você já imaginou comprar tudo o que sempre sonhou?
TRANSCRIPT
PowerPoint Presentation
O MAIOR EVENTO BRASILEIRO DE HACKING, SEGURANA E TECNOLOGIA
Voc j imaginou comprar tudo o que sempre sonhou?Flvio K. Shiga
3Gerente de Servios iBLISSProfessor de Segurana da InformaoConsultor de TI/SI +11 anos ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO e Cisco (5)Pesquisador de vulnerabilidades/fraudes (Aplicaes Web)Algumas palestras:Roadsec Natal/BH/SPBHACK e H2HCMind the Sec e Cyber Security Meeting5thInfosec Week & Cyber Bootcamp FLVIO K. SHIGA
3rd EditionINTRODUOPESQUISA 2015INTERMEDIADOR FINANCEIROSEGURANA NAS INTEGRAES ENTRE APLICAES (API)MTODOS DE ATAQUESSEGURANA EM CLOUD COMPUTINGFRAUDES EM LOJAS VIRTUAISIMPACTOSCONSIDERAES FINAISAgenda
6
QUER PAGAR QUANTO?
De: R$ 1.800,00Por: R$ 180,00
De: R$ 3.000,00Por: R$ 1.000,00
De: R$ 500,00Por: R$ 150,00
PESQUISA 2015
12
Apple Pay
Sansung Pay/LoopPayAndroid Pay
CurrentcPESQUISA 2015Meios de pagamento
13
14
PESQUISA 2015Lojas Virtuais (Mobile)
http://www.securityweek.com/vulnerability-moonpig-api-exposed-customer-data-researcher16
PESQUISA 2015Carto de crdito (Chip)
19/10/15
fraude envolvendo cartes de crdito chip2 chipspoofing the PIN verificationrequired by point-of-sale terminals.http://www.wired.com/2015/10/x-ray-scans-expose-an-ingenious-chip-and-pin-card-hack/#
17
PESQUISA 2015Lojas VirtuaisO E-COMMERCE BRASILEIRO REGISTROU UM AUMENTO NOMINAL DE 16% NO PRIMEIRO SEMESTRE DE 2015, SE COMPARADO COM O MESMO PERODO DE 2014, ATINGINDO UM FATURAMENTO DE R$ 18,6 BILHESWebshoppers32 edio 1 semestre 2015
http://www.securityweek.com/vulnerability-moonpig-api-exposed-customer-data-researcher18
PESQUISA 2015Lojas Virtuais
Julho 2015
http://www.securityweek.com/vulnerability-moonpig-api-exposed-customer-data-researcher19
As empresas que atuam como intermediadores de pagamento so responsveis por detectar fraudes e impedir que a transao fraudulenta acontea. Assim, ela evita que lojas virtuais sejam vtimas de golpes
PESQUISA 2015Intermediadores financeiros
PESQUISA 2015Intermediadores financeirosIntegrao sem um padro definido com diversos comportamentosDiversas empresas pelo mundoVulnerabilidades no so documentadas Informaes no so divulgadas
22PESQUISA 2015Viso Geral
+300 mil Lojas Virtuais impactadas
INTERMEDIADOR FINANCEIRO
INTERMEDIADOR FINANCEIRO
INTERMEDIADOR FINANCEIROBenefciosFacilita a venda de produtos pela Internet No necessita investir no desenvolvimento de funcionalidades financeirasTerceiriza parte das responsabilidades de ComplianceTerceiriza responsabilidades da transao financeira, como chargeback
http://www.cursodeecommerce.com.br/blog/chargeback/http://thehackernews.com/2015/02/hacking-facebook-photo-album.html
25
SEGURANA NAS INTEGRAES ENTRE APLICAES (API)
INTEGRAES ENTRE APLICAES (API)O que API?
API - Interface de programao de aplicaes
INTEGRAES ENTRE APLICAES (API)Exemplos
http://www.innovationexcellence.com/blog/2013/02/10/open-innovation-and-distributed-business-model-with-api/?Itemid=92Busca de imagensNotciasArtigos 28
12.684 APIs para aplicaes web 1.358 APIs Financeirashttp://bbvaopen4u.com/en/actualidad/infographic-rise-financial-apis
INTEGRAES ENTRE APLICAES (API)Crescimento
INTEGRAES ENTRE APLICAES (API)Cases
MTODOS DE ATAQUES
Loja Virtual
1 Realiza a compra do produto
2 Pagamento autorizado e comprovante enviado
Intermediador Finan.MTODOS DE ATAQUESTransao comum
Loja Virtual
1 Realiza a compra do produto
2 Intercepta o valor em texto claro (R$ 80,00)3 Envia o valor R$ 50,00
2 Pagamento autorizado e comprovante enviado
Intermediador Finan.
