Fraude Bancária

Fraude Bancria e (alguns) mtodos de combate

InfoSec Day 2011

15/09/2011 2

1. Fraude Phishing Pharming Cartes de Crdito Alguns exemplos Alguns nmeros

2. (Alguns) mtodos de combate 3. (Algumas) solues 4. Q & A

Agenda

InfoSec Day 2011

15/09/2011 3

Fraude: Num sentido amplo, mas legal, uma fraude qualquer crime ou acto ilegal para lucro daquele que faz uso de algum logro ou iluso praticada na vtima como seu mtodo principal.

Fonte: Wikipedia

Definies

InfoSec Day 2011

15/09/2011 4

Definio Phishing: uma forma de tentar obter informao sensvel tal como nome de utilizador, palavra passe e informaes do carto de crdito, fazendo-se passar por uma entidade confivel, numa comunicao electrnica.

Fonte: http://en.wikipedia.org/wiki/Phishing

Definies

InfoSec Day 2011

15/09/2011 5

Pharming: Ataque baseado na tcnica de envenenamento de cache que consiste em corromper o DNS (Domain Name System), fazendo com que o URL (Uniform Resource Locator) de um site passe a apontar para um servidor diferente do original.

Fonte: http://en.wikipedia.org/wiki/Pharming

Definies

InfoSec Day 2011

15/09/2011 6

Cartes de Crdito (CC): A fraude com este meio de pagamento vasta e vai desde o uso fraudulento do prprio CC at qualquer outro mecanismo similar de pagamento que faa uso de fundos numa transaco. O propsito pode ser obter bens ou servios sem pagar ou o acesso no autorizado a fundos numa conta.

Fonte: http://en.wikipedia.org/wiki/Credit_card_fraud

Definies

InfoSec Day 2011

15/09/2011 7

Alguns exemplos

InfoSec Day 2011

15/09/2011 8

Alguns exemplos

InfoSec Day 2011

15/09/2011 9

Os comerciantes podem ser seriamente afectados pela ameaa

de fraude no e-commerce no s por perdas por fraudes reais, mas pela perda de negcio devido ao receio do cliente

efectuar transaces online.

65% dos compradores online desistiram do cesto de compras ou no conseguiram completar uma compra porque no tinham a

sensao de segurana e confiana no momento de fornecer

dados para pagamento

78% dos consumidores online nos EUA afirmam ter receio com a segurana na Internet ao efectuar compras em sites online*.

*Fonte: Forrester Consumer Research

Alguns exemplos

InfoSec Day 2011

Num recente estudo conduzido pela RSA, 68% dos inquiridos afirmaram que se sentiam desde algo a

extremamente ameaados pela fraude online e pelo roubo da identidade.

Adicionalmente, a Gartner reportou recentemente

que a fraude relacionada com o roubo de identidade cresceu 50% desde h trs anos a esta parte, com

cerca de 15 milhes de casos a serem reportados em 2006.

15/09/2011 10

Alguns exemplos

InfoSec Day 2011

15/09/2011 11

Ataques de Phishing: Ataques a Marcas: por ms

Alguns nmeros

InfoSec Day 2011

Como podemos proteger os nossos clientes rapidamente? O que podemos fazer para proteger contra as ameaas emergentes, tais como trojans e ataques man-in-the-middle"? Como poderemos identificar a fraude sem afectar o utilizador final nem causar disrupo nos sistemas e processos actuais?

15/09/2011 12

Mtodos de Combate

InfoSec Day 2011

Como podemos proteger os nossos clientes rapidamente?

15/09/2011 13

Mtodos de Combate

InfoSec Day 2011

Autenticao baseada no Risco

15/09/2011 14

Mtodos de Combate

InfoSec Day 2011

Autenticao baseada no Risco

15/09/2011 15

Mtodos de Combate

A autenticao baseada no risco uma autenticao multi-factor:

sempre aplicada em cima do nome de utilizador e palavra-passe (algo que se sabe: primeiro factor)

Examina sempre as caractersticas do dispositivo (algo que se tem: segundo factor)

Examina sempre os diferentes comportamentos do utilizador (algo que se faz: terceiro factor)

Para alm destes trs factores, a "autenticao avanada" pode ser invocada sob a forma de algo que se sabe (perguntas de reconhecimento) ou algo que se tem

(autenticao por telefone "out-of-band"), quando se determina que uma actividade

de alto risco ou quando uma poltica da empresa violada.

InfoSec Day 2011

Controlo de Transaces

15/09/2011 16

Mtodos de Combate

InfoSec Day 2011

Controlo de Transaces

15/09/2011 17

Mtodos de Combate

O Controlo de Transaces funciona com qualquer soluo de

autenticao j existente, incluindo:

Login e palavra-passe esttico

Tokens de palavra-passe nica de diferentes fornecedores

Autenticao por carto inteligente CAP/ DPA

Listas TAN ou iTAN (Cartes Bingo/Scratch/Matrix)

Solues PKI-based/client software (no baseadas em browser).

Autenticao por SMS

Cumulativos (vrios dos anteriores)

InfoSec Day 2011

15/09/2011 18

Mtodos de Combate

Inscrio na Autenticao Site-to-user

InfoSec Day 2011

15/09/2011 19

Mtodos de Combate

InfoSec Day 2011

15/09/2011 20

Mtodos de Combate

Resumo

InfoSec Day 2011

15/09/2011 21

Algumas Solues

InfoSec Day 2011

15/09/2011 22

Algumas Solues

InfoSec Day 2011

15/09/2011 23

Algumas Solues

InfoSec Day 2011

15/09/2011 24

Algumas Solues

InfoSec Day 2011

15/09/2011 25

Algumas Solues

InfoSec Day 2011

15/09/2011 26

Algumas Solues

InfoSec Day 2011

Q & A

Lus Martins

luis.martins@glintt.com

15/09/2011 27 InfoSec Day 2011