Végül nézzük meg, milyen lépésekre lenne szükség ahhoz, hogy az online bankolás és fizetés biztonságosabbá váljon. Ide értjük a bankok által bevezethető technikai intézkedéseket és azokat a szabályozási/iparági változásokat, amelyek a csalások visszaszorítását segítenék. A hatékony védekezés ugyanis közös erőfeszítést igényel: bankoktól, hatóságoktól és maguktól az ügyfelektől is.
Banki oldali technikai és üzleti lépések
- Továbbfejlesztett ügyfél-hitelesítés: Ahol lehet, a bankok térjenek át az SMS-alapú kódokról biztonságosabb megoldásokra. Ilyen lehet a mobilbanki appba épített jóváhagyás (push üzenet), biometrikus azonosítás (ujjlenyomat, arcfelismerés) vagy hardver tokenek. Ha marad is az SMS, vezessenek be kiegészítő kontrollokat: pl. új eszközről való belépésnél ne csak SMS-t küldjenek, hanem kérjenek második személyi azonosítót is (pl. előre megadott jelszó, vagy telefonos visszahívás). Emellett az értesítések szövegét is javítani lehetne: a jóváhagyó üzenetek tartalmazzák a tranzakció lényegét (összeg, kedvezményezett), ne csak általános kérést. Így ha a user mégis kap egy adathalász kérést, feltűnhet neki a diszkrepancia.
- Korlátozások és késleltetések kritikus műveleteknél: Fontolják meg a bankok bizonyos “risk management” megoldások bevezetését: például új kedvezményezettnek első alkalommal csak limitált összeget engedni utalni 24 órán belül, vagy valamilyen extra megerősítést kérni. Esetleg időzárat tenni nagy összeg utalására: az ügyfél beállíthatná, hogy pl. 10 millió feletti utalás csak 4 óra múlva megy ki, addig visszavonható. Ezek csökkentenék a nagy károk esélyét.
- Adathalászat elleni intelligens szűrés: A banki IT-rendszerek figyelhetnék a szokatlan viselkedést a netbankban: pl. ha valaki hirtelen telepít egy TeamViewer programot és azon keresztül lép be, vagy eddig sosem látott eszközről, szokatlan helyről jelentkezik, akkor automatikusan gyanújelet dob és korlátozott módba teszi a fiókot (pl. csak lekérdezés, nincs utalás, míg nem verifikálták). Ehhez persze fejlett algoritmusok kellenek, de a modern mesterséges intelligencia és machine learning ebben segítség lehet, hogy kiszűrjék a tipikus csalási mintákat. (Például a kártyás csalásoknál már régóta működik ilyen: ha gyanús helyen használják a kártyát, a bank automatikusan blokkolja . Hasonló gondolkodást át lehet vinni a netbanki tevékenység monitorozására is.)
- Ügyfélkommunikáció és edukáció integrálása: A banki alkalmazásokban és weben jelenjenek meg figyelmeztetések kritikus pillanatokban. Például ha az ügyfél egy nagyobb összeget készül utalni egy új számlára, a rendszer feltehet egy kérdést: “Telefonon kérték öntől, hogy utalja ezt a pénzt? Ismeretlen cégbe fektet? Biztos benne, hogy nem csalás áldozata?” – már ilyen megoldásokat alkalmaznak brit bankok. Ez sokakat ráébreszthet, hogy ellenőrizzék újra a helyzetet. Emellett a banki kommunikációs csatornákon (értesítők, havi kivonat, közösségi média) rendszeresen osszanak meg közérthető csalás-megelőzési tippeket.
- Gyors reagálású fraud-csapat: A bankok hozzanak létre dedikált csapatot, amely azonnal foglalkozik a csalási bejelentésekkel. Ha egy ügyfél jelzi, hogy tévesen utalt egy csalónak, vagy adathalászat történt, a bank tegye meg a szükséges lépéseket: pl. kezdeményezze a fogadó banknál a zárolást (most már van lehetőség erre 24 órán belül ), értesítse a többi bankot is ha releváns (pl. ha tudják a csaló számlaszámát). A gyorsaság kritikus: egy órán belüli reagálás sok pénzt megmenthet. Ehhez nyilván megfelelő erőforrásokat és protokollokat kell biztosítani.
- Tranzit számlák és money mule-ok szűrése: A banki backend rendszerek figyelhetnék azt is, ha egy számla gyanús mintázatot mutat: pl. frissen nyitott számla, és hirtelen sok bejövő utalást továbbküld más számlákra, megtartott egyenleg nélkül – ez tipikus jele annak, hogy “mulé”-ként, pénzmosó átfolyószámlaként használják. Ilyenkor a bank belső szabályzata alapján vizsgálatot indíthat és befagyaszthatja a további mozgást. Ezzel a csalók infrastruktúráját lehet gyengíteni.
- Digitális azonosítás erősítése a telekommunikációban: Bár ez nem közvetlenül banki feladat, de a bankok kezdeményezhetik a távközlési partnereik felé, hogy tegyék biztonságosabbá a hívásokat és SMS-eket. Például a hívószám-hitelesítés (STIR/SHAKEN protokoll) bevezetése segítene kiszűrni a spoofingolt hívásokat, mert a telefon jelezné, ha a szám nem hiteles. Hasonlóan, egy SMS domain autentikáció (pl. Registered SMS szolgáltatás) biztosíthatná, hogy az “OTP Bank” feladóval csak az OTP küldhessen üzenetet. Ezek ma még hiányoznak vagy gyerekcipőben járnak, de a bankok nyomást gyakorolhatnak a szolgáltatókra és a szabályozókra a bevezetésükért.
- Innovatív megoldások tesztelése: A biztonság és kényelem gyakran nehezen egyensúlyozható. De új ötletek vannak: pl. “megerősítő videóhívás” nagy összeg átutalása előtt (ahogy néhány kriptotőzsde csinálja), vagy “fagyasztás gomb” az appban, amivel az ügyfél egy gyanús hívás közben egy kattintással leállíthat minden kimenő tranzakciót a számláin pár órára (időt nyerve a tisztázásra). A bankoknak érdemes nyitottnak lenni az ilyen szokatlan, de hasznos ötletekre is, és együttműködni fintech cégekkel a kifejlesztésükben.