2016-06-23

Proteção dos meios de pagamento

Agenda

Contexto do cibercrime

Desenvolver uma proteção em profundidade

Proteção dos meios de pagamento

2

O contexto do cibercrime

3

A cadeia de valor

Procura de vulnerabilidades

Desenvolvimento de malware

Compromisso de sistemas

Compromisso de dados

Utilização fraudulenta

Lavagem de dinheiro

Cibercrime

O contexto do cibercrime

4

Procura de vulnerabilidades

0

2000

4000

6000

8000

10000

120001988

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

Número de vulnerabilidades por ano

25 vulnerabilidades por dia

0

20000000

40000000

60000000

80000000

100000000

1984

1985

1986

1987

1988

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

Número de malwares novos por ano

O contexto do cibercrime

5

Desenvolvimento de malware

* Fonte: http://www.av-test.org/en/statistics/malware/

450,000 malwares novos por dia

0%

10%

20%

30%

40%

50%

60%

Percentagem de computadores infectados por país

32%

O contexto do cibercrimeCompromisso de sistemas

6* Fonte: PandaLabs

2004

AOL92 000 000

2005125K

Citigroup3M

KDDI4M T-Mobile

Deutsche Telecom3M

US Dept. Vet Affairs27M

Cardsystems40 000 000

UK Revenue& customs

25M

2006

2007

AOL20M

600K

800K

1,6M1MTJMaxx94 000 000

8,6M

O contexto do cibercrimeCompromisso de dados

***Best DUMPS & PIN***

Dear costumer, I offer good quality dumps for sale both track 1 and 2 with pin.

My products include but not limited to VISA, MC, AMEX, CHASE, PAYPAL etc. All dumps are first

hand we do not resale dumps.

We do not negotiate or send test and do not waste our time if you do not have any money, We are legit

and honest dumps seller and all my prices are final. I can guarantee 90% and more good quality

dumps anything under 90% we'll replace but you'd be surprise how good our goods are.

We don't play games when I do business and if you try an do unfair business we'll stop at once. We

offer bonuses for long term costumers and long terms costumers will get discounts.

O contexto do cibercrimeUtilização fraudulenta

8

O contexto do cibercrime

9

Lavagem de dinheiro

Defesa em profundidadeÁreas de atuação

10

Informação

Pessoal

Física

Criptografia

Comunicações

Sistemas

Aplicacional

Se

gu

rança

Envolventedesimpedida

Escarpa

Porta pós-linha

Porta exterior

Contra escarpa

Ravelin

Canhões

11

Defesa em profundidade

Muralhaexterior

Croa

Bastião

Portas falsas

Arqueiros

Glacis

Muralhasreforçadas

Muralhaintermédia

Muralhainterior

Fossa Exterior

Fossa interior

Porta intermédia

Porta interior

Plano elevado

Segurança física

Anti SPAM

Resposta a incidentes

Gestão de identidades

Anti Virus

Testes de penetração

Controlo de integridade

12

Defesa em profundidade

Firewall perimétrica

Revisão de código

Scans

Honeypot

Cifra

Registos de auditoria

SIEM

Firewall exterior

Firewall interior

IDS exterior

IDS interior

Autenticação

Autorização

Lockdown

Defesa em profundidadeSegurança da informação

13

Exposure Rates for Different Geographical Regions

Exposure rate is calculated by the number of customers affected by Dridex and Dyre in a region

divided by the number of all customers in the region.

•Sistema de Gestão de Segurança de Informação

•Classificação de Informação

•Inventário de repositórios de informação

•Diagrama de fluxos de informação

•Participação em Fora de Segurança

•Gestão de fraude

Defesa em profundidadeSegurança de pessoal

14

Mattel nearly loses $3M to a classic phishing scam

A finance executive fell victim to a phishing scam that saw the Los Angeles-based maker of

children’s toys wire a cool $3 million to Chinese hackers.

Expertly timed during a period of corporate change, the email hit the inbox of the unnamed

executive and requested a new vendor payment in the amount of $3 million to a vendor in China.

