Rapport från Trend Micro avslöjar säkerhetsrisker med Open Banking

Trend Micro släpper idag en rapport som visar att Open Banking kan innebära en kraftig ökning av nya sårbara ytor för cyberattacker för finansiella tjänsteföretag och deras kunder.

EU-kommissionens nya PSD2-direktiv, som globalt beskrivs under termen Open Banking, är utformat för att ge användare större kontroll över sin egen data och möjlighet att dela den med andra finansiella aktörer. I Trend Micros senaste rapport Ready or Not for PSD2: The Risks of Open Banking beskrivs konsekvenserna av det nya direktivet och hur det drabbar IT-säkerheten.

– Finanssektorn har alltid varit mycket attraktiv för cyberbrottslingar, och med PSD2 och Open Banking kommer fler möjligheter öppnas upp för hackare att stjäla känslig, personlig och ekonomisk information, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro. Genom att förstå och förmedla riskerna det innebär att hantera denna kraftigt utvidgade attackyta, hoppas vi kunna hjälpa banker och andra finansiella aktörer att skydda sina tillgångar.

Rapporten avslöjar flera möjliga scenarion för attacker i samband med det nya direktivet:

  • Attacker mot APIer: Offentliga APIer är kärnan i Open Banking, vilket gör att godkända tredje parter kan komma åt användarnas bankdata för att erbjuda innovativa nya finansiella tjänster. Om dessa APIer implementeras på ett felaktigt sätt blir det möjligt för angripare att utnyttja back-end-servrar för att stjäla data.
  • Attacker mot FinTech-företag: Användare kommer tvingas in i ett nytt förtroendeförhållande med leverantörer som kan ha färre resurser och inte lika väl utvecklat dataskydd som traditionella banker. I en kartläggning av FinTech-företag inom Open Banking fann Trend Micro att de i genomsnitt hade 20 anställda och ingen dedikerad säkerhetspersonal. Detta gör dessa företag till idealiska måltavlor för cyberkriminella, då det kan finnas luckor i säkerheten i deras appar, API: er, tekniker för delning av data och säkerhetsmoduler, om de har implementerats felaktigt.
  • Attacker mot appar och mobila plattformar: De flesta Open Bank-tjänster kommer distribueras genom appar. Att hitta användarnamn, lösenord eller krypteringsnycklar i appen gör det möjligt för en kriminell att hämta bankdata och stjäla användarens identitet. Även om apparna inte är konfigurerade att göra betalningar kan de innehålla transaktionsdata, vilket gör att en angripare kan bygga en mycket exakt profil av sina offer.
  • Attacker mot användaren: Då Open Banking-appar kommer att bli det primära sättet för användare att få tillgång till sin finansiella data och tjänster kan nätfiskeattacker vara mycket lönsamt för hackare.

I rapporten beskriver Trend Micro hur finansinstitut kan förbättra sin cybersäkerhet i förberedelse för dessa nya säkerhetshot. Detta inkluderar att se till att känslig information aldrig återfinns i URL-banor, prioritera säkra protokoll och eliminera riskfyllda metoder.

Samtidigt måste ägare och apputvecklare inom Open Banking använda en Secure by Design-strategi som innebär att säkerhetsaspekten implementeras i grunddesignen, inklusive regelbundna revideringar av mjukvaran.