أيهما أكثر أماناً.. استخدام التطبيقات البنكية أم متصفح للخدمات المصرفية؟

على مدى السنوات الخمس الماضية أو نحو ذلك، زاد الاتجاه نحو استخدام التطبيقات البنكية بشكل متزايد. ومع ذلك، فإن هذا يعتمد على الأجهزة والبرامج المصرفية والمتصفحات، وما يتم تحميله على الجهاز (سواء علمته أم لا)، وشبكة الاتصالات.
المتصفحات محفوفة بالمخاطر؛ لأن هناك أحصنة طروادة مصممة لجمع المعلومات المصرفية. والتطبيقات محفوفة بالمخاطر؛ لأن معظم التطبيقات المصرفية ربما يكون بها عيوب أمنية، ولأن التطبيقات الوهمية/البرمجيات الخبيثة تظهر في بعض الأحيان في آب ستور، بحسب صحيفة The Guardian البريطانية.
إذا كنت مستخدماً دقيقاً لجهاز كمبيوتر آمن، وإذا كنت تستخدمه فقط على شبكتك المنزلية الآمنة، فيجب ألا يكون لديك أي مشاكل. ومع ذلك، إذا كنت ترغب في تنفيذ المعاملات المصرفية أينما كنت، دون اتخاذ الكثير من الاحتياطات، فينبغي أن يكون الأكثر أماناً لك استخدام التطبيق عبر الجيل الثالث 3G/LTE (مع إيقاف الواي فاي والبلوتوث).
الأنظمة التي تستخدم المصادقة الثنائية، يفضل أن تكون مع جهاز منفصل يولّد كلمات مرور جديدة عند الطلب، وهي حقاً وسيلة فعالةً.

ما هو التطبيق؟

عندما طُرحت أجهزة الكمبيوتر الشخصية لأول مرة للبيع في السبعينات، كان يلقب جدول البيانات VisiCalc باسم “التطبيق القاتل”، الذي كان اختصاراً لـ”برنامج التطبيق”. ومع ذلك، شهد العقد الماضي نمواً كبيراً في متجر التطبيقات للهواتف الذكية والأجهزة اللوحية.
تختلف هذه التطبيقات عن برامج الكمبيوتر التقليدية، حيث تُفحص وتُحمل من مخازن آمنة على الإنترنت. وعلاوة على ذلك، هذه التطبيقات تعمل في sandboxes (نظام أمني)؛ لمنعها من القيام بأشياء سيئة.
أجهزة الكمبيوتر الشخصية، على النقيض من ذلك، يمكنها تشغيل برامج غير مؤمَّنة من أي مصدر، من ضمنها المواقع المصابة بالفيروسات، إلا إذا كان لديك برامج مكافحة الفيروسات تتصدى لها.
عندما أعادت مايكروسوفت تصميم ويندوز 8 وتشغيله على الأجهزة اللوحية والهواتف الذكية، أدخلت نظاماً فرعياً مماثلاً للتطبيقات. مكن هذا الويندوز من تشغيل تطبيقات sandboxed مثبتة من قِبل متجر ويندوز. هذه التطبيقات أكثر أماناً بكثير من البرامج القديمة؛ لأن هناك حدوداً لما يسمح لها القيام به.
اليوم هناك عدد قليل جداً من التطبيقات المصرفية على نظام ويندوز Alliance, Citibank, FNB, RMB, HDFC, BNP Paribas, UBI, Westpac إلخ.
متصفح إيدج في ويندوز 10 هو تطبيق sandboxed جديد، لذلك هو أفضل بكثير للخدمات المصرفية من إنترنت إكسبلورر. وإلا، فإن كروم هو البديل الأكثر أماناً؛ لأنه يعمل في وضع الحماية القوي الخاص بجوجل. كما توفر بعض شركات الأمن إضافات، مثل: Kaspersky Safe Money و Bitdefender Safepay.
المتصفحات على الهواتف الذكية والأجهزة اللوحية هي أيضاً تحت نظام sandboxed، ولكن مثل نظيرها على جهاز الكمبيوتر الشخصي، فإنها قد تكون في خطر من هجمات التصيد وأسلوب “man-in-the-middle”.

