Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

Ένας απλός ορισμός προσδιορίζει την έννοια των mobile payments, ως τη διαχείριση πληρωμών μέσω φορητών συσκευών που κάνουν χρήση δικτύων κινητής τηλεφωνίας.

Σύμφωνα με τον οίκο Forrester Research, τα mobile payments διαχωρίζονται σε δύο μεγάλου εύρους κατηγορίες:

Συστήματα τύπου contactless (χωρίς επαφή), τα οποία χρησιμοποιούν το κινητό τηλέφωνο αντί μιας παραδοσιακής πιστωτικής/ χρεωστικής κάρτας και μεταδίδουν τα στοιχεία που χρειάζονται για τη συναλλαγή, χωρίς το κινητό τηλέφωνο να έρθει σε επαφή με κάποιο άλλο μέσο.
Τα συστήματα πληρωμών που χρησιμοποιούν ένα δίκτυο κινητής τηλεφωνίας προκειμένου να διαχειριστούν ή να επιτρέψουν τη διενέργεια μιας συναλλαγής.

Στις επόμενες παραγράφους αναλύονται το οικοσύστημα και τα βασικά τεχνικά χαρακτηριστικά της κάθε τεχνολογίας.

Τεχνολογίες mobile payments
Τεχνολογία contactless: Τα στοιχεία που πιστοποιούν την εγκυρότητα της πληρωμής αποθηκεύονται στη φορητή συσκευή και μεταδίδονται χωρίς επαφή (over the air) σε ένα ειδικό και συμβατό τερματικό πληρωμής, κάνοντας χρήση της τεχνολογίας NFC (near field communication). Η φορητή συσκευή λειτουργεί ως μία contactless κάρτα πληρωμών, αποτελώντας μια νέα μορφή πληρωμής.
Η ίδια τεχνολογία χρησιμοποιείται και για πληρωμές εξ αποστάσεως (remote payments). Για παράδειγμα, μπορεί να γίνει μία online αγορά, περνώντας τη συσκευή κινητού τηλεφώνου από ένα μηχανισμό ανάγνωσης, τεχνολογίας NFC, ο οποίος είναι προσαρμοσμένος σε έναν προσωπικό υπολογιστή ή ένα tablet.
Το κινητό τηλέφωνο χρησιμοποιείται από τον καταναλωτή ως το μέσο για να πληρώσει αγαθά ή υπηρεσίες, μέσω ενός contactless αναγνώστη ή μέσω ενός συνοπτικού μηνύματος (SMS) ή μέσω πιστοποίησης της ταυτότητάς του, βάσει του αριθμού PIN. Το όλο σχήμα χρησιμοποιεί τεχνολογία Near Field Communication (NFC) για την επικοινωνία μεταξύ της φορητής συσκευής του καταναλωτή, του φορέα διαχείρισης του δικτύου πληρωμών και του εμπόρου.
Τα NFC συστήματα πληρωμών έχουν αρχίσει να χρησιμοποιούνται σε Δυτική Ευρώπη, Ηνωμένες Πολιτείες, Καναδά και Ιαπωνία. Η τεχνολογία κερδίζει την αποδοχή των αναπτυσσόμενων χωρών, ιδίως υπό τη μορφή των contactless συναλλαγών. Εγκαταστάσεις αυτού του τύπου είναι: ExpressPayT από την American Express, Discover R Network ZipSM, η MasterCard R PayPass T, και η Visa R και payWaveTM SpeedpassTM. Τον Ιούλιο του 2011 η PayPal εισήγαγε ένα νέο μοντέλο πληρωμής με τεχνολογία NFC. Πρόκειται για μια παραλλαγή του μοντέλου eWallet R PayPal, η οποία λειτουργεί ως ένας διαφανής ενδιάμεσος για πληρωμές πρόσωπο-με-πρόσωπο (P2P) που επιτρέπει στους χρήστες να πληρώσει ο ένας τον άλλον κάνοντας χρήση δυο συσκευών με τεχνολογία NFC.
Τεχνολογία πληρωμών εξ αποστάσεως: Η συγκεκριμένη τεχνολογία αφορά στις πληρωμές που πραγματοποιούνται είτε μέσω web browser ή μέσω εφαρμογής που λειτουργεί στη φορητή συσκευή. Η φορητή συσκευή χρησιμοποιείται ως μέσο για την επικύρωση των προσωπικών πληροφοριών που είναι αποθηκευμένες απομακρυσμένα. Η τεχνολογία μπορεί να χρησιμοποιηθεί και για συναλλαγές μεταξύ φυσικών προσώπων, αλλά και για συναλλαγές με μηχανές αυτόματης πώλησης.
Η φορητή συσκευή χρησιμοποιείται από τον καταναλωτή σε συνδυασμό με τις υπηρεσίες μηνυμάτων των δικτύων κινητής τηλεφωνίας (SMS ή USSD) προκειμένου να πληρωθεί το κόστος των υπηρεσιών ή η αγορά ψηφιακού περιεχομένου. Τα μηνύματα χρησιμοποιούνται είτε ως μέσο για την εκκίνηση ή για την εξουσιοδότηση της πληρωμής. Σε ορισμένες περιπτώσεις λειτουργεί ως νομισματική μονάδα για την ανταλλαγή.
Για συναλλαγές χαμηλής χρηματικής αξίας, όπως η αγορά ringtones, η πιστοποίηση της ταυτότητας του αγοραστή γίνεται με βάση τον αριθμό που αποτελεί την ταυτότητα του συνδρομητή (MSIDN), ενώ η τιμολόγηση γίνεται μέσω του λογαριασμού τηλεφώνου του χρήστη. Για υψηλότερης αξίας συναλλαγές χρησιμοποιούνται διαφορετικές τεχνικές προσεγγίσεις, όπως:

