SIBS - InvestLisboa

Transcrição

SIBS - InvestLisboa

Proteção dos meios de pagamento
2016-06-23
Agenda
Contexto do cibercrime
Desenvolver uma proteção em profundidade
Proteção dos meios de pagamento
2
O contexto do cibercrime
A cadeia de valor
Procura de
vulnerabilidades
Lavagem de
dinheiro
Desenvolvimento
de malware
Cibercrime
Utilização
fraudulenta
Compromisso de
sistemas
Compromisso de
dados
3
Procura de vulnerabilidades
12000
25 vulnerabilidades por dia
10000
8000
Número de vulnerabilidades por ano
6000
4000
2000
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
0
4
100000000
Desenvolvimento de malware
80000000
60000000
450,000 malwares novos por dia
Número de malwares novos por ano
40000000
20000000
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
0
* Fonte: http://www.av-test.org/en/statistics/malware/
5
Compromisso de sistemas
60%
Percentagem de computadores infectados por país
50%
40%
30%
20%
32%
10%
0%
* Fonte: PandaLabs
6
TJMaxx
1,6M
1M
94 000 000
UK Revenue
& customs
25M
800K
Compromisso
de dados
AOL
20M
KDDI
4M
600K
2006
T-Mobile
Deutsche Telecom
3M
Cardsystems
40 000 000
Citigroup
3M
125K
2005
AOL
92 000 000
2004
US Dept. Vet Affairs
27M
Utilização fraudulenta
***Best DUMPS & PIN***
Dear costumer, I offer good quality dumps for sale both track 1 and 2 with pin.
My products include but not limited to VISA, MC, AMEX, CHASE, PAYPAL etc. All dumps are first
hand we do not resale dumps.
We do not negotiate or send test and do not waste our time if you do not have any money, We are legit
and honest dumps seller and all my prices are final. I can guarantee 90% and more good quality
dumps anything under 90% we'll replace but you'd be surprise how good our goods are.
We don't play games when I do business and if you try an do unfair business we'll stop at once. We
offer bonuses for long term costumers and long terms costumers will get discounts.
8
Lavagem de dinheiro
9
Defesa em profundidade
Segurança
Áreas de atuação
Informação
Pessoal
Física
Criptografia
Comunicações
Sistemas
Aplicacional
10
Envolvente
desimpedida
Plano
elevado
Muralha
exterior
Croa
Muralha
intermédia
Bastião
Fossa
Exterior
Muralha
interior
Ravelin
Fossa interior
Contra
escarpa
Porta interior
Escarpa
Arqueiros
Portas falsas
Porta
intermédia
Muralhas
reforçadas
Glacis
Porta póslinha
Canhões
Porta exterior
11
Segurança
física
Lockdown
Firewall
perimétrica
Revisão de
código
Firewall
exterior
Scans
IDS exterior
Firewall
interior
Testes de
penetração
IDS interior
Anti Virus
Autorização
Anti SPAM
Cifra
Honeypot
Autenticação
SIEM
Registos de
auditoria
Resposta a
incidentes
Controlo de
integridade
Gestão de
identidades
12
Segurança da informação
Exposure Rates for Different Geographical Regions
Exposure rate is calculated by the number of customers affected by Dridex and Dyre in a region
divided by the number of all customers in the region.
•Sistema de Gestão de Segurança de Informação
•Classificação de Informação
•Inventário de repositórios de informação
•Diagrama de fluxos de informação
•Participação em Fora de Segurança
•Gestão de fraude
13
Segurança de pessoal
Mattel nearly loses $3M to a classic phishing scam
A finance executive fell victim to a phishing scam that saw the Los Angeles-based maker of
children’s toys wire a cool $3 million to Chinese hackers.
Expertly timed during a period of corporate change, the email hit the inbox of the unnamed
executive and requested a new vendor payment in the amount of $3 million to a vendor in China.
•Política de Pessoal