MTODOS DE ATAQUESMtodo 1 Interceptao Comum
Loja Virtual
1 Realiza a compra do produto
ODAsMDA=NTAsMDA=
2 Pagamento autorizado e comprovante enviado
Base64
Intermediador Finan.
MTODOS DE ATAQUESMtodo 2 Informao codificadaODAsMDA=R$ 80,00NTAsMDA=R$ 50,00
Loja Virtual
1 Realiza a compra do produto
Ff349593084f39 R$ 4.500,00Ff349593084f39 R$ 45,00
2 Pagamento autorizado e comprovante enviado
Intermediador Finan.
MTODOS DE ATAQUESMtodo 3 Token de Integrao
IntermediadorFinanceiro
API vulnervel
1 Realiza a compra do produto
MTODOS DE ATAQUESMtodo 4 API no VulnervelLoja VirtualLoja VirtualLoja VirtualLoja VirtualLoja VirtualLoja VirtualLoja Virtual
INTEGRAES ENTRE APLICAES (API)
Loja Virtualcom API vulnervel
IntermediadorFinanceiro
Loja Virtualcom API no VulnervelR$ 800,00R$ 80,00
Como ficam as integraes entre lojas virtuais e o intermediador financeiro?
SEGURANA EMCLOUD COMPUTING
41SEGURANA EM CLOUD COMPUTINGIntermediador FinanceiroCloud ComputingAs lojas virtuais no possuem controle sobre:Identificao das vulnerabilidadesCorreo das vulnerabilidadeGesto das vulnerabilidades
As lojas virtuais dependem 100% do Intermediador FinanceiroSer que as vulnerabilidades sero corrigidas?
SEGURANA EM CLOUD COMPUTING
Loja VirtualIntermediador Finan.
FRAUDES EM LOJAS VIRTUAIS
FRAUDES EM LOJAS VIRTUAISPrincipais motivadores Existncia de lojas virtuais vulnerveis Ausncia de controles de segurana/fraudes Maior facilidade na realizao da fraude Menor exposio do criminoso
FRAUDES EM LOJAS VIRTUAISCiclo de Vida
Pequenas Lojas Virtuais
Mdias/GrandesLojas Virtuais
46FRAUDES EM LOJAS VIRTUAISPrincipais caractersticas das fraudesProdutos so comprados sem uma ligao lgica entre elesDiversos produtos so comprados no menor espao de tempo possvelCompras em diversas lojas virtuais para um nico endereoProdutos com valores agregados e fcil revenda
47FRAUDES EM LOJAS VIRTUAISO que feito para evitar fraudes?Anlise de Reputao do clienteRestrio de grandes quantidades de erros na incluso de informaes financeirasContato direto com o cliente para confirmar as informaes da compraValidao de:Origem da compra (Endereo IP)E-mails suspeitos (gratuitos e sem relao com o nome do comprador)Inconsistncias (Dados do cliente)
Valida o comprador Data de validadeSem saldo e/ou roubadoFRAUDES EM LOJAS VIRTUAISO que feito para evitar fraudes?Carto de crdito
POR QUE POSSVEL REALIZAR ESTA FRAUDE?
POR QUE POSSVEL REALIZAR ESTA FRAUDE?Fragilidade na autenticao e autorizao da loja virtual com o intermediador financeiroPermite manipulaes das informaes no browser do cliente (usurio)Difcil identificao, pois no realizado nenhum tipo de invaso, apenas manipulado as informaesProcesso falho, grande parte das lojas virtuais no validam o valor pago ou realizam essa validao aps a entrega do produto.
A LOJA VIRTUAL VALIDA O VALOR DO PRODUTO PAGO PELO CLIENTE?
POR QUE POSSVEL REALIZAR ESTA FRAUDE?
POR QUE POSSVEL REALIZAR ESTA FRAUDE?
50%60%70%
IMPACTOS
IMPACTOS56IMAGEMLEGALFINANCEIRO
nTtulo
CONSIDERAES FINAIS
58CONSIDERAES FINAIS
Intermediadores Financeiros
Devem controlar as verses das APIs utilizadas nas lojas virtuais dos clientes e realizar testes de segurana periodicamenteLojas Virtuais
Devem manter as APIs de integraes externas atualizadasLojas Virtuais
rea de logstica/entrega deve conferir o valor pago antes da entrega do produto
Intermediadores Financeiros
Devem implementar controles de autenticao e autorizao seguros na comunicao com lojas virtuais
Obrigado!
Flvio K. [email protected]://www.linkedin.com/in/fshigawww.ibliss.com.br