Cyber Monday, het uit Amerika overgevlogen online evenement, vindt dit jaar plaats op maandag 28 november. Tijdens deze eerste maandag na Thanksgiving bieden webshops grote kortingen aan om de inkopen voor de feestdagen te stimuleren. Als consument kan je hiervan uiteraard goed profiteren, omdat je vanuit het comfort van je eigen woning geen last hebt van de drukte die deze dag met zich meebrengt.
Uit onderzoek van BeCommerce, de Belgische vereniging van online handelaars, blijkt dat het weekend van Black Friday en Cyber Monday vorig jaar 9,3 procent (ofwel 93 miljoen euro) van het omzetcijfer van de Belgische online handelaars vertegenwoordigt. Dit cijfer zal wellicht dit jaar alleen maar groter worden, want in België gebeuren steeds meer aankopen online. Eén vijfde van deze verrichtingen gebeuren via een smartphone of tablet. Hackers weten dit echter ook. De afgelopen weken doken in app-stores honderden nep-apps op, vaak van bekende merken zoals Foot Locker, Jimmy Choo en Christian Dior. Bij het naderen van de eindejaar aankopen ruiken deze criminele ontwikkelaars hun kans om misbruik te maken van de kooplust van goedgelovige consumenten.
Veilig?
Hoewel mobiliteit de sleutelfactor is voor een optimale koopervaring, zijn de mogelijkheden voor fraude dankzij de kracht en capaciteiten van de mobiele telefoon onvoorstelbaar groot geworden. Volgens een rapport van Infosecurity Magazine vergrendelt slechts 45 procent van de gebruikers zijn telefoon met een pincode, wachtwoord of biometrische beveiliging. Bovendien overheerst het gevoel bij de mobiele consument dat appstores veilige apps verstrekken en dat mobiele telefoons over het algemeen veilig zijn. De waarheid staat hier echter lijnrecht tegenover. Niet alleen laten mobiele apparaten nieuwe aanvalsmogelijkheden toe – het gebruik van valse gratis Wi-Fi-hotspots is hier een klassiek voorbeeld van -, maar de achtergronden van de 5,86 miljoen beschikbare apps kunnen bovendien onmogelijk één voor één nagekeken worden.
In werkelijkheid bestaat er eigenlijk geen enkele app die immuun is voor aanvallen van hackers. Het maakt niet uit of ze beveiligd zijn met een wachtwoord, en ook of dit wachtwoord ‘complex’ is. Niets van dit alles is belangrijk, omdat de schadelijkste aanvallen op het mobiele platform geruisloos hun werk doen: jailbreaking, rooting, code-injectie, app-cloning, screen scraping en brute force-aanvallen. Al deze termen betekenen dat de hacker (zonder dat u het beseft) toegang kan krijgen tot de versleutelde gegevens op uw telefoon. De kwaadwillende ontwikkelaar plaatst een afdruk bovenop uw oorspronkelijk beeld en wijzigt de tekst die aan u wordt getoond om toegang te krijgen tot de informatie die u in het tekstveld typt. In essentie betekent dit dat hackers de werking van uw applicatie kunnen wijzigen en taken kunnen uitvoeren die uw persoonlijke gegevens, geld en andere bezittingen in gevaar brengen.
Runtime Application Self-Protection
Gelukkig bestaan er ook technieken om zich tegen dergelijke aanvallen te beschermen. Runtime Application Self-Protection (RASP) is een nieuwe technologie die men toevoegt aan de achtergrondprogrammatie van de app die u downloadt op uw mobiel toestel. Deze functie zit in uw app en werkt zonder dat u het merkt. Het scant de app terwijl die aan het werk is en geeft aan wanneer de app zich vreemd begint te gedragen. Afhankelijk van de instellingen, zou een app dan bijvoorbeeld kunnen stoppen met werken en de gebruiker op de hoogte brengen van de corruptie van de app alvorens er fraude gepleegd kan worden.
In mijn ogen is dit het startpunt voor de beveiliging van alle mobiele apps. Maar ook permanent testen en continue cyberdreigingen in de markt aanpakken blijven noodzakelijk. De beste manier om klanten te beschermen en vertrouwen te creëren, is door het nemen van proactieve en preventieve maatregelen om gegevens te beschermen.
En u? Hoe beschermt u uw app en gegevens om met een gerust hart tijdens deze drukke koopjesperiode op uw smartphone of tablet uw slag te slaan?
Bart Renard, director business development bij Vasco Data Security
