Угрозы мобильного кошелька

Угрозы безопасности, связанные с инфраструктурой мобильного кошелька, продолжаются

Остальные подкомпоненты инфраструктуры мобильного кошелька включают эмитента кредитной карты и поставщиков мобильных платежных приложений.

1. С точки зрения эмитента кредитной карты:

Это субъект, который выдает и раздает кредитную карту конечному пользователю. С этой точки зрения возможны многочисленные нарушения безопасности, а именно:

Компромисс или возможный сбой процесса авторизации платежей:

Фактически, это один из самых старых типов угроз, которые эмитенты кредитных карт всегда искали. Например, злоумышленники всегда пытались скомпрометировать центральные серверы, на которых были установлены средства защиты от мошенничества. Одна из новых тенденций, вытекающих из этого, - это кибер-злоумышленник, который пытается повысить лимиты по кредитам или расходам по кредитным картам, которые были авторизованы для транзакций на основе мобильного кошелька.

Сбор фактической информации и данных о держателе кредитной карты:

Как и угроза, описанная в последний раз, эта уязвимость существует уже давно. Как следует из названия, основной целью здесь является сбор конфиденциальной информации держателя кредитной карты. Это включает в себя не только сам номер кредитной карты, но и номер социального страхования владельца карты. Это может быть достигнуто либо скрытой тактикой социальной инженерии, либо использованием так называемых «продвинутых постоянных угроз», или сокращенно «APT». Если используется этот метод, именно ключи шифрования предназначены в первую очередь для расшифровки конфиденциальной информации и данных, которые находятся на центральных серверах эмитента.

Мошенничество с платежами: это происходит, когда кибер-злоумышленник фактически владеет информацией о мобильном кошельке конечного пользователя и использует ее для совершения несанкционированной транзакции способом, очень похожим на тот, который используется при фактическом мошенничестве с кредитными картами. Хотя это стало труднее осуществить с использованием технологии токенов (которая также была подробно описана в первой статье о мобильном кошельке), этот риск все еще является преобладающим, поскольку уровень сложности кибер-атакующего продолжает расти.

2. С точки зрения поставщиков мобильных приложений:

Это объект, который создает мобильное приложение для мобильного кошелька. Как уже упоминалось, это то, что загружается на смартфон конечного пользователя, и оттуда, номер кредита вводится. После этого инициируется процесс для подтверждения личности конечного пользователя. С этой точки зрения существует также ряд угроз и уязвимостей безопасности, в том числе:

Компрометация профиля пользователя:

Этот тип атаки может обычно происходить во время процесса проверки, как только что описано. Например, злоумышленник может зарегистрировать украденную кредитную карту либо в Google Wallet, либо в Apple Pay, а оттуда злонамеренно получить доступ к профилю пользователя фактического держателя кредитной карты и оттуда манипулировать любой конфиденциальной информацией конечный пользователь.

Прямой удар по сервисам создания токенов:

Как было описано ранее, это обычно передается независимой третьей стороне. Однако поставщик платежей по мобильным приложениям может также внедрить эту услугу в свою собственную инфраструктуру, если он того пожелает. Однако, где бы это ни было сделано, сервисы создания токенов являются важной целью для искушенного кибер-злоумышленника. Основная причина этого заключается в том, что именно здесь кибер-атакующий манипулирует процессами, которые шифруют и дешифруют токены, а также его целостностью и доступностью.

Традиционные DDoS-атаки:

Часто думают, что кибер-атакующий просто атакует серверы, чтобы вывести их из строя. Однако DDoS-атаки могут происходить где угодно, даже в инфраструктуре мобильного кошелька. В связи с этим основная задача состоит в том, чтобы поразить серверы провайдера платежей мобильных приложений, чтобы все платежи мобильного кошелька были прерваны, и в результате они не могли быть обработаны.