انقلاب در شناسایی مشتری بانک/ احراز هویت رفتاری بجای احرازهویت فیزیکی
به گزارش گروه تحقیق و ترجمه عصر بانک؛وقتی مشغول گشت زنی در یک وبسایت هستید و علامت موس ناپدید میشود، این شاید یک مشکل کامپیوتری باشد یا اینکه یک تشخصی هویت بیومتریک رفتاری عمدی باشد تا هویت شما معلوم شود.
احراز هویت رفتاری بجای احرازهویت فیزیکی
اینکه چطور موس را کلیک میکنید، روی صفحه موبایل یا صفحهکلید تایپ میکنید میتواند بهواسطه اثرانگشت یا اعضای چهره شما منحصربهفرد باشد. برای مقابله با کلاهبرداری تعداد فزایندهای از بانکها و فروشندگان حرکات جسمانی بازدیدکنندگان از وبسایتها و اپلیکیشن ها را دنبال میکنند. برخی از این فناوری صرفاً برای مقابله با حملات خودکار و تراکنشهای مشکوک استفاده میکنند اما برخی دیگر پا را از این فراتر میگذارند و دهها میلیون پروفایل را گرداوری میکنند تا تعیین کنند مشتریان چطور ابزارهای خود را لمس میکنند، نگه میدارند و روی آن کلیک میکنند.
مجموعه این دادهها در معرض مشتریان قرار ندارد. شرکتها با استفاده از حسگر در گوشی یا کد روی وبسایت، میتوانند هزاران داده را جمعآوری کنند که بیومتریک رفتاری نامیده میشود و کمک میکند که آیا یک کاربر دیجیتال همان کسی است که خود مدعی است یا نه. برای مقامات امنیتی، این فناوری حفاظی قدرتمند است. افشای دادهها در مقیاس عظیم هرروزه اتفاق میافتد. دزدهای سایبری میلیاردها رمز عبور و دیگر اطلاعات شخصی حساس را به دست میآوردند که میتوان از آن برای دزدی از حساب بانکی مشتریان استفاده کرد و فریبکارانه حسابهای تازهای باز کرد.
بانک پادشاهی اسکاتلند یکی از معدود بانکهایی است که آشکارا در مورد مجموعه دادههای بیومتریک رفتاری خود صحبت میکند و بررسی این فناوری را دو سال پیش بر روی حسابهای بانکی خصوصی برای مشتریان ثروتمند آغاز کرد. این بانک در حال حاضر این سامانه را به کل حسابهای تجاری و خرد (درمجموع 18/7 میلیون) تعمیم میدهد. زمانی که مشتریان وارد حسابهای خود در این بانک میشوند، یک نرمافزار شروع به ضبط بیش از دو هزار حرکت تعاملی متفاوت مینماید. همچنین از طریق تلفن بررسی میکند افراد گوشی خود را با چه زاویهای نگه میدارند، از کدام انگشت برای نگه داشتن، کلیک و بالا و پایین بردن صفحه گوشی استفاده میکنند، چه مقدار فشار وارد و با چه سرعتی صفحه را بالا و پایین میکنند. در روی کامپیوتر نیز این نرمافزار آهنگ ضربه زدن روی صفحهکلید و نحوه کار با موس را ضبط میکند.
بانک RBS از این نرمافزار که توسط یک شرکت نیویورکی کوچک به نام BioCatch طراحی شده، استفاده میکند و بر اساس حرکات هر شخص یک پروفایل ایجاد مینماید که در مرحله بعد با حرکات مشتری هر بار که او برمیگردد مقایسه میشود. این سامانه میتواند کلاهبرداریها را با دقت 99 درصد شناسایی کند. این نرمافزار چند ماه پیش سیگنالهای مشکوکی از حساب یک مشتری ثروتمند دریافت کرد. کاربر پس از ورود به حساب، از چرخ موس استفاده کرد، کاری که صاحب حساب هرگز انجام نداده بود. سپس کاربر اعداد را از روی نوار اعداد بالای صفحهکلید تایپ کرد، نه از روی اعداد سمت راست که معمولاً از آنها استفاده میکرد.
زنگ هشدار به صدا درآمد. سامانه بانک قفل و خروج پول از حساب مشتری مسدود شد. بر اساس بررسیها معلوم شد این حساب هک شده و شخصی سعی میکرد یک دریافتکننده ایجاد و یک عدد هفترقمی را منتقل کند. این مورد کاملاً آشکار بود. البته رفتار مشتری همیشه یکسان نیست. مردم در هنگام خستگی، آسیبدیدگی، حواسپرتی یا عجله، رفتارهای متفاوتی از خود بروز میدهند. نحوه تایپ کردن وقتی شخص پشت میز اداره نشسته یا وقتی روز مبل دراز کشیده متفاوت است.
