ING Bank Śląski wdrożył weryfikację behawioralną, czyli usługę polegającą na analizie sposobu korzystania z komputera lub smartfona przez klientów systemu bankowości internetowej i mobilnej (Moje ING). Bank stale rozwija mechanizmy wspierające bezpieczne bankowanie – weryfikacja behawioralna pozwala przeciwdziałać podszywaniu się osób trzecich pod użytkowników Mojego ING. Dzięki zastosowanemu rozwiązaniu dostęp do bankowości internetowej oraz wykonywane transakcje są w dodatkowy sposób zabezpieczone. ING jako jeden z pierwszych z banków udostępnił weryfikację behawioralną w bankowości internetowej w wersji przeglądarkowej oraz jako pierwszy bank w Polsce w aplikacji mobilnej w systemie Android.
Weryfikacja behawioralna analizuje w czasie rzeczywistym interakcje użytkownika z urządzeniem, takie jak używanie klawiatury, myszy, sposób trzymania smartfona w dłoni czy poruszanie palcem po ekranie dotykowym – łącznie badanych jest kilkanaście różnych cech. Podczas tej weryfikacji bank nie sprawdza co robi dany użytkownik, ale w jaki sposób to robi. Nie bada więc na przykład tego co użytkownik wpisuje na klawiaturze, lecz w jakich odstępach czasu i na jak długo przyciska klawisze.
W trakcie używania aplikacji przez użytkownika, który wyraził zgodę na analizę, tworzony jest jego profil behawioralny. Silnik i mechanizm logiczny rozwiązania zostały przygotowane przez firmę Digital Fingerprints. Zastosowane zostały przy tym algorytmy AI, które stale uczą się cech użytkownika i na bieżąco, podczas sesji klienta w aplikacji, uaktualniają profil behawioralny.
Po zebraniu wystarczającej ilości danych by uznać profil behawioralny za gotowy, podczas kolejnych sesji użytkownika w aplikacji Moje ING, jego aktualne zachowanie jest porównywane z zapisanym profilem. Informacja o stopniu zbieżności zachowania z wyuczonym wzorcem jest przekazywana do banku. System bankowy otrzymuje więc kolejny element bezpieczeństwa, który używany jest w regułach walidacji ryzyka transakcji.
Dzięki temu znacznie zwiększa się prawdopodobieństwo wykrycia, że pod klienta próbuje podszyć się cyberprzestępca.
Rozwiązanie to jest przydatne, zwłaszcza podczas ataków na klientów z wykorzystaniem metod socjotechnicznych. Wtedy bowiem dochodzi do prób wyłudzenia danych uwierzytelniających klienta. Cyberprzestępca może więc używać prawidłowego loginu, hasła, PINu czy kodu autoryzacyjnego z SMS, który przejął od klienta. Mimo to, system bezpieczeństwa może wychwycić niestandardowe zachowanie użytkownika w aplikacji. W sytuacji gdy zajdzie podejrzenie, że osoba nieuprawniona zalogowała się w imieniu klienta, rozwiązanie podejmuje działania, takie jak zablokowanie wykonywanej transakcji, czy zablokowanie dostępu do bankowości internetowej klienta. Pozwala to na ochronę środków klienta przed nieuprawnionym wyprowadzeniem z banku.
Rozwiązanie to zostało wdrożone w aplikacji Moje ING działającej w przeglądarce internetowej oraz usługa weryfikacji behawioralnej w aplikacji Moje ING mobile na platformie Android. W niedalekiej przyszłości planowane jest wdrożenie również na smartfonach z systemem iOS.
Usługa dla klientów banku jest bezpłatna. Wystarczy w systemie Moje ING, w sekcji “Moje dane”, wyrazić zgodę na weryfikację behawioralną, a ochrona będzie działać w bankowości na komputerze i w aplikacji na telefonach z systemem Android, gdy tylko utworzony zostanie profil behawioralny klienta.