SIBS - InvestLisboa
Transcrição
SIBS - InvestLisboa
Proteção dos meios de pagamento 2016-06-23 Agenda Contexto do cibercrime Desenvolver uma proteção em profundidade Proteção dos meios de pagamento 2 O contexto do cibercrime A cadeia de valor Procura de vulnerabilidades Lavagem de dinheiro Desenvolvimento de malware Cibercrime Utilização fraudulenta Compromisso de sistemas Compromisso de dados 3 O contexto do cibercrime Procura de vulnerabilidades 12000 25 vulnerabilidades por dia 10000 8000 Número de vulnerabilidades por ano 6000 4000 2000 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 0 4 O contexto do cibercrime 100000000 Desenvolvimento de malware 80000000 60000000 450,000 malwares novos por dia Número de malwares novos por ano 40000000 20000000 1984 1985 1986 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 0 * Fonte: http://www.av-test.org/en/statistics/malware/ 5 O contexto do cibercrime Compromisso de sistemas 60% Percentagem de computadores infectados por país 50% 40% 30% 20% 32% 10% 0% * Fonte: PandaLabs 6 TJMaxx 1,6M 1M O contexto do cibercrime 94 000 000 UK Revenue & customs 25M 800K Compromisso de dados AOL 20M KDDI 4M 600K 2006 T-Mobile Deutsche Telecom 3M Cardsystems 40 000 000 Citigroup 3M 125K 2005 AOL 92 000 000 2004 US Dept. Vet Affairs 27M O contexto do cibercrime Utilização fraudulenta ***Best DUMPS & PIN*** Dear costumer, I offer good quality dumps for sale both track 1 and 2 with pin. My products include but not limited to VISA, MC, AMEX, CHASE, PAYPAL etc. All dumps are first hand we do not resale dumps. We do not negotiate or send test and do not waste our time if you do not have any money, We are legit and honest dumps seller and all my prices are final. I can guarantee 90% and more good quality dumps anything under 90% we'll replace but you'd be surprise how good our goods are. We don't play games when I do business and if you try an do unfair business we'll stop at once. We offer bonuses for long term costumers and long terms costumers will get discounts. 8 O contexto do cibercrime Lavagem de dinheiro 9 Defesa em profundidade Segurança Áreas de atuação Informação Pessoal Física Criptografia Comunicações Sistemas Aplicacional 10 Defesa em profundidade Envolvente desimpedida Plano elevado Muralha exterior Croa Muralha intermédia Bastião Fossa Exterior Muralha interior Ravelin Fossa interior Contra escarpa Porta interior Escarpa Arqueiros Portas falsas Porta intermédia Muralhas reforçadas Glacis Porta póslinha Canhões Porta exterior 11 Defesa em profundidade Segurança física Lockdown Firewall perimétrica Revisão de código Firewall exterior Scans IDS exterior Firewall interior Testes de penetração IDS interior Anti Virus Autorização Anti SPAM Cifra Honeypot Autenticação SIEM Registos de auditoria Resposta a incidentes Controlo de integridade Gestão de identidades 12 Defesa em profundidade Segurança da informação Exposure Rates for Different Geographical Regions Exposure rate is calculated by the number of customers affected by Dridex and Dyre in a region divided by the number of all customers in the region. •Sistema de Gestão de Segurança de Informação •Classificação de Informação •Inventário de repositórios de informação •Diagrama de fluxos de informação •Participação em Fora de Segurança •Gestão de fraude 13 Defesa em profundidade Segurança de pessoal Mattel nearly loses $3M to a classic phishing scam A finance executive fell victim to a phishing scam that saw the Los Angeles-based maker of children’s toys wire a cool $3 million to Chinese hackers. Expertly timed during a period of corporate change, the email hit the inbox of the unnamed executive and requested a new vendor payment in the amount of $3 million to a vendor in China. •Política de Pessoal •Regras para contratos de outsourcing •Planos de emergência •Planos de continuidade de negócio •Plano de resposta a incidentes •Security Awareness 14 Defesa em profundidade Segurança física Armed Robbery at Chicago Data Center - November 4, 2007 “At least two masked intruders entered the suite after cutting into the reinforced walls with a power saw. During the robbery, the night manager was repeatedly tazered and struck with a blunt instrument. At least 20 data servers were stolen.” •Prevenção de incêndios •Infraestrutura •Intrusões •Controlo de acessos •Vigilância •Destruição de informação sensível 15 Defesa em profundidade Segurança criptográfica 128-bit crypto scheme allegedly cracked in 2hours Whereas it was believed that it would take 40,000 times the age of the universe for all computers on the planet to do it”, the supersingular curve DLP algorithm only lasted two hours on the 24core cluster used to crack it. •Proteções criptográficas • Confidencialidade • Integridade • Autenticação • Autorização • Não repudiação •Desenho de arquiteturas criptográficas • Algoritmos criptográficos aprovados • Chaves criptográficas aprovadas • Protocolos de segurança aprovados 16 Defesa em profundidade Segurança de redes Running OpenSSL? Patch now to fix This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users. •Protocolos de Segurança de comunicações • SSL/TLS • IPSEC • WPA •Mecanismos de defesa • Arquitectura de defesa por camadas • Segmentação de redes • Firewalls • IDS (Intrusion Detection System) • IPS (Intrusion Prevention