Πιστωτική/ χρεωστική κάρτα πληρωμής, που βασίζεται στην εισαγωγή των πληροφοριών από το χρήστη μέσω μιας ασφαλούς διεπαφής τύπου Wireless Application Protocol (WAP).
eWallet (ηλεκτρονικό πορτοφόλι) αποθηκευμένη χρηματική αξία σε λογαριασμό. Η πληρωμή δρομολογείται μέσω μιας ασφαλούς διεπαφής τύπου WAP. Σε αυτή την περίπτωση, η τραπεζική κάρτα του χρήστη και οι πληροφορίες του τραπεζικού του λογαριασμού αποθηκεύονται με ασφαλή τρόπο στη φορητή συσκευή.

Η πιστοποίηση της ταυτότητας του χρήστη γίνεται βάσει του αριθμού PIN και η μεταφορά των δεδομένων της πληρωμής γίνεται μέσω καναλιών επικοινωνίας τύπου WAP, SMS και USSD.
Απαραίτητη διαδικασία αποτελεί η ασφαλής ενεργοποίηση του πελάτη από το φορέα παροχής υπηρεσιών, καθώς και η αξιοπιστία της διασύνδεσης του αριθμού MSIDN κάθε συνδρομητή και του αριθμού της τραπεζικής του κάρτας.
Οι τεχνολογίες με χρήση μηνυμάτων SMS και USSD βρίσκουν ευρεία εφαρμογή σε χώρες όπως η Αφρική και σε περιοχές της Μέσης Ανατολής, όπου υπάρχει υψηλό ποσοστό χρήσης και κατοχής φορητών συσκευών, μεγάλες κοινότητες μεταναστών και χαμηλή διείσδυση σε Τραπεζικές υπηρεσίες.