أجهزة مختلطة

أكبر تهديد للأمن المصرفي يأتي من استخدام جهاز مُخترق: واحد مع البرمجيات الخبيثة التي تلتقط معلومات الدخول وترسلها إلى شخص آخر دون علمك. على ويندوز، تضم البرمجيات الخبيثة المخصصة للأنشطة المصرفية أحصنة طروادة مثل: Zeus وتنويعاتها من Neverquest وGozi. يوجد زيوس منذ عام 2007.
يتم تسليم زيوس عادةً كمرفق بريد إلكتروني بنص يقنع بعض المستخدمين بالنقر عليه. وقد يقال إن حسابك المصرفي أو حساب بريدك الإلكتروني قد تم الاستيلاء عليه، وأنك تحتاج إلى تسجيل الدخول لتأكيد كلمة المرور أو تغييرها، وما إلى ذلك.

يجمع زيوس تفاصيل تسجيل الدخول، أو يعرض شاشة مزيفة تحاكي موقعاً شرعياً على الويب، أو تعيد توجيهك إلى مواقع وهمية. البرنامج الضار يلتقط ضربات المفاتيح الخاصة بك حين تحاول تسجيل الدخول إلى البنك الذي تتعامل معه. البرامج الأخرى، مثل غوزي، يمكنه حتى تقليد نمط الكتابة وحركات الماوس، لهزيمة البنوك التي تستخدم هذا النوع من المعلومات لتحديد المستخدم الحقيقي.
أحصنة طروادة البنكبة يمكن أيضاً أن تكون مخفية في وثائق مايكروسوفت وورد، وpdfs أو فواتير وهمية. يتم توزيع بعضها على أنها برامج للتنصيب من المواقع التي تدخل عليها.
الهواتف الذكية والأجهزة اللوحية تكون أكثر عرضة للاختراق من قِبل تطبيقات وهمية أو التي تشبه التطبيقات حتى تتهرب من عملية التدقيق. في بعض الأحيان، يتم اختراق الأجهزة من خلال تطبيقات بسيطة على ما يبدو والتي تتطلب الكثير من “أذونات” لتشغيل. (كيف يمكن السماح لتطبيق مصباح يدوي بمراقبة اتصالات الشبكة أو تعديل محتويات وحدة تخزين؟).

التطبيقات المصرفية غير الآمنة

يجب أن تكون التطبيقات المصرفية أكثر أمناً من المتصفحات، ولكنها ليست بالضرورة كذلك. في عام 2014، اختبر أرييل سانشيز 40 تطبيقاً مصرفياً منزلياً، ووجد أن 90٪ تضمنت روابط غير آمنة (تلك التي لم تستخدم طبقة المقابس الآمنة )، و40٪ لم تخضع للتحقق من SSL و50٪ كانوا عرضة للبرمجة العرضية عبر الموقع، و 40٪ كانوا عرضة لهجمات man in the middle.
في الاختراق النموذجي، قد يحصل المستخدم على رسالة تقول إن الجلسة أو كلمة المرور قد انتهت وأنهم بحاجة إلى إعادة كتابة اسم المستخدم وكلمة المرور. (لاتفعل).
التطبيقات المصرفية اليوم يجب أن تكون أكثر أماناً، ولكن لن أراهن على ذلك.

