IVR bankacılığı çok yaygındır. Hesap bakiyenizi kontrol etmek veya fatura ödemek için bankanızı aradıysanız, muhtemelen onu kullanmışsınızdır. Bu temel self-servis görevlere ek olarak, müşteriler banka IVR’lerini sahtekarlığı bildirmek, kişisel bilgileri güncellemek, işlem geçmişlerini kontrol etmek ve hatta bir aracıyı beklemek zorunda kalmadan PIN’lerini değiştirmek için kullanabilirler.
Bunlar gibi çeşitli seçeneklere erişim, IVR’yi fiziksel bir şubeyi ziyaret etmeye veya uzun arayan bekletme süreleri boyunca beklemeye karşı uygun bir alternatif haline getirir.
Bu sistemlerden yararlananlar yalnızca müşteriler değildir; bankalar, rutin müşteri hizmetleri sorgularının sayısını azaltmanın ve müşterilere normal çalışma saatleri dışında hizmet vermenin yeni yollarını bulmanın avantajlarından yararlanabilir.
Günümüzün en iyi VoIP telefon hizmetlerinin çoğu, paketlerinde halihazırda IVR’yi içermektedir; bu, bu hizmetleri kullanan bankaların muhtemelen veri toplama, analiz ve ses tanıma gibi gelişmiş güvenlik özelliklerine yönelik araçlara ve entegrasyonlara zaten erişime sahip olduğu anlamına gelir.
IVR’nin tüm bu faydaları, uygulamadan önce dikkate alınması ve ele alınması gereken bazı ek güvenlik açıkları riskini de beraberinde getirir. Doğru koruma önlemleri alınmadığında IVR teknolojisinin kimlik sahtekarlığı, kimlik avı saldırıları ve veri ihlalleri için kullanılma potansiyeli vardır.
Bilgisayar korsanları IVR bankacılık hizmetlerini nasıl hedef alıyor?
Meşgul müşteriler ve şirketler iyi bir IVR sistemini severken, bilgisayar korsanları kötü olanı sever. IVR hackleme, sisteme yetkisiz erişim sağlamak için belirli zayıflıkları hedeflemeyi gerektirir.
Kredi kartı verilerinin peşine düşecekler, müşteri hesaplarının kontrolünü ele geçirmeye çalışacaklar ve hatta finansal geçmişe eklenen kişisel bilgilerden bile yararlanacaklar.
En yaygın yöntemlerden bazıları, bilgisayar korsanının meşru bir müşteri olduğunu düşünmesi için IVR’yi kandırmak, otomatik telefon çağrıları veya sosyal mühendislik taktikleri ile kimlik avı saldırıları başlatmak, ses biyometrisi sahteciliği kullanmak ve sisteme sızmak için IVR yazılımındaki güvenlik açıklarını bulmaktır.
IVR bankacılığı için güvenli kimlik doğrulama yöntemleri
Bir sistem uygun şekilde korunuyorsa, bir müşteri bir bankacılık IVR’sini aradığında, herhangi bir hesap hizmetine erişebilmeden önce en az bir kimlik doğrulama yöntemiyle kimliğini doğrulaması gerekir.
Burada önemli olan, IVR’nin bilgisayar korsanlarını dışarıda tutacak kadar uyumlu ve güvenli olmasını sağlamak, ancak meşru müşterileri kendi bankacılık bilgilerine erişme yeteneklerini etkileyecek kadar hayal kırıklığına uğratacak kadar karmaşık olmadığından emin olmaktır.
Ek koruma için bankalar genellikle farklı türdeki saldırıları engellemek üzere tasarlanmış birden fazla kimlik doğrulama katmanına ihtiyaç duyar.
IVR bankacılığı için 6 kimlik doğrulama yöntemi
Bilgiye dayalı kimlik doğrulama
Bilgiye dayalı kimlik doğrulama, bir kişinin kimliğini yalnızca kendisinin bileceği şeyler hakkında sorular sorarak doğrulamanın bir yoludur. Örneğin, bir kişi KBA’yı kullanarak bir bankayı ararsa, banka kendisinden önceki adreslerinden birini veya eşiyle ilk tanıştığı şehri belirtmesini isteyebilir.
KBA’nın iyi çalışması için bankaların kolayca bulunamayan veya sosyal mühendislik yoluyla çıkarılamayan verileri kullandıklarından emin olmaları ve ayrıca müşterilerin yanıtlarını gerçekten hatırlayabilmeleri için soruları yeterince belirgin hale getirmeleri gerekiyor.
Yalnızca aşırı spesifik sorular sunmak, hayal kırıklığının reçetesi olabilir; bu nedenle, soruların kolayca kullanılabilecek kadar geniş tutulması ve aynı zamanda güvenli olacak kadar spesifik olması önemlidir. Bazı sistemler son kullanıcının kendi sorularını ve yanıtlarını belirlemesine bile olanak tanır.
PIN tabanlı kimlik doğrulama
PIN tabanlı kimlik doğrulama, müşterilerin yalnızca kendilerinin bildiği 4-6 haneli kodları girerek hesaplarına erişmelerinin çok yaygın bir yoludur.