Το Οικοσύστημα των πληρωμών μέσω φορητών συσκευών
Προς το παρόν, δεν υπάρχει σαφής προσδιορισμός των ρόλων που συμμετέχουν στο οικοσύστημα των πληρωμών μέσω φορητών συσκευών. Τα χρηματοπιστωτικά ιδρύματα και οι πάροχοι των δικτύων κινητής τηλεφωνίας, ανταγωνίζονται για το ποιος θα διαχειρίζεται τα στοιχεία λογαριασμού του καταναλωτή και αντίστοιχα θα λαμβάνουν το μεγαλύτερο μέρος των τελών χρήσης της υπηρεσίας. Αυτό το ασαφές περιβάλλον έχει δημιουργήσει ένα άλλο είδος κατηγοριοποίησης των εν λόγω υπηρεσιών, με βάση την οντότητα που διαχειρίζεται το λογαριασμό του πελάτη, Αναφερόμαστε στο τραπεζο-κεντρικό και μη τραπεζο-κεντρικό σύστημα πληρωμών μέσω φορητών συσκευών.
Στο τράπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη διαχειρίζεται από την Τράπεζα. Όταν γίνεται μια πληρωμή, η τράπεζα του καταναλωτή είναι αυτή που πρέπει να εγκρίνει τη συναλλαγή.
Στο μη τραπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη διαχειρίζεται από μη χρηματοπιστωτικά ιδρύματα, δηλαδή από τις εταιρείες κινητής τηλεφωνίας ή από τρίτες εταιρείες που παρέχουν υπηρεσίες πληρωμών, όπως το PayPal. Το παραπάνω μοντέλο μπορεί να χρησιμοποιηθεί για υπηρεσίες όπως καταθέσεις μετρητών, αναλήψεις μετρητών, άμεσες χρεώσεις, μεταφορές πιστώσεων, πληρωμές που έχουν ενεργοποιηθεί από μια κάρτα ή μια φορητή συσκευή.
Στο νέο τοπίο που διαμορφώνεται, οι κύριοι ενδιαφερόμενοι που θέλουν μερίδιο από τα έσοδα του νέου οικοσυστήματος είναι τα χρηματοπιστωτικά ιδρύματα, τα δίκτυα πιστωτικών/ χρεωστικών καρτών (Visa, Mastercard) και οι πάροχοι δικτύων κινητής τηλεφωνίας. Όλοι οι παραπάνω ανταγωνίζονται για το ποιος θα έχει το ρόλο του πάροχου χρηματοπιστωτικών υπηρεσιών και του πάροχου δικτύου, πάνω από το οποίο θα διεκπεραιώνονται οι συναλλαγές και ταυτόχρονα θα λαμβάνει τη σχετική οικονομική αποζημίωση ανά συναλλαγή.