شبكات مخترقة

إذا كنت تستخدم النقاط الساخنة hotspots العامة، يمكن رصد اتصالاتك، أو يمكنك تسجيل الدخول عن طريق الخطأ إلى نقطة اتصال تعمل من جهاز كمبيوتر قريب. ليس من السهل دائماً تحديد الشبكة الصحيحة لمقهى أو فندق أو مطار. هذه الشبكات تجعلك عرضة للخطر الرصد وهجمات “man in the middle”.
في الواقع، قد يكون شخص ما قادراً على سرقة حسابك دون معرفة اسمك أو كلمة المرور الخاصة بك. وقد تبين ذلك من قِبل متلصص على الشبكة “network sniffer” وأطلق عليه Firesheep، والذي يمكنه تحديد وسرقة “ملفات تعريف الارتباط غير المشفرة” والتي تخزنها بعض المواقع المستخدمة للمعلومات بعد أن تقوم بتسجيل الدخول.
هذا يعمل فقط إذا كنت على شبكة المهاجم نفسها، ولكن عند استخدام شبكة عامة، ليس لديك أي فكرة من غيرك سجل الدخول.
أياً كان الجهاز الذي تستخدمه، فإن الحل الأفضل هو التشفير من طرف إلى طرف، والذي يظهر من خلال عناوين “https” وقفل المتصفح. كل التجارة الإلكترونية -والحكومة الإلكترونية- تعتمد كلياً على التشفير، وهذا هو السبب في أنه جنون للتفكير في حظره.

تأمين ممهد وSSL

تعتمد الخدمات المصرفية عبر الإنترنت على تمهيد آمن واتصالات آمنة. نظام التمهيد الآمن يحاول التأكد من أن الجهاز يبدأ في حالة غير مخترقة. للقيام بذلك، فإنه يستخدم الأجهزة الآمنة على الجهاز الذي يستخدم التشفير للتحقق من رمز محمل الإقلاع، والذي يستخدم التشفير للتحقق من التحميل الآمن لنظام التشغيل.
هذا في صلب الهواتف الذكية والأجهزة اللوحية. إذا كنت تشتري جهاز كمبيوتر يعمل بنظام التشغيل ويندوز، فاختر واحداً باستخدام نظام UEFI يعمل بنظام التشغيل ويندوز 10 بشكل آمن.
يتم كسر سلسلة آمنة عندما يكسر الناس حماية الأجهزة “jailbreak”. يجب على النظم المصرفية الكشف عنها ومنعها، ولكن 90٪ من التطبيقات المصرفية المنزلية الـ40 التي تمت عليها الدراسة لم تفعل ذلك.
بمجرد تشغيل الجهاز، يجب عليه الاتصال بالمصرف الذي تتعامل معه عبر اتصال SSL/https، على الرغم من أنه قد لا يكون من السهل معرفة ما إذا كان اتصل. (افترض أن اتصالات الجيل الثالث 3G و LTE آمنة بشكل كافٍ).
أبسط حل هو تثبيت امتداد EFF’s HTTPS في كروم، وفايرفوكس أو أوبرا. لا يدعم كل موقع ويب https، لكن إذا لم يكن كذلك، فيجب أن تتم إعادة توجيهك إلى الموقع غير المشفر.

التخصيص ينجح

يمكنك زيادة أمنك المصرفي في ويندوز 10 عن طريق الحفاظ على متصفح واحد للمعاملات المالية وعدم استخدامه أبداً لأي شيء آخر.
أيضاً، حين تستخدم متصفحك الخاص استخدم وضع التصفح المتخفي أو احذف جميع ملفات تعريف الارتباط بعد الاستخدام. في الواقع، يمكنك استخدام حساب مستخدم قياسياً منفصلاً (وليس حساب رئيسadministrator account) للمعاملات المالية. التبديل بين الحسابات ليس شاقاً في الوقت الحاضر، ويمكنك ترك حسابك الأصلي مفتوحاً في أثناء القيام بذلك.
الذهاب أبعد من ذلك، هل يمكن أن تحافظ على أبل آيباد محمياً بكلمة سر في المنزل للعمل المصرفي. لا تقم بتحميل أي تطبيقات أخرى، هذا واحد من الأنظمة المنزلية الأكثر أماناً التي يمكنك الحصول عليها. يمكن أن تقوم أجهزة الأمن الحكومية باختراقك، ولكن من غير المرجح أن تقوم بذلك.

Huffpost