Användningen av mobilappar skapar sårbarheter för kunderna.

Att använda mobila försäkringsappar gör att en hel del värdefull information koncentreras i dem: medicinsk information, kontonummer, adresser med mera. Denna typ av information är mycket dyrare på den svarta marknaden än kreditkortsnummer, eftersom kreditkort kan makuleras. (Foto: terovesalainen / Adobe Stock)

Konsumenter går allt mer mot digitala kanaler för att hantera vardagliga uppgifter, köpa varor och njuta av underhållning. Dessa trender sträcker sig även till försäkringar. Konsumenter ökade sin användning av försäkrings- och InSortech-mobilappar med 26 % år 2021 på årsbasis, enligt JD Power. Och för de som använde mobilförsäkringsappar var deras kundnöjdhetspoäng betydligt högre på alla mätvärden än de som använde traditionella kanaler.

Risker i mobilappen

Men rörelsen mot användningen av mobila försäkringsappar gör att mycket värdefull information i slutändan koncentreras till dem: medicinsk information, kontonummer, adresser med mera. Denna typ av information är mycket dyrare på den svarta marknaden än kreditkortsnummer, eftersom kreditkort kan makuleras. Den här typen av personligt identifierbar information är för det mesta fast, och brottslingar kan använda den för bedrägerier och andra typer av konspirationer.

Därför bör det inte komma som någon överraskning att cyberbrottslingar redan riktar in sig på försäkringsbolag och mobilappar.

Hackare kunde få åtkomst till State Farm-konton 2019 genom en certifikatfyllningsattack. Och 2021, New York Financial Services Department Bötfälla flera försäkringsbolag för miljontals dollar För överträdelser och bristande efterlevnad.

Och utöver böter, om det finns bevis för att försäkringsgivare har varit försumliga med att skydda sina appar, kan framgångsrika cyberattacker leda till grupptalan. Så det ligger definitivt i allas intresse, från försäkringsbolag och försäkringsbolag, till avtalsutvecklare och konsumenter, att mobila försäkringsappar är säkra.

Mobilappar Kan attackeras På oändligt många sätt. Men de flesta attacker delas in i sex huvudtyper. Om försäkringsbolag och insortech skyddar mot dem kommer de att göra betydande framsteg mot att säkra sina appar från de allra flesta attacker.

Stöld av personlig information om en försäkrad från ansökan: Civilstånd, fullständiga namn, körkort, födelsedatum och ibland även id-nummer förvaras i försäkringsapparna. Du kan till och med hitta detaljerad fordonsinformation som skyltnummer eller VIN. All denna data är guld för en cyberbrottsling vars syfte är bedrägeri.

För att skydda dessa data måste de krypteras i applikationen med AES 256 eller en liknande stark standard. Och kryptering bör inte stoppas av data. Den bör också täcka de data som används av applikationsprogrammeringsgränssnitten (API) för att prata med back-end-system och servrar. Om webbadresser, tokens, lösenord och andra hemligheter inte är krypterade kan cyberbrottslingar enkelt få dem för att få tillgång till en försäkringsgivares kärnsystem.

Platsinformation Attacker: Försäkringsappar och InSortech spårar geografisk platsdata av en mängd olika anledningar, som att övervaka försäkringstagarnas körbeteende för att identifiera säkra förare för att ge dem rabatter eller för att aktivera och inaktivera täckning baserat på fysisk plats.

Genom att hacka Jill (iOS) eller root (Android) enhet kan hackare ge sig själva mer omfattande behörigheter som gör att de kan styra operativsystemet och komma åt geografisk platsinformation. Appar ska kunna upptäcka när enheten som de använder är rotad eller trasig i fängelse och sedan stängas av för att förhindra att den fungerar i en osäker miljö.

Överlägg och keyloggers: Sofistikerad skadlig programvara kan lura användare att visa en falsk eller genomskinlig skärm över en försäkringsapp, vilket får användare att tro att de lägger data i en pålitlig källa när de faktiskt arbetar med skadlig programvara. På så sätt kan skadlig programvara stjäla data, ta över konton och utföra alla typer av skadliga åtgärder. Keyloggers fungerar på liknande sätt, även om de körs i bakgrunden, och spårar varje nyckelinmatning en användare gör i varje app. Mobilappar måste upptäcka dessa typer av attacker så att de kan sluta fungera när de är giltiga för att skydda användaren.

Avlyssning av data från transaktioner: Många Insortech-applikationer, som Lemonad och Metromail, Tillåt sina försäkringstagare att betala för täckningen när de kräver det, och lägg till mer täckning allt eftersom. Denna förmåga öppnar också upp dessa appar för attacker mot betalningsinformation. För att skydda betalningsdata måste all data – oavsett om den lagras på en enhet eller överförs till en reservbetaltjänst – krypteras med en stark standard för att uppfylla betalkortsindustrins (PCI) standard. Om det visar sig att en försäkringsgivare inte följer PCI, kan höga böter och till och med förlust av förmågan att acceptera kreditkort som betalning uppstå.

Missbruk av dynamiska och statiska analysverktyg: Mjukvaruutvecklare förlitar sig på dessa kritiska verktyg för felsökning och andra viktiga uppgifter under processen för att skapa programvara, men de kan också utnyttjas av cyberbrottslingar för att kartlägga den interna logiken i en mobilapp. Denna insikt gör att de kan skapa sofistikerade, mycket riktade och mycket effektiva attacker på både appen och backend-tjänsterna. De kan också utveckla trojaner som vilseleder användaren att tro att de arbetar med den riktiga varan, medan skadlig programvara i hemlighet kompromissar med andra appar, stjäl data och andra skadliga aktiviteter.

Att sudda ut den binära koden, såväl som original- och icke-originalbibliotek, kommer att bidra till att förhindra bakåtriktad ingenjörskonst, och ytterligare skydd med anti-bugg-, anti-jamming- och anti-inversionsskydd kommer att stärka skydden ytterligare.

Nätverksattacker: Många mobilapplikationer, inklusive de från försäkringsbolag och InSortech, kommunicerar via HTTP och TLS 1.1., vilka båda inte är säkra protokoll. De tillåter cyberbrottslingar att utföra “middle-of-the-road”-attacker (MitM) på data under deras överföring, vilket gör att de kan stjäla och till och med ändra dem mitt i strömmen. För att skydda mot MitM-attacker måste utvecklare implementera TLS (Transport Layer Security) 1.3, TLS-versionstillämpning, säker autentisering och skadlig proxydetektering.

Försäkringsbolag och försäkringsbolag har en stor möjlighet att växa och förbättra kundnöjdheten med mobilappar. Men dessa appar måste vara säkra, för annars är det bara en tidsfråga innan cyberbrottslingar framgångsrikt attackerar dem, skadar de försäkrade, skadar försäkringsgivarens ryggsystem och kan till och med orsaka negativa nyheter. Säkerhet på grund av dessa sex hot kommer i hög grad att leda till att säkerställa säkerheten för alla och skapa en grund för digital tillväxt.

Karen Hsu är CMO på Appdome. Kontakta henne på telefon [email protected].

Relaterad:

Leave a Comment