Download - Fraude Bancária
Fraude Bancária e (alguns) métodos de combate
InfoSec Day 2011
15/09/2011 2
1. Fraude • Phishing • Pharming • Cartões de Crédito • Alguns exemplos • Alguns números
2. (Alguns) métodos de combate 3. (Algumas) soluções 4. Q & A
Agenda
InfoSec Day 2011
15/09/2011 3
Fraude: Num sentido amplo, mas legal, uma fraude é qualquer crime ou acto ilegal para lucro daquele que faz uso de algum logro ou ilusão praticada na vítima como seu método principal.
Fonte: Wikipedia
Definições
InfoSec Day 2011
15/09/2011 4
Definição Phishing: É uma forma de tentar obter informação sensível tal como nome de utilizador, palavra passe e informações do cartão de crédito, fazendo-se passar por uma entidade confiável, numa comunicação electrónica.
Fonte: http://en.wikipedia.org/wiki/Phishing
Definições
InfoSec Day 2011
15/09/2011 5
Pharming: Ataque baseado na técnica de “envenenamento” de cache que consiste em corromper o DNS (Domain Name System), fazendo com que o URL (Uniform Resource Locator) de um site passe a apontar para um servidor diferente do original.
Fonte: http://en.wikipedia.org/wiki/Pharming
Definições
InfoSec Day 2011
15/09/2011 6
Cartões de Crédito (CC): A fraude com este meio de pagamento é vasta e vai desde o uso fraudulento do próprio CC até qualquer outro mecanismo similar de pagamento que faça uso de fundos numa transacção. O propósito pode ser obter bens ou serviços sem pagar ou o acesso não autorizado a fundos numa conta.
Fonte: http://en.wikipedia.org/wiki/Credit_card_fraud
Definições
InfoSec Day 2011
15/09/2011 7
Alguns exemplos
InfoSec Day 2011
15/09/2011 8
Alguns exemplos
InfoSec Day 2011
15/09/2011 9
Os comerciantes podem ser seriamente afectados pela ameaça
de fraude no e-commerce – não só por perdas por fraudes
reais, mas pela perda de negócio devido ao receio do cliente
efectuar transacções online.
• 65% dos compradores online desistiram do cesto de compras ou
não conseguiram completar uma compra porque não tinham a
sensação de segurança e confiança no momento de fornecer
dados para pagamento
• 78% dos consumidores online nos EUA afirmam ter receio com a
segurança na Internet ao efectuar compras em sites online*.
*Fonte: Forrester Consumer Research
Alguns exemplos
InfoSec Day 2011
Num recente estudo conduzido pela RSA, 68% dos inquiridos afirmaram que se sentiam desde “algo” a
“extremamente” ameaçados pela fraude online e pelo roubo da identidade.
Adicionalmente, a Gartner reportou recentemente
que a fraude relacionada com o roubo de identidade cresceu 50% desde há três anos a esta parte, com
cerca de 15 milhões de casos a serem reportados em 2006.
15/09/2011 10
Alguns exemplos
InfoSec Day 2011
15/09/2011 11
Ataques de Phishing: Ataques a Marcas: por mês
Alguns números
InfoSec Day 2011
Como podemos proteger os nossos clientes rapidamente? O que podemos fazer para proteger contra as ameaças emergentes, tais como “trojans” e ataques “man-in-the-middle"? Como poderemos identificar a fraude sem afectar o utilizador final nem causar disrupção nos sistemas e processos actuais?
15/09/2011 12
Métodos de Combate
InfoSec Day 2011
Como podemos proteger os nossos clientes rapidamente?
15/09/2011 13
Métodos de Combate
InfoSec Day 2011
Autenticação baseada no Risco
15/09/2011 14
Métodos de Combate
InfoSec Day 2011
Autenticação baseada no Risco
15/09/2011 15
Métodos de Combate
A autenticação baseada no risco é uma autenticação multi-factor:
• É sempre aplicada “em cima” do nome de utilizador e palavra-passe (algo que se
sabe: primeiro factor)
• Examina sempre as características do dispositivo (algo que se tem: segundo
factor)
• Examina sempre os diferentes comportamentos do utilizador (algo que se faz:
terceiro factor)
• Para além destes três factores, a "autenticação avançada" pode ser invocada sob
a forma de algo que se sabe (perguntas de reconhecimento) ou algo que se tem
(autenticação por telefone "out-of-band"), quando se determina que uma actividade
é de alto risco ou quando uma política da empresa é violada.
InfoSec Day 2011
Controlo de Transacções
15/09/2011 16
Métodos de Combate
InfoSec Day 2011
Controlo de Transacções
15/09/2011 17
Métodos de Combate
O Controlo de Transacções funciona com qualquer solução de
autenticação já existente, incluindo:
• Login e palavra-passe estático
• Tokens de palavra-passe única de diferentes fornecedores
• Autenticação por cartão inteligente CAP/ DPA
• Listas TAN ou iTAN (Cartões Bingo/Scratch/Matrix)
• Soluções PKI-based/client software (não baseadas em browser).
• Autenticação por SMS
• Cumulativos (vários dos anteriores)
InfoSec Day 2011
15/09/2011 18
Métodos de Combate
Inscrição na Autenticação Site-to-user
InfoSec Day 2011
15/09/2011 19
Métodos de Combate
InfoSec Day 2011
15/09/2011 20
Métodos de Combate
Resumo
InfoSec Day 2011
15/09/2011 21
Algumas Soluções
InfoSec Day 2011
15/09/2011 22
Algumas Soluções
InfoSec Day 2011
15/09/2011 23
Algumas Soluções
InfoSec Day 2011
15/09/2011 24
Algumas Soluções
InfoSec Day 2011
15/09/2011 25
Algumas Soluções
InfoSec Day 2011
15/09/2011 26
Algumas Soluções
InfoSec Day 2011