•Política de Pessoal

•Regras para contratos de outsourcing

•Planos de emergência

•Planos de continuidade de negócio

•Plano de resposta a incidentes

•Security Awareness

Defesa em profundidadeSegurança física

15

Armed Robbery at Chicago Data Center - November 4, 2007

“At least two masked intruders entered the suite after cutting into the reinforced walls with a

power saw. During the robbery, the night manager was repeatedly tazered and struck with a blunt

instrument. At least 20 data servers were stolen.”

•Prevenção de incêndios

•Infraestrutura

•Intrusões

•Controlo de acessos

•Vigilância

•Destruição de informação sensível

Defesa em profundidadeSegurança criptográfica

16

128-bit crypto scheme allegedly cracked in 2hours

Whereas it was believed that it would take 40,000 times the age of the universe for all computers

on the planet to do it”, the supersingular curve DLP algorithm only lasted two hours on the 24-

core cluster used to crack it.

•Proteções criptográficas

•Confidencialidade

• Integridade

•Autenticação

•Autorização

•Não repudiação

•Desenho de arquiteturas criptográficas

•Algoritmos criptográficos aprovados

•Chaves criptográficas aprovadas

•Protocolos de segurança aprovados

Defesa em profundidadeSegurança de redes

17

Running OpenSSL? Patch now to fix

This compromises the secret keys used to identify the service providers and to encrypt the traffic,

the names and passwords of the users and the actual content. This allows attackers to eavesdrop

communications, steal data directly from the services and users and to impersonate services and

users.

•Protocolos de Segurança de comunicações

•SSL/TLS

• IPSEC

•WPA

•Mecanismos de defesa

•Arquitectura de defesa por camadas

•Segmentação de redes

•Firewalls

• IDS (Intrusion Detection System)

• IPS (Intrusion Prevention System)

Defesa em profundidadeSegurança de Sistemas

18

25 novas vulnerabilidades publicadas diariamente

•Gestão de vulnerabilidades e patches

•Lockdown de Sistemas

•Deteção de malware

•Gestão de identidades

•Gestão do controlo de acessos

•WAF (Web apllication firewalls)

•Deteção de intrusão de sistemas (HIDS )

•Gestão de configurações (lockdown)

•SIEM (Gestão de Incidentes de Segurança)

Defesa em profundidadeSegurança aplicacional

19

The dangers behind Apple's epic security flaw

The browser knows you’re really talking to the bank because it’s verified the site’s SSL certificate,

But the failure in Apple’s code means Secure Transport isn’t checking the certificates properly,

and anyone could masquerade as your banking site, your email, or worse.

•Security awareness para programadores

•Segregação de ambientes

•Gestão de alterações

•Proteção de aplicações mobile

•Análise de segurança de código

•Scans de segurança

•Testes de penetração

Segurança dos meios de pagamento

20

A cadeia de valor

Pagamentos presenciais

Pagamentos na internet 3DS

Pagamentos na internet – MB NET

Pagamentos móveis – MB WAY

Gestão de fraudePro

teçã

ode m

eio

s d

e

pagam

ento

Proteção de meios de pagamento

• PIN• Memorizável

• Alterável/personalizável

• Fácil de usar

21

Pagamentos presenciais

Algo que se sabe

• Cartão Magnético• Transportável

• Robusto

• Fácil de usar

Algo que se tem

Proteção de meios de pagamento

22

Pagamentos presenciais

Fator dual

Cartão Magnético & PIN

Conveniência Segurança

John & Caroline Shepherd-Barron

Proteção de meios de pagamento

23

Pagamentos presenciais

Chip substitui a pista magnética

Proteção de meios de pagamento

24

Pagamentos na internet

Payment details

Card Number:

Expiration Date: /

CVV2/CVC2:

1234 5678 9876 5432

12 99

2 4 6

Month Year

Proteção de meios de pagamento

25

Pagamentos na internet – 3DS

• A EBA publicou em Dezembro de 2014 o documento “Guidelines on the Security of

Internet Payments”. O objectivo das guidelines é definir os requisitos mínimos de

segurança para serviços de pagamento na internet.

