Как предложить безопасный IVR-банкинг и аутентифицировать звонящих

IVR-банкинг очень распространен. Если вы когда-либо звонили в свой банк, чтобы проверить баланс счета или оплатить счет, вы, вероятно, пользовались им. В дополнение к этим основным задачам самообслуживания клиенты могут использовать банковские IVR, чтобы сообщить о мошенничестве, обновить личную информацию, проверить историю транзакций или даже изменить свой PIN-код, не дожидаясь агента.

Доступ к множеству подобных опций делает использование IVR удобной альтернативой посещению физического отделения или длительному ожиданию звонящего.

Эти системы выгодны не только клиентам — банки могут воспользоваться преимуществами сокращения количества рутинных запросов на обслуживание клиентов и поиска новых способов обслуживания клиентов за пределами обычного рабочего времени.

Многие из современных ведущих сервисов VoIP-телефонии уже включают IVR в свои пакеты, а это значит, что банки, использующие эти сервисы, вероятно, уже имеют доступ к инструментам и интеграциям для сбора данных, аналитики и расширенным функциям безопасности, таким как распознавание голоса.

Все эти преимущества IVR сопряжены с определенным риском дополнительных уязвимостей, которые необходимо учитывать и устранять перед внедрением. Без надлежащих мер безопасности технология IVR может быть потенциально использована для мошенничества с идентификацией, фишинговых атак и утечек данных.

Как хакеры атакуют банковские IVR-сервисы?

В то время как занятые клиенты и компании любят хорошую систему IVR, хакеры любят плохую. Взлом IVR подразумевает использование определенных уязвимостей для получения несанкционированного доступа к системе.

Они будут охотиться за данными кредитных карт, пытаться взять под контроль счета клиентов и даже использовать в своих интересах личную информацию, связанную с финансовой историей.

К наиболее распространенным методам относятся обман IVR, заставляющий хакера думать, что он — настоящий клиент, запуск фишинговых атак с помощью автоматических телефонных звонков или приемов социальной инженерии, использование подмены голосовых биометрических данных и поиск уязвимостей в программном обеспечении IVR для взлома системы.

Безопасные методы аутентификации для IVR-банкинга

Если система надежно защищена, то всякий раз, когда клиент звонит в банковский IVR, ему необходимо подтвердить свою личность, используя как минимум один метод аутентификации, прежде чем он сможет получить доступ к каким-либо услугам по счету.

Главное здесь — убедиться, что система IVR достаточно безопасна и совместима с требованиями, чтобы не допустить хакеров, но не настолько сложна, чтобы мешать законопослушным клиентам получать доступ к своей банковской информации.

Для дополнительной защиты банки обычно требуют несколько уровней аутентификации, предназначенных для предотвращения различных типов атак.

6 методов аутентификации для IVR-банкинга

Аутентификация на основе знаний

Аутентификация на основе знаний — это способ проверки личности человека, задавая вопросы о вещах, о которых знает только он. Например, если человек звонит в банк, используя KBA, банк может попросить его предоставить один из его предыдущих адресов или город, в котором он впервые встретил своего супруга.

Чтобы система KBA работала хорошо, банкам необходимо убедиться, что они используют данные, которые невозможно легко найти или вывести с помощью социальной инженерии, а также им необходимо формулировать вопросы достаточно четко, чтобы клиенты действительно запомнили их ответы.

Предоставление только гиперспецифичных вопросов может стать рецептом разочарования, поэтому важно, чтобы вопросы были достаточно общими, чтобы их было легко использовать, но при этом достаточно конкретными, чтобы быть безопасными. Некоторые системы даже позволяют конечному пользователю задавать свои собственные вопросы и ответы.

Аутентификация на основе PIN-кода

Аутентификация на основе ПИН-кода — очень распространенный способ, которым клиенты получают доступ к своим счетам, вводя 4–6-значные коды, которые известны только им.