System) 17 Defesa em profundidade Segurança de Sistemas •Gestão de vulnerabilidades e patches •Lockdown de Sistemas •Deteção de malware •Gestão de identidades •Gestão do controlo de acessos •WAF (Web apllication firewalls) •Deteção de intrusão de sistemas (HIDS ) •Gestão de configurações (lockdown) •SIEM (Gestão de Incidentes de Segurança) 25 novas vulnerabilidades publicadas diariamente 18 Defesa em profundidade Segurança aplicacional The dangers behind Apple's epic security flaw The browser knows you’re really talking to the bank because it’s verified the site’s SSL certificate, But the failure in Apple’s code means Secure Transport isn’t checking the certificates properly, and anyone could masquerade as your banking site, your email, or worse. •Security awareness para programadores •Segregação de ambientes •Gestão de alterações •Proteção de aplicações mobile •Análise de segurança de código •Scans de segurança •Testes de penetração 19 Segurança dos meios de pagamento Proteção de meios de pagamento A cadeia de valor Pagamentos presenciais Pagamentos na internet 3DS Pagamentos na internet – MB NET Pagamentos móveis – MB WAY Gestão de fraude 20 Proteção de meios de pagamento Pagamentos presenciais • PIN • Memorizável • Alterável/personalizável • Fácil de usar • Cartão Magnético • Transportável • Robusto • Fácil de usar Algo que se sabe Algo que se tem 21 Proteção de meios de pagamento Pagamentos presenciais Cartão Magnético & PIN Conveniência Segurança John & Caroline Shepherd-Barron Fator dual 22 Proteção de meios de pagamento Pagamentos presenciais Chip substitui a pista magnética 23 Proteção de meios de pagamento Pagamentos na internet Payment details Card Number: 1234 5678 9876 5432 Expiration Date: 12 / 99 Month CVV2/CVC2: 2 Year 4 6 24 Proteção de meios de pagamento Pagamentos na internet – 3DS • A EBA publicou em Dezembro de 2014 o documento “Guidelines on the Security of Internet Payments”. O objectivo das guidelines é definir os requisitos mínimos de segurança para serviços de pagamento na internet. • São aplicáveis aos seguintes serviços de pagamento: ○ Pagamentos na Internet com cartão ○ Transferências a crédito efetuadas através da Internet ○ Mandatos eletrónicos (e-mandates) para os débitos diretos ○ Transferência entre contas de e-money efetuadas através da Internet • As guidelines incluem 14 recomendações, a maioria das quais são medidas de proteção de sistemas que estão em linha com processos e controlos que já são adotados. Um dos requisitos é que os pagamentos da internet terão que comportar autenticação forte. 25 Proteção de meios de pagamento Pagamentos na internet – 3-D Secure Autenticação 3-D Secure Banco X Banco Asterix Para autorizar a Compra efetuada no Komerssio no valor de EUR 123,00, introduza o Código SMS de Autorização 654 321 Comerciante: Cartão: Data de expiração: Montante: Komerssio **** **** **** 5432 12/99 Eur 123,00 Foi enviado para o telemóvel com o número *** *** 123 um SMS com um código que deve preencher na caixa abaixo. Código SMS: 654 321 Autenticar No momento do pagamento é enviado o SMS e solicitado o Código SMS ao titular do cartão 26 Proteção de meios de pagamento Pagamentos na internet – 3-D Secure Autenticação simples PAN + DE + CVV2 Autenticação Autenticação forte PAN + DE + CVV2 & Tlm + código SMS dinâmico 27 Proteção de meios de pagamento Pagamentos na internet – MB NET Geração de um cartão virtual MB NET Banco Asterix Banco Asterix Banco Asterix Banco X O meu cartão Valor diário disponível: €200 O meu cartão O meu cartão Valor diário disponível: €200 9,00 28 Proteção de meios de pagamento Pagamentos na internet – MB NET Compra com cartão virtual MB NET 29 Proteção de meios de pagamento Pagamentos na internet – MB NET Vantagens do cartão virtual MB NET Validade longa Plafond elevado ~2,5 anos ~5K€ Validade Plafond Validade Curta Plafond baixo ~2 meses ~100€ Na prática ~5 minutos Na prática ~0€ 30 Proteção de meios de pagamento Pagamentos na internet – MB WAY Compra MB WAY Banco Asterix Banco Asterix Banco Asterix Banco Asterix 31 Proteção de meios de pagamento Pagamentos na internet – MB WAY Autenticação simples PAN + DE+ CVV2 Autenticação Autenticação forte Número de Telemóvel & Código MB WAY (ou impressão digital) 32 Proteção de meios de pagamento Gestão de Fraude ○ Deteção e prevenção de fraude ○ Sistema em tempo real ○ Monitorização 24x365 ○ Sistema centralizado e abrangente ○ Componente emissora na vertente doméstica e transfronteiriça ○ Componente aceitante na vertente de cartões nacionais e internacionais ○ Multicanal (ATM, POS, Internet e Mobile) ○ Investigação de fraude ○ Análise de correlações de fraude ○ Articulação com congéneres nacionais e internacionais ○ Articulação com forças policiais e judiciais 33 Resumo Resumo ○ As empresas e os negócios nesta era digital estão expostas a novos riscos ○ A defesa contra estes riscos passa por atuar em diversas vertentes e com múltiplos mecanismos de proteção numa estratégia de defesa em profundidade. ○ Os meios de pagamento são um dos alvos dos atacantes. ○ Pagamentos por cartões físicos gozam de rácios de fraude baixas. ○ A indústria procura soluções mais seguras procurando garantir níveis de conveniência adequadas para o consumidor final. 34 RUA SOEIRO PEREIRA GOMES, LOTE 1 1649-031 LISBOA PORTUGAL www.sibs.pt 35