• São aplicáveis aos seguintes serviços de pagamento:

○ Pagamentos na Internet com cartão

○ Transferências a crédito efetuadas através da Internet

○ Mandatos eletrónicos (e-mandates) para os débitos diretos

○ Transferência entre contas de e-money efetuadas através da Internet

• As guidelines incluem 14 recomendações, a maioria das quais são medidas de

proteção de sistemas que estão em linha com processos e controlos que já são

adotados.

Um dos requisitos é que os pagamentos da internet terão que comportar

autenticação forte.

Autenticação 3-D Secure

Código SMS: 654 321

Comerciante:Cartão:

Data de expiração:Montante:

Banco X

Komerssio**** **** **** 543212/99Eur 123,00

Foi enviado para o telemóvel com o número *** *** 123 um SMS com um código que deve preencher na caixa

abaixo.

Autenticar

Proteção de meios de pagamento

26

Pagamentos na internet – 3-D Secure

No momento do pagamento é enviado o SMS e solicitado o Código SMS ao

titular do cartão

Para autorizar a Compra efetuada no Komerssio no valor de EUR 123,00, introduza o Código SMS de Autorização 654 321

Banco Asterix

Proteção de meios de pagamento

27

Pagamentos na internet – 3-D Secure

Autenticação

Autenticação simples

PAN + DE + CVV2

Autenticação forte

PAN + DE + CVV2

&

Tlm + código SMS dinâmico

Proteção de meios de pagamento

28

Pagamentos na internet – MB NET

Banco Asterix

Geração de um cartão virtual MB NET

O meu cartãoValor diário disponível: €200

Banco X

O meu cartão

Banco AsterixBanco Asterix

O meu cartãoValor diário disponível: €200

9,00

Proteção de meios de pagamento

29

Pagamentos na internet – MB NET

Compra com cartão virtual MB NET

Proteção de meios de pagamento

30

Pagamentos na internet – MB NET

Vantagens do cartão virtual MB NET

Validade

Validade

longa

~2,5 anos

Validade

Curta

~2 meses

Na prática

~5 minutos

Plafond

Plafond

elevado

~5K€

Plafond baixo

~100€

Na prática ~0€

Proteção de meios de pagamento

31

Pagamentos na internet – MB WAY

Compra MB WAY

Banco Asterix Banco AsterixBanco AsterixBanco Asterix

Proteção de meios de pagamento

32

Pagamentos na internet – MB WAY

Autenticação

Autenticação simples

PAN + DE+ CVV2

Autenticação forte

Número de Telemóvel

&

Código MB WAY

(ou impressão digital)

Proteção de meios de pagamento

○ Deteção e prevenção de fraude

○ Sistema em tempo real

○ Monitorização 24x365

○ Sistema centralizado e abrangente○ Componente emissora na vertente doméstica e transfronteiriça

○ Componente aceitante na vertente de cartões nacionais e internacionais

○ Multicanal (ATM, POS, Internet e Mobile)

○ Investigação de fraude

○ Análise de correlações de fraude

○ Articulação com congéneres nacionais e internacionais

○ Articulação com forças policiais e judiciais

33

Gestão de Fraude

Resumo

○ As empresas e os negócios nesta era digital estão expostas a novos riscos

○ A defesa contra estes riscos passa por atuar em diversas vertentes e com múltiplos

mecanismos de proteção numa estratégia de defesa em profundidade.

○ Os meios de pagamento são um dos alvos dos atacantes.

○ Pagamentos por cartões físicos gozam de rácios de fraude baixas.

○ A indústria procura soluções mais seguras procurando garantir níveis de

conveniência adequadas para o consumidor final.

34

Resumo

RUA SOEIRO PEREIRA GOMES, LOTE 1

1649-031 LISBOA PORTUGAL

www.sibs.pt

35