Što je Account Takeover (ATO) i kako nastaje?

Preuzimanje korisničkih računa, odnosno Account Takeover (ATO), jedan je od najčešćih i najopasnijih oblika digitalne prijevare danas. U tim napadima napadači koriste već postojeće vjerodajnice korisnika kako bi preuzeli kontrolu nad njihovim bankovnim računima, kreditima, e-mailovima ili čak profilima na društvenim mrežama.

Scenarij je uglavnom isti. Napadač na neki način dođe do korisničkog imena i lozinke (phishing, socijalni inženjering, curenje podataka), prijavi se u račun, promijeni sigurnosne postavke i zatim koristi kompromitirani račun za daljnje prijevare.ATO napadi postoje u gotovo svim industrijama koje raspolažu osjetljivim osobnim podacima, ali financijski sektor je među najpogođenijima. I to ne zato što banke ne ulažu u sigurnost, nego zato što se napadačke tehnike razvijaju brže nego što se postojeći sustavi mogu prilagoditi.

Zašto je ATO posebno opasan za bankarstvo?

U digitalnom bankarstvu ATO nije “još jedna prijevara”, već kombinacija više rizika odjednom. Ti rizici uključuju izravne financijske gubitke, pad povjerenja klijenata, regulatorne probleme (NIS2, DORA) i dugoročnu reputacijsku štetu.

Prema podacima Europske središnje banke i Europske bankarske agencije, platne prijevare u EU/EEA u 2024. godini dosegle su oko 4,2 milijarde eura, što je rast od 17% u odnosu na prethodnu godinu. Gotovo sve prijevare vezane uz kreditne transfere i velika većina kartičnih prijevara događaju se u remote kanalima, dakle u mobilnom i internet bankarstvu, koje se u potpunosti oslanja na digitalnu autentikaciju.

Uloga SCA i zašto nije dovoljna

PSD2 je uveo Strong Customer Authentication (SCA) i time smanjio dio klasičnih prijevara. No napadači su se brzo prilagodili. Umjesto da ciljaju pojedinačne transakcije, fokusirali su se na preuzimanje cijelog računa.

Danas ATO najčešće uključuje:

• krađu vjerodajnica,
• promjenu sigurnosnih postavki,
• zaobilaženje MFA-a,
• zlouporabu procesa za oporavak računa.

Jednom kad preuzmu račun, napadači imaju gotovo isti pristup kao i legitimni korisnik i tu klasične kontrole često prestaju biti učinkovite.

Gdje zapinje ugrađena biometrija mobilnih uređaja?

Kako bi olakšale login i poboljšale korisničko iskustvo, mnoge banke koriste ugrađenu biometriju mobilnih uređaja poput Face ID-ja ili Android prepoznavanja lica. To je sa strane korisničkog iskustva sasvim razumljivo, ali sa sigurnosne strane nedovoljno.

Problem je u tome što je ta biometrija:

• dizajnirana za otključavanje uređaja, ne za zaštitu financijskih transakcija,
• temeljena na modelima koji toleriraju određenu razinu prijevare,
• nevezana uz stvarni identitet korisnika.

Ugrađena biometrija samo potvrđuje da je prisutna osoba koju je uređaj ranije “naučio”. Ako napadač preuzme uređaj ili promijeni biometriju, banka o tome nema nikakav signal.

Kako se ATO zapravo sprječava u praksi?

Učinkovita zaštita od ATO-a počinje s pouzdanom provjerom identiteta. Tu Identyum ide korak dalje.

Identyum povezuje:

• verifikaciju identiteta (ID dokument + KYC),
• biometriju,
• kontinuiranu autentikaciju kroz cijeli korisnički put.

To znači da nije moguće resetirati biometriju ili preuzeti račun samo kompromitacijom uređaja, već svaka kritična radnja ostaje vezana uz provjereni identitet korisnika.

Identyumov ID novčanik u koji se spremaju osobni podaci korisnika, zaštićen je ISO/IEC 30107-3 Level 1 i 2 biometrijskom autentikacijom, s testiranom otpornošću na spoofing. Sustav prepoznaje lažne video feedove i razlikuje stvarnu prisutnost osobe od lažnog predstavljanja bilo kojeg oblika.

Zaštita ne prestaje nakon onboardinga, već se nastavlja:

• pri loginu,
• kod promjena podataka,
• kod oporavka računa.

Zašto bankama treba prava biometrija?

ATO napadi nisu rezultat manjka autentikacije, nego loše prilagođene autentikacije za današnje prijetnje i regulative. U svijetu rasta digitalnih prijevara, AI-generiranih napada i pojačanog regulatornog nadzora, bankama treba biometrija koja je:

• vezana uz identitet,
• mjerljiva i testirana,
• dizajnirana za financijski rizik.

Identyum ne dodaje još jedan sigurnosni korak nego uklanja rizik ATO napada iz digitalnog bankarstva.

Ako ste zainteresirani saznati više o riziku preuzimanja računa i kako se zaštititi sa Identyumom, kontaktirajte našu prodaju na [email protected].