•Regras para contratos de outsourcing
•Planos de emergência
•Planos de continuidade de negócio
•Plano de resposta a incidentes
•Security Awareness
14
Segurança física
Armed Robbery at Chicago Data Center - November 4, 2007
“At least two masked intruders entered the suite after cutting into the reinforced walls with a
power saw. During the robbery, the night manager was repeatedly tazered and struck with a blunt
instrument. At least 20 data servers were stolen.”
•Prevenção de incêndios
•Infraestrutura
•Intrusões
•Controlo de acessos
•Vigilância
•Destruição de informação sensível
15
Segurança criptográfica
128-bit crypto scheme allegedly cracked in 2hours
Whereas it was believed that it would take 40,000 times the age of the universe for all computers
on the planet to do it”, the supersingular curve DLP algorithm only lasted two hours on the 24core cluster used to crack it.
•Proteções criptográficas
• Confidencialidade
• Integridade
• Autenticação
• Autorização
• Não repudiação
•Desenho de arquiteturas criptográficas
• Algoritmos criptográficos aprovados
• Chaves criptográficas aprovadas
• Protocolos de segurança aprovados
16
Segurança de redes
Running OpenSSL? Patch now to fix
This compromises the secret keys used to identify the service providers and to encrypt the traffic,
the names and passwords of the users and the actual content. This allows attackers to eavesdrop
communications, steal data directly from the services and users and to impersonate services and
users.
•Protocolos de Segurança de comunicações
• SSL/TLS
• IPSEC
• WPA
•Mecanismos de defesa
• Arquitectura de defesa por camadas
• Segmentação de redes
• Firewalls
• IDS (Intrusion Detection System)
• IPS (Intrusion Prevention System)
17
Segurança de Sistemas
•Gestão de vulnerabilidades e patches
•Lockdown de Sistemas
•Deteção de malware
•Gestão de identidades
•Gestão do controlo de acessos
•WAF (Web apllication firewalls)
•Deteção de intrusão de sistemas (HIDS )
•Gestão de configurações (lockdown)
•SIEM (Gestão de Incidentes de Segurança)
25 novas vulnerabilidades publicadas diariamente
18
Segurança aplicacional
The dangers behind Apple's epic security flaw
The browser knows you’re really talking to the bank because it’s verified the site’s SSL certificate,
But the failure in Apple’s code means Secure Transport isn’t checking the certificates properly,
and anyone could masquerade as your banking site, your email, or worse.
•Security awareness para programadores
•Segregação de ambientes
•Gestão de alterações
•Proteção de aplicações mobile
•Análise de segurança de código
•Scans de segurança
•Testes de penetração
19
Segurança dos meios de pagamento
Proteção de meios de
pagamento
A cadeia de valor
Pagamentos presenciais
Pagamentos na internet 3DS
Pagamentos na internet – MB NET
Pagamentos móveis – MB WAY
Gestão de fraude
20
Proteção de meios de pagamento
• PIN
• Memorizável
• Alterável/personalizável
• Fácil de usar
• Cartão Magnético
• Transportável
• Robusto
• Fácil de usar
Algo que se sabe
Algo que se tem
21
Cartão Magnético & PIN
Conveniência
Segurança
John & Caroline Shepherd-Barron
Fator dual
22
Chip substitui a pista magnética
23
Pagamentos na internet
Payment details
Card Number:
1234 5678 9876 5432
Expiration Date:
12 /
99
Month
CVV2/CVC2:
2
Year
4
6
24
Pagamentos na internet – 3DS
• A EBA publicou em Dezembro de 2014 o documento “Guidelines on the Security of
Internet Payments”. O objectivo das guidelines é definir os requisitos mínimos de
segurança para serviços de pagamento na internet.
