fraude bancária

27
Fraude Bancária e (alguns) métodos de combate InfoSec Day 2011

Upload: luis-martins

Post on 09-Jul-2015

303 views

Category:

Business


0 download

TRANSCRIPT

Page 1: Fraude Bancária

Fraude Bancária e (alguns) métodos de combate

InfoSec Day 2011

Page 2: Fraude Bancária

15/09/2011 2

1. Fraude • Phishing • Pharming • Cartões de Crédito • Alguns exemplos • Alguns números

2. (Alguns) métodos de combate 3. (Algumas) soluções 4. Q & A

Agenda

InfoSec Day 2011

Page 3: Fraude Bancária

15/09/2011 3

Fraude: Num sentido amplo, mas legal, uma fraude é qualquer crime ou acto ilegal para lucro daquele que faz uso de algum logro ou ilusão praticada na vítima como seu método principal.

Fonte: Wikipedia

Definições

InfoSec Day 2011

Page 4: Fraude Bancária

15/09/2011 4

Definição Phishing: É uma forma de tentar obter informação sensível tal como nome de utilizador, palavra passe e informações do cartão de crédito, fazendo-se passar por uma entidade confiável, numa comunicação electrónica.

Fonte: http://en.wikipedia.org/wiki/Phishing

Definições

InfoSec Day 2011

Page 5: Fraude Bancária

15/09/2011 5

Pharming: Ataque baseado na técnica de “envenenamento” de cache que consiste em corromper o DNS (Domain Name System), fazendo com que o URL (Uniform Resource Locator) de um site passe a apontar para um servidor diferente do original.

Fonte: http://en.wikipedia.org/wiki/Pharming

Definições

InfoSec Day 2011

Page 6: Fraude Bancária

15/09/2011 6

Cartões de Crédito (CC): A fraude com este meio de pagamento é vasta e vai desde o uso fraudulento do próprio CC até qualquer outro mecanismo similar de pagamento que faça uso de fundos numa transacção. O propósito pode ser obter bens ou serviços sem pagar ou o acesso não autorizado a fundos numa conta.

Fonte: http://en.wikipedia.org/wiki/Credit_card_fraud

Definições

InfoSec Day 2011

Page 7: Fraude Bancária

15/09/2011 7

Alguns exemplos

InfoSec Day 2011

Page 8: Fraude Bancária

15/09/2011 8

Alguns exemplos

InfoSec Day 2011

Page 9: Fraude Bancária

15/09/2011 9

Os comerciantes podem ser seriamente afectados pela ameaça

de fraude no e-commerce – não só por perdas por fraudes

reais, mas pela perda de negócio devido ao receio do cliente

efectuar transacções online.

• 65% dos compradores online desistiram do cesto de compras ou

não conseguiram completar uma compra porque não tinham a

sensação de segurança e confiança no momento de fornecer

dados para pagamento

• 78% dos consumidores online nos EUA afirmam ter receio com a

segurança na Internet ao efectuar compras em sites online*.

*Fonte: Forrester Consumer Research

Alguns exemplos

InfoSec Day 2011

Page 10: Fraude Bancária

Num recente estudo conduzido pela RSA, 68% dos inquiridos afirmaram que se sentiam desde “algo” a

“extremamente” ameaçados pela fraude online e pelo roubo da identidade.

Adicionalmente, a Gartner reportou recentemente

que a fraude relacionada com o roubo de identidade cresceu 50% desde há três anos a esta parte, com

cerca de 15 milhões de casos a serem reportados em 2006.

15/09/2011 10

Alguns exemplos

InfoSec Day 2011

Page 11: Fraude Bancária

15/09/2011 11

Ataques de Phishing: Ataques a Marcas: por mês

Alguns números

InfoSec Day 2011

Page 12: Fraude Bancária

Como podemos proteger os nossos clientes rapidamente? O que podemos fazer para proteger contra as ameaças emergentes, tais como “trojans” e ataques “man-in-the-middle"? Como poderemos identificar a fraude sem afectar o utilizador final nem causar disrupção nos sistemas e processos actuais?

15/09/2011 12

Métodos de Combate

InfoSec Day 2011

Page 13: Fraude Bancária

Como podemos proteger os nossos clientes rapidamente?

15/09/2011 13

Métodos de Combate

InfoSec Day 2011

Page 14: Fraude Bancária

Autenticação baseada no Risco

15/09/2011 14

Métodos de Combate

InfoSec Day 2011

Page 15: Fraude Bancária

Autenticação baseada no Risco

15/09/2011 15

Métodos de Combate

A autenticação baseada no risco é uma autenticação multi-factor:

• É sempre aplicada “em cima” do nome de utilizador e palavra-passe (algo que se

sabe: primeiro factor)

• Examina sempre as características do dispositivo (algo que se tem: segundo

factor)

• Examina sempre os diferentes comportamentos do utilizador (algo que se faz:

terceiro factor)

• Para além destes três factores, a "autenticação avançada" pode ser invocada sob

a forma de algo que se sabe (perguntas de reconhecimento) ou algo que se tem

(autenticação por telefone "out-of-band"), quando se determina que uma actividade

é de alto risco ou quando uma política da empresa é violada.

InfoSec Day 2011

Page 16: Fraude Bancária

Controlo de Transacções

15/09/2011 16

Métodos de Combate

InfoSec Day 2011

Page 17: Fraude Bancária

Controlo de Transacções

15/09/2011 17

Métodos de Combate

O Controlo de Transacções funciona com qualquer solução de

autenticação já existente, incluindo:

• Login e palavra-passe estático

• Tokens de palavra-passe única de diferentes fornecedores

• Autenticação por cartão inteligente CAP/ DPA

• Listas TAN ou iTAN (Cartões Bingo/Scratch/Matrix)

• Soluções PKI-based/client software (não baseadas em browser).

• Autenticação por SMS

• Cumulativos (vários dos anteriores)

InfoSec Day 2011

Page 18: Fraude Bancária

15/09/2011 18

Métodos de Combate

Inscrição na Autenticação Site-to-user

InfoSec Day 2011

Page 19: Fraude Bancária

15/09/2011 19

Métodos de Combate

InfoSec Day 2011

Page 20: Fraude Bancária

15/09/2011 20

Métodos de Combate

Resumo

InfoSec Day 2011

Page 21: Fraude Bancária

15/09/2011 21

Algumas Soluções

InfoSec Day 2011

Page 22: Fraude Bancária

15/09/2011 22

Algumas Soluções

InfoSec Day 2011

Page 23: Fraude Bancária

15/09/2011 23

Algumas Soluções

InfoSec Day 2011

Page 24: Fraude Bancária

15/09/2011 24

Algumas Soluções

InfoSec Day 2011

Page 25: Fraude Bancária

15/09/2011 25

Algumas Soluções

InfoSec Day 2011

Page 26: Fraude Bancária

15/09/2011 26

Algumas Soluções

InfoSec Day 2011

Page 27: Fraude Bancária

Q & A

Luís Martins

[email protected]

15/09/2011 27 InfoSec Day 2011