Οι ανησυχίες για την ασφάλεια των συναλλαγών μέσω φορητών συσκευών
Η κάθε συναλλαγή που γίνεται στο πλαίσιο των πληρωμών μέσω φορητών συσκευών, είναι περισσότερο εκτεθειμένη στον κίνδυνο λόγω της συμμετοχής περισσότερων της μιας οντοτήτων προκειμένου να διεκπεραιωθεί η πληρωμή.
Το εν λόγω περιβάλλον είναι ευνοϊκό για την εκμετάλλευση των αδυναμιών ασφάλειας από τρίτους (περισσότερα του ενός σημεία με πιθανές αδυναμίες ασφάλειας), που θα χρησιμοποιήσουν τόσο τεχνολογικά όσο και κοινωνιολογικά τεχνάσματα παρείσδυσης, εάν δεν υπάρχουν οι αναγκαίοι μηχανισμοί προστασίας και ελέγχου σε όλο το οικοσύστημα των πληρωμών μέσω φορητών συσκευών.
Ένα βασικό μέλημα είναι η διασφάλιση ότι η κάθε συναλλαγή πραγματοποιείται από το άτομο που δικαιούται να την πραγματοποιήσει. Η χρήση τεχνικών two-factor authentication θα συμβάλει στην αποτελεσματική προστασία της ταυτότητας του καταναλωτή, αλλά και στη διασφάλιση από τη πλευρά του εμπόρου ως προς την ταυτότητα του συναλλασσόμενου.
Η πιο εμφανής ανησυχία αφορά στην ασφάλεια και προστασία των προσωπικών δεδομένων, που είτε είναι αποθηκευμένα είτε διακινούνται από μια φορητή συσκευή, όπως αριθμός λογαριασμού πληρωμών, PIN, κωδικοί εισόδου, κωδικοί πρόσβασης κ.λπ.
Μέχρι τώρα η διαχείριση των καρτών πληρωμών (χρεωστικών, πιστωτικών) γινόταν από ένα χρηματοπιστωτικό Οργανισμό. Στο περιβάλλον των πληρωμών μέσω φορητών συσκευών, τα στοιχεία της κάρτας αποθηκεύονται σε ολοκληρωμένα κυκλώματα chips, π.χ. κάρτες SIM, που μπορούν να μεταφερθούν από συσκευή σε συσκευή. Το δεδομένο αυτό απαιτεί τη λειτουργία μιας νέας οντότητας που θα διασφαλίσει την αξιόπιστη μετακίνηση των στοιχείων της πληρωμής και θα ελέγχει την ανεξέλεγκτη χρήση των chips των φορητών συσκευών.
Από τη πλευρά τους οι πάροχοι των δικτύων κινητής τηλεφωνίας, από τη στιγμή που συμμετέχουν στο εν λόγω οικοσύστημα, θα πρέπει να φροντίσουν για τα ακόλουθα:

Να συμπεριλάβουν λογισμικό ασφαλείας (π.χ. mobile anivirus), ως μέρος των εφαρμογών που φορτώνονται σε νέες κινητές συσκευές.
Να βεβαιώνονται ότι τα κινητά τηλέφωνα που χρησιμοποιούνται για πληρωμές τύπου contactless, είναι πιστοποιημένα και πληρούν τις απαιτήσεις των εταιρειών διαχείρισης πληρωμών.

Τα χρηματοπιστωτικά ιδρύματα έχουν καθοριστικό ρόλο στη διαδικασία της ασφάλειας, ιδίως όσον αφορά στην ανίχνευση της απάτης και την πρόληψη. Για να εξασφαλιστεί η ασφάλεια των πελατών τους, τα χρηματοπιστωτικά ιδρύματα θα πρέπει:

Να προσαρμόσουν τις υπάρχουσες μεθόδους ασφάλειας, πρόληψης της απάτης και την παρακολούθηση των τάσεων δαπανών κάθε πελάτη, έτσι ώστε να μπορούν να εντοπίσουν αλλά και να δράσουν σε περίπτωση απάτης στο νέο οικοσύστημα.
Να επανεξετάσουν τις υφιστάμενες διαδικασίες των τμημάτων back-office για την υποστήριξη του νέου καναλιού πληρωμών μέσω φορητών συσκευών.
Οι εφαρμογές λογισμικού που χρησιμοποιούνται, να είναι πιστοποιημένες και να ανταποκρίνονται στις απαιτήσεις των εταιρειών πληρωμής.

Ασφάλεια πληρωμών που πραγματοποιούνται είτε μέσω web browser ή μέσω εφαρμογών που λειτουργούν στη φορητή συσκευή
Οι συναλλαγές του συγκεκριμένου τύπου συνήθως βασίζονται στη χρήση λογισμικού και ως εκ τούτου είναι εκτεθειμένες σε πολλές απειλές λόγω του ανοικτού χαρακτήρα του λογισμικού των φορητών πλατφορμών. Το κινητό τηλέφωνο και κατ’ επέκταση οι φορητές συσκευές που μπορούν να κάνουν χρήση τηλεπικοινωνιακών δικτύων, σήμερα έχουν τη δυνατότητα να λειτουργούν ως ένας ηλεκτρονικός υπολογιστής και να μπορούν να φιλοξενούν λειτουργικά, όλα σχεδόν τα είδη των εφαρμογών, που κυμαίνονται από instant messaging και social media, έως παιχνίδια, ακόμα και online τραπεζικές και εμπορικές συναλλαγές. Επιπρόσθετα, είναι μία συσκευή που συνήθως διατηρείται σε λειτουργία ακόμα και όταν … κοιμόμαστε. Πρακτικά, ο κίνδυνος έκθεσης σε αδυναμίες ασφάλειας έχει αυξηθεί. Οι αδυναμίες ασφάλειας λογισμικού που αφορούν στους παραδοσιακούς ηλεκτρονικούς υπολογιστές κληρονομούνται και μεταλλάσσονται έχοντας εφαρμογή και στις φορητές συσκευές. Το ίδιο ισχύει και για τους ιούς και κάθε τύπου κακόβουλο λογισμικό.