При использовании с банковским IVR система автоматически сравнивает введенный клиентом PIN-код с тем, который связан с его учетной записью. Если два числа совпадают, остальная часть IVR разблокируется, и клиент может пользоваться услугами.

Хотя аутентификация на основе PIN-кода может быть надежным методом защиты данных, она часто дает сбои из-за клиентов, которые устанавливают общие или легко угадываемые PIN-коды. Это включает случаи, когда клиенты используют одни и те же четыре цифры подряд или комбинации по умолчанию, такие как 1234.

Если вы используете аутентификацию на основе PIN-кода, важно напомнить своим клиентам о необходимости избегать использования цифр, связанных с другими важными данными, например, с последними четырьмя цифрами номера телефона или номера социального страхования, поскольку это увеличивает вероятность того, что хакеры смогут получить доступ к их аккаунту в случае взлома IVR.

Также важно включить в IVR элементы, которые автоматически блокируют учетную запись после определенного количества неудачных попыток. Это поможет предотвратить атаки методом подбора, когда хакеры используют программное обеспечение, которое автоматически пытается войти в систему с помощью тысяч попыток.

Голосовая биометрия

Биометрическая аутентификация по голосу — это относительно новая технология, которая работает, когда клиент произносит в телефон определенную парольную фразу или предопределенную последовательность слов. IVR фиксирует запись и сравнивает ее с предыдущей записью, установленной звонящим. Если парольная фраза и голосовые шаблоны совпадают, клиент может продолжить.

Голосовая биометрия хороша, когда работает, но проблемы с некачественным захватом голоса и плохим анализом иногда могут приводить к ложным отрицательным и ложным положительным результатам. Первое очень раздражает клиентов, а второе представляет огромный риск для банка.

Если ваш банк решит включить голосовую биометрию, важно сотрудничать с высококачественной системой, которая имеет превосходное распознавание образов. Также хорошей идеей будет объяснить своим клиентам важность предоставления четких голосовых отпечатков при настройке ими своих паролей.

Одноразовые пароли

Одноразовые коды доступа — это временные коды, отправляемые клиентам по SMS, электронной почте или по телефону для подтверждения их личности. Когда клиент звонит, IVR отправляет код через предпочитаемый им зарегистрированный метод. Если клиент вводит правильный код в течение отведенного времени, он может перейти к следующему этапу обслуживания.

Хотя этот тип проверки безопасности обычно применяется в начале процесса IVR, его также можно использовать позже в качестве дополнительной меры безопасности при работе с чем-то более рискованным, например, при отправке крупной суммы денег кому-то другому.

Лучшие одноразовые пароли чувствительны ко времени, то есть они будут работать только несколько минут или час, что снижает вероятность того, что кто-то с плохими намерениями сможет ими завладеть. Если вы внедряете одноразовые пароли в своей компании, обязательно напомните своим клиентам о необходимости обновлять свои данные, чтобы IVR отправлял код на нужный номер телефона или адрес электронной почты.

Проверка идентификатора вызывающего абонента

Один из автоматизированных способов аутентификации звонящих — это сопоставление информации об идентификаторе звонящего с номером телефона, связанным с его банковским счетом. Если информация совпадает, то клиент может пройти этот шаг без необходимости что-либо активно делать.

Хотя проверка идентификатора вызывающего абонента может быть полезна для клиентов, которые звонят только с номера телефона, зарегистрированного в банке, на самом деле она не работает для клиентов, которым приходится звонить с незарегистрированных номеров, таких как рабочие номера или телефон друга. В результате большинству систем, использующих этот метод аутентификации, приходится предоставлять и другие варианты.

Данные идентификатора вызывающего абонента также могут быть подделаны, поэтому банкам следует рассмотреть возможность внедрения дополнительных мер безопасности наряду с проверкой идентификатора вызывающего абонента, чтобы убедиться, что звонок совершает именно тот клиент.