نرمافزار نظارت بر رفتار روی هزاران عنصر کنترل دارد تا حس مبتنی بر احتمال در مورد هویت واقعی فرد را محاسبه کند. دو دستاورد بزرگ موجب توسعه استفاده از این فناوری شده است: در دسترس بودن قدرت محاسبه ارزان و مجموعه پیچیده حسگرهایی که در حال حاضر درون اغلب تلفنهای هوشمند قرار دارد. نفوذناپذیری این سامانه بخشی از جذابیت آن است. تشخصی هویت بیومتریک فیزیکی مانند شناسایی اثرانگشت یا عنبیه چشم، برای تائید هویت به سختافزارهای اسکن ویژه نیاز دارند؛ اما تشخیص هویت ویژگیهای رفتاری در پسزمینه ضبط میشوند و لازم نیست مشتریان اقدام خاصی کنند.
مدیر اجرایی BehavioSec میگوید: «ما مردم را مجبور نمیکنید که در یک اتاق بنشینند و در شرایط آزمایشگاهی تایپ کنند. ما فقط در سکوت آنها را هنگامی که مشغول فعالیتهای عادی در حساب خود هستند تماشا میکنیم.»
به گزارش عصربانک، سامانههای بیومتریک گاهی وضعیتهای پزشکی را نیز شناسایی میکنند. اگر دست یک مشتری که همیشه ثبات داشته دچار لرزش شود، شرکت بیمه خودروی او نگران میشود. این میتواند مشکلزا باشد اگر بانک مشتری که لرزش را از طریق نرمافزار امنیتی خود کشف کرده، بیمهگذار او نیز باشد. مدیر اجرایی World Privacy Forum میگوید: «این نوع داده همیشه مقداری محافظت از مشتری به همراه دارد اما در اینجا از این خبرها نیست. شرکتها از این سامانهها بدون اطلاع قبلی استفاده میکنند.» در اغلب کشورها هیچ قانونی در مورد جمعآوری و استفاده از دادههای بیومتریک رفتاری وجود ندارد. حتی قوانین تازه اروپا در مورد حریم خصوصی استثنایی برای ملاحظات امنیتی و پیشگیری از کلاهبرداری قائل شده است. یک قانون حریم خصوصی دیجیتال جدید در کالیفرنیا در مورد بیومتریک رفتاری مقرر میکند شرکتهای فناوری اگر اقدام به جمعآوری داده میکنند، باید این موضوع را اعلام کنند. این قانون تا سال 2020 اجرایی میشود.
بانکها گاهی دادههای بیومتریک مشتریان را ذخیره میکنند. در موارد بسیاری گرچه آنها به فروشندگان خارجی اجازه میدهند این دادهها را ذخیره کنند. این موضوع ریسک را افزایش میدهد. BioCatch برای حدود 70 میلیون نفر پرونده ایجاد کرده و در ماه بر 6 میلیارد تراکنش نظارت میکند. American Express که از سرمایهگذاران BioCatch است اخیراً از این فناوری بر روی اپلیکیشن های حسابداری استفاده کرد. برخی از رقبای BioCatch شبکههای وسیعتری دارند. Forter استارتاپ مستقر در نیویورک که نرمافزارهای تشخصی کلاهبرداری آنلاین میفروشد که بیومتریک رفتاری را برای خردهفروشان بزرگ جمعآوری میکند، گفته میشود پایگاه داده آن پروندههای 175 میلیون نفر از 180 کشور را دربرمی گیرد. رقیب دیگر آن NuData را سال گذشته مستر کارت خریداری کرد.
بیش از ده فروشنده فناوری از استارتاپهای بیسروصدا تا غولهایی مانند IBM، بیومتریک رفتاری را وارد نرمافزارهای امنیتی خردهفروشان و بانکها نمودهاند. برای نمونه روی اپلیکیشنهای حساب جدید، سامانههای بیومتریک رفتاری به زمان و مکان توقف متقاضی بسیار توجه میکنند. متقاضی قانونی معمولاً اطلاعات شخصی ازجمله نام، آدرس، شماره بیمه را بهصورت روان و با چند مکث وارد میکند؛ اما یک کلاهبردار کپی و الصاق میکند یا توقف میکند تا از یادداشتهای خود کمک بگیرد.
یکی از کارمندان سابق NuData که حالا معاون مستر کارت است میگوید: «این شبیه داستانهای علمی تخیلی است. وقتی شرح میدادیم که چه میکنیم، مردم بهشدت متعجب میشدند. حالا این کار تدبیر نیست، بلکه یک فناوری قابلملاحظه در صنعت مالی است و شرکتهای بزرگ بسیاری از آن استفاده میکنند.»
منبع: .paymentscardsandmobile