Ασφάλεια πληρωμών που πραγματοποιούνται από συστήματα τεχνολογίας NFC
Στην περίπτωση των τραπεζο-κεντρικών πληρωμών με χρήση της τεχνολογίας NFC, υπάρχει ανάγκη για την πιστοποίηση της ταυτότητας του συναλλασσόμενου, αλλά και την πιστοποίηση ότι πρόκειται για φορητή συσκευή και όχι για κάτι που προσποιείται ότι είναι φορητή συσκευή. Η εν λόγω πιστοποίηση ταυτότητας μπορεί να επιτευχθεί με τη χρήση δυναμικών τιμών επαλήθευσης της κάρτας (CVVs). Οι φορητές συσκευές με τεχνολογία NFC, οι οποίες κάνουν και χρήση ολοκληρωμένων κυκλωμάτων chip (i.e. κινητά τηλέφωνα) υποστηρίζουν δυναμικά CVVs, σε αντιδιαστολή με τα στατικά CVVs που χρησιμοποιούνται στη μαγνητική ταινία των Τραπεζικών καρτών.
Η τεχνολογία NFC χρησιμοποιεί κρυπτογράφηση για τη διαβίβαση των δεδομένων από τη φορητή συσκευή προς τη συσκευή ανάγνωσης που βρίσκεται στο σημείο πώλησης. Μερικοί από τους κατασκευαστές συστημάτων δεν αποθηκεύουν στοιχεία λογαριασμών και καρτών στη φορητή συσκευή. Αντί για αυτό, οι ευαίσθητες πληροφορίες αποθηκεύονται με ασφάλεια σε ένα chip.
Ακόμα μία ανάγκη που προκύπτει είναι ότι χρειάζονται μέθοδοι για να διασφαλιστεί ότι μόνο νόμιμα σημεία πώλησης ή παροχής υπηρεσιών μπορούν να δεχθούν πληρωμές από φορητές συσκευές με τεχνολογία NFC.
Από τα παραπάνω προκύπτει ότι μία από τις προκλήσεις που αφορούν στην ασφάλεια των συναλλαγών μέσω φορητών συσκευών, είναι η τυποποίηση και η ευκολία ολοκλήρωσης με τις υφιστάμενες τεχνολογίες.