Bir bankacılık IVR’si ile kullanıldığında sistem, müşterinin girdiği PIN kodunu, hesabıyla ilişkili olan PIN koduyla otomatik olarak karşılaştırır. İki sayı eşleşirse IVR’nin geri kalanının kilidi açılır ve müşteri hizmetleri kullanabilir.
PIN tabanlı kimlik doğrulama, veri koruması için güçlü bir yöntem olsa da, müşterilerin ortak veya tahmin edilmesi kolay PIN’ler belirlemesi nedeniyle genellikle yanılgılara neden olabilir. Buna müşterilerin arka arkaya aynı dört sayıyı veya 1234 gibi varsayılan kombinasyonları kullanması da dahildir.
PIN tabanlı kimlik doğrulama kullanıyorsanız müşterilerinize, telefon numaralarının son dört rakamı veya sosyal güvenlik numarası gibi diğer önemli verilerle ilişkili numaraları kullanmaktan kaçınmalarını hatırlatmanız önemlidir; çünkü bu, bilgisayar korsanlarının şifreyi çözme olasılığını artırır. IVR’nin ihlal edilmesi durumunda hesaplarına girmek için.
Belirli sayıda başarısız denemeden sonra hesabı otomatik olarak kilitleyen öğelerin IVR’ye dahil edilmesi de önemlidir. Bu, bilgisayar korsanlarının binlerce tahminle otomatik olarak oturum açmaya çalışan yazılım programlarını kullandığı kaba kuvvet saldırılarının önlenmesine yardımcı olacaktır.
Ses biyometrisi
Sesli biyometrik kimlik doğrulama, bir müşterinin telefona belirli bir parolayı veya önceden tanımlanmış bir dizi kelimeyi söylemesiyle çalışan nispeten yeni bir teknolojidir. IVR kaydı yakalar ve bunu arayan tarafından ayarlanan önceki kayıtla karşılaştırır. Parola ve ses kalıpları eşleşirse müşteri devam edebilir.
Ses biyometrisi işe yaradığında harikadır ancak düşük kaliteli ses yakalama ve kötü analizle ilgili sorunlar bazen yanlış negatiflere ve yanlış pozitiflere yol açabilir. Birincisi müşteriler için oldukça can sıkıcı, ikincisi ise banka için büyük bir risk.
Bankanız ses biyometrisini etkinleştirmeyi tercih ederse, mükemmel örüntü tanıma özelliğine sahip yüksek kaliteli bir sistemle ortaklık kurmak önemlidir. Ayrıca müşterilerinizi, parolalarını ayarlarken net ses çıktıları sağlamanın önemi konusunda eğitmek de iyi bir fikirdir.
Tek kullanımlık şifreler
Tek kullanımlık şifreler, müşterilere kimliklerini doğrulamak için SMS, e-posta veya telefon görüşmesi yoluyla gönderilen geçici kodlardır. Bir müşteri aradığında IVR, tercih ettiği kayıtlı yöntemle bir kod gönderecektir. Müşteri, kendisine ayrılan süre içerisinde doğru kodu girerse hizmetin bir sonraki aşamasına geçebilir.
Bu tür bir güvenlik kontrolü genellikle IVR sürecinin başında bulunsa da, daha sonra başka birine büyük miktarda para göndermek gibi daha yüksek riskli bir şeyle uğraşırken ekstra güvenlik olarak da tekrar kullanılabilir.
En iyi tek kullanımlık şifreler zamana duyarlıdır; yani yalnızca birkaç dakika veya bir saat çalışırlar, bu da kötü niyetli birinin bunları ele geçirme şansını azaltır. İşletmenizde tek kullanımlık şifreler uyguluyorsanız IVR’nin kodu doğru telefon numarasına veya e-posta adresine göndermesi için müşterilerinize verilerini güncel tutmalarını hatırlattığınızdan emin olun.
Arayanın kimliği doğrulaması
Arayanların kimliğini doğrulamanın otomatik yollarından biri, arayanın kimlik bilgilerini banka hesaplarıyla ilişkili telefon numarasıyla eşleştirmektir. Bilgiler eşleşirse müşteri aktif olarak hiçbir şey yapmak zorunda kalmadan bu adımı geçebilir.
Arayanın kimliği doğrulaması, yalnızca bankada kayıtlı telefon numarasından arayan müşteriler için harika olsa da, iş numaraları veya arkadaşlarının telefonu gibi kayıtlı olmayan numaralardan aramak zorunda kalan müşteriler için pek işe yaramıyor. Sonuç olarak, bu kimlik doğrulama yöntemini kullanan çoğu sistemin başka seçenekler de sunması gerekir.
Arayanın kimliği verileri de sahte olabilir; bu nedenle bankalar, arayan kişinin gerçekten müşteri olduğundan emin olmak için arayan kimliği doğrulamanın yanı sıra ek güvenlik önlemleri uygulamayı düşünmelidir.
Kaynak: https://www.techrepublic.com/article/ivr-banking/