب‌پذیری احتمالاً برای بیش از یک ارائه‌دهنده مشترک است، بنابراین APIها به سرعت به هدفی عالی برای ربات‌ها تبدیل می‌شوند.
مهاجمان همیشه به دنبال ساده ترین نقطه دسترسی هستند. API های مورد استفاده برای به اشتراک گذاری داده ها بین بانک ها و اشخاص ثالث در معرض خطر ویژه تهدیدات جدید هستند. مهاجمان تلاش خواهند کرد تا از طریق سه نقطه دسترسی به لایه API آسیب پذیر وارد شوند: مرورگر، برنامه های کاربردی تلفن همراه و سرور API. یکی از بزرگترین خطرات استفاده از API توسط ربات های جستجوگر حساب است. اینها لیست‌هایی از جفت‌های نام کاربری و رمز عبور فاش شده (معروف به لیست‌های ترکیبی) را می‌گیرند و آنها را آزمایش می‌کنند تا ببینند آیا کسی در حال استفاده مجدد از رمز عبور برای بانکداری آنلاین خود است یا خیر – این به عنوان credential stuffing attacks نیز شناخته می‌شود.
ربات‌های خودکار برای «برچسب گذاری» نام‌های کاربری و گذرواژه‌های دزدیده شده در صفحات ورود به سیستم با سرعت بالا استفاده می‌شوند تا دسترسی جعلی به حساب‌ها داشته باشند. پس از ورود، مهاجمان دسترسی نامحدودی به جزئیات حساب و تراکنش دارند که می تواند برای درخواست وام های تقلبی، کارت های اعتباری، نقل و انتقالات بانکی یا برای بهره برداری از سازمان های مالی استفاده شود. هفتاد و یک درصد از خدمات مالی حملاتی را از ربات‌های جستجوگر حساب در سال 2020 گزارش کردند.
برای درک خطر حمله، سازمان های مالی باید به موارد زیر توجه کنند:
مقیاس حملات: تعداد زیادی تلاش برای حمله در یک بازه زمانی کوتاه.
حملات چقدر پیچیده هستند: آیا حمله جهانی است یا محلی، آیا در چندین نقطه دسترسی است؟
حملات پایدار: تعداد بسیار زیاد و غیرعادی تلاش برای ورود به سیستم یا اعتبارسنجی جزئیات در مدت زمان طولانی.

ربات‌های خودکاری که توسط بازیگران مخرب اداره می‌شوند به طور متوسط 3.6 درصد از درآمد سالانه کسب‌وکارها را هزینه می‌کنند. برای بزرگ‌ترین کسب‌وکارها، این می‌تواند به معنای از دست دادن یک چهارم میلیارد دلار باشد که هر ساله توسط حملات ربات ها از دست می رود. ارائه دهندگان خدمات مالی در حال حاضر تحت حمله انواع کلاهبرداری و هک هستند. سالانه 650 میلیون پوند در بریتانیا برای مبارزه با کلاهبرداری در امور مالی خرج می شود، با این حال در هر دقیقه چهار مورد کلاهبرداری گزارش می شود و کلاهبرداری از حساب های بانکی به بالاترین سطح خود برای بیش از سه سال در سال 2021 رسیده است. بر اساس تحقیقات، تنها چهار درصد از سازمان‌های مالی API خود را خطر شماره یک تهدید خود می‌دانستند، با این حال 97 درصد حملات به API خود را در سال 2020 گزارش کردند. مخصوصاً برای فین‌تک‌ها، عملکرد اصلی آن‌ها به شدت به APIها وابسته است، بنابراین دسترسی به آن باید محدود به اشخاص ثالث تنظیم‌شده باشد. ایجاد یک محیط API انعطاف‌پذیر برای حفظ یک اکوسیستم واقعاً ایمن و بسیار کارآمد که در آن هم فین‌تک و هم شخص ثالث محافظت می‌شوند، بسیار مهم است.

بیشتر بدانید: https://thefintechtimes.com/netacea-banking-on-bots-and-the-hidden-cost-to-financial-services/

شاید این موارد نیز مورد علاقه شما باشد