Τάσεις και σκέψεις για το αύριο, που είναι εδώ
Τα τελευταία δύο χρόνια παρατηρείται έκρηξη των πληρωμών μέσω φορητών συσκευών (κινητά τηλέφωνα και tablets) η αξία των οποίων αναμένεται να αυξηθεί κατά 76% μέσα στο 2012 και να φτάσει τα 86 δισ. δολάρια, σύμφωνα με τη Gartner. Πρακτικά, αυτό σηματοδοτεί προετοιμασία για ένα μέλλον συναλλαγών δίχως τη χρήση πλαστικών καρτών.
Περίπου το 85% των συναλλαγών σε όλο τον κόσμο σήμερα γίνεται με μετρητά. Ήδη η χρήση μετρητών για τις συναλλαγές μας αρχίζει να φθίνει παγκοσμίως. Το κινητό τηλέφωνο πρόκειται να γίνει γρήγορα όχι μόνο το μέσο για τη διενέργεια μιας συναλλαγής, αλλά ταυτόχρονα θα δίνει πληροφορίες για το προϊόν που μας ενδιαφέρει, καθώς και πληροφορίες για το πού θα βρούμε το προϊόν και σε ποια τιμή. Ο τρόπος πληρωμής αλλάζει, θα μπορούμε να πληρώνουμε άμεσα, ίσως αργότερα θα μπορούμε να χρησιμοποιήσουμε εικονικά νομίσματα, ακόμα και το σύνολο πόντων από προγράμματα τύπου loyalty. Όλα τα παραπάνω θα προσφέρονται πλέον μέσα από την ίδια υποδομή ηλεκτρονικού εμπορίου και όχι μέσα από μια υποδομή μόνο πληρωμών.
Οι πληρωμές μέσω κινητού τηλεφώνου εξακολουθούν να φαίνονται σε πολλούς ως μία περιττή και περίπλοκη διαδικασία. Όμως η δυνατότητα να είμαστε σε συνεχή επαφή με τη διαχείριση των χρημάτων μας και να έχουμε τις όποιες σχετικές πληροφορίες χρειαζόμαστε άμεσα, αποτελεί άκρως ελκυστικό παράγοντα. Στο πρόσφατο παρελθόν όπου το κόστος των ηλεκτρονικών συσκευών ήταν υψηλό, κάποιος είχε την έξυπνη ιδέα να μοιράσουν οι Τράπεζες πλαστικές κάρτες σε όλους τους καταναλωτές και το κόστος των πιο ακριβών στοιχείων της συναλλαγής, αυτό των ηλεκτρονικών αναγνωστών καρτών, να το επωμιστούν οι έμποροι. Σήμερα μπορούμε να έχουμε μια εικονική τραπεζική κάρτα και ένα αναγνώστη κάρτας στην τσέπη μας, με τη μορφή ενός έξυπνου κινητού τηλεφώνου.
Η τεχνολογία έχει καταστήσει ταχύτερη και ευκολότερη τη διακίνηση χρημάτων, αλλά δεν έχει αλλάξει ριζικά τον τρόπο που σκεφτόμαστε ή τα χρησιμοποιούμε. Επειδή το χρήμα και τα Χρηματοπιστωτικά ιδρύματα διέπονται από αυστηρό θεσμικό πλαίσιο, ίσως να είναι το τελευταίο οχυρό που η λειτουργία του δεν έχει αλλάξει δραματικά με τη χρήση του internet.
Οι περίπλοκες θεσμικές απαιτήσεις και το κανονιστικό πλαίσιο καθιστούν δύσκολο για τις τράπεζες να είναι πραγματικά πελατοκεντρικές. Όμως η κατεύθυνση της τεχνολογικής καινοτομίας είναι σαφής. Σε πολύ λίγο χρονικό διάστημα δεν θα υπάρχει τίποτα ανάμεσα στον καταναλωτή, τα χρήματά του και τις φορητές συσκευές του. Η αδυναμία των τραπεζών να δράσουν γρήγορα και με φαντασία, έδωσε τη δυνατότητα εισόδου στον κόσμο των χρηματικών συναλλαγών σε παίκτες που ειδικεύονται στη διαχείριση των πελατών και στο σχεδιασμό εύχρηστων τρόπων επικοινωνίας με τον τελικό χρήστη. Έτσι δημιουργείται ένα νέο οικοσύστημα, στο οποίο οι πάροχοι ασύρματης επικοινωνίας, οι έμποροι και οι Τράπεζες συναγωνίζονται για ένα μέρος των κερδών που προέρχεται από τη διαχείριση πληρωμών.

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
niliopoulos@intellisolutions.gr

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών

Κυβερνοπόλεμος : Χαρακτηριστικά – Στόχοι – Άμυνα

Zero Day Attacks: Χαρακτηριστικά και Αντιμετώπιση