• São aplicáveis aos seguintes serviços de pagamento:
○ Pagamentos na Internet com cartão
○ Transferências a crédito efetuadas através da Internet
○ Mandatos eletrónicos (e-mandates) para os débitos diretos
○ Transferência entre contas de e-money efetuadas através da Internet
• As guidelines incluem 14 recomendações, a maioria das quais são medidas de
proteção de sistemas que estão em linha com processos e controlos que já são
adotados.
Um dos requisitos é que os pagamentos da internet terão que comportar
autenticação forte.
25
Pagamentos na internet – 3-D Secure
Autenticação 3-D Secure
Banco X
Banco Asterix
Para autorizar a
Compra efetuada no
Komerssio no valor
de EUR 123,00,
introduza o Código
SMS de Autorização
654 321
Comerciante:
Cartão:
Data de expiração:
Montante:
Komerssio
**** **** **** 5432
12/99
Eur 123,00
Foi enviado para o telemóvel com o número *** *** 123
um SMS com um código que deve preencher na caixa
abaixo.
Código SMS:
654 321
Autenticar
No momento do pagamento é enviado o SMS e solicitado o Código SMS ao
titular do cartão
26
Pagamentos na internet – 3-D Secure
Autenticação simples
PAN + DE + CVV2
Autenticação
Autenticação forte
PAN + DE + CVV2
&
Tlm + código SMS dinâmico
27
Geração de um cartão virtual MB NET
Banco Asterix
Banco Asterix
Banco Asterix
Banco X
O meu cartão
Valor diário disponível: €200
O meu cartão
O meu cartão
Valor diário disponível: €200
9,00
28
Compra com cartão virtual MB NET
29
Vantagens do cartão virtual MB NET
Validade
longa
Plafond
elevado
~2,5 anos
~5K€
Validade
Plafond
Validade
Curta
Plafond baixo
~2 meses
~100€
Na prática
~5 minutos
Na prática ~0€
30
Pagamentos na internet – MB WAY
Compra MB WAY
Banco Asterix
Banco Asterix
Banco Asterix
Banco Asterix
31
Pagamentos na internet – MB WAY
Autenticação simples
PAN + DE+ CVV2
Autenticação
Autenticação forte
Número de Telemóvel
&
Código MB WAY
(ou impressão digital)
32
Gestão de Fraude
○ Deteção e prevenção de fraude
○ Sistema em tempo real
○ Monitorização 24x365
○ Sistema centralizado e abrangente
○ Componente emissora na vertente doméstica e transfronteiriça
○ Componente aceitante na vertente de cartões nacionais e internacionais
○ Multicanal (ATM, POS, Internet e Mobile)
○ Investigação de fraude
○ Análise de correlações de fraude
○ Articulação com congéneres nacionais e internacionais
○ Articulação com forças policiais e judiciais
33
Resumo
Resumo
○ As empresas e os negócios nesta era digital estão expostas a novos riscos
○ A defesa contra estes riscos passa por atuar em diversas vertentes e com múltiplos
mecanismos de proteção numa estratégia de defesa em profundidade.
○ Os meios de pagamento são um dos alvos dos atacantes.
○ Pagamentos por cartões físicos gozam de rácios de fraude baixas.
○ A indústria procura soluções mais seguras procurando garantir níveis de
conveniência adequadas para o consumidor final.
34
RUA SOEIRO PEREIRA GOMES, LOTE 1
1649-031 LISBOA PORTUGAL
www.sibs.pt
35

SIBS - InvestLisboa

Transcrição

Documentos relacionados

Exercício 2014 / 2015

easypay - A easypay é uma empresa portuguesa que oferece uma

Plataforma de Pagamentos na sua loja Shopkit A Easypay é um

Parceria entre Telecom Italia e payleven visa aumentar aceitação

Inscrição Anual (Matrícula, Seguro, Material didáctico de uso

Portaria CAT nº 125,

Payvision expande serviço com a Moneybookers

Payway.pt é um serviço acreditado e certificado pela SIBS no apoio

PEC- FGV lança curso sobre inovações em pagamentos eletrônicos

Guia: Como Comprar