Fraude Bancária

467 views
363 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
467
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Fraude Bancária

  1. 1. Fraude Bancáriae (alguns) métodos de combate InfoSec Day 2011
  2. 2. Agenda 1. Fraude • Phishing • Pharming • Cartões de Crédito • Alguns exemplos • Alguns números 2. (Alguns) métodos de combate 3. (Algumas) soluções 4. Q & A15/09/2011 InfoSec Day 2011 2
  3. 3. Definições Fraude: Num sentido amplo, mas legal, uma fraude é qualquer crime ou acto ilegal para lucro daquele que faz uso de algum logro ou ilusão praticada na vítima como seu método principal. Fonte: Wikipedia15/09/2011 InfoSec Day 2011 3
  4. 4. Definições Definição Phishing: É uma forma de tentar obter informação sensível tal como nome de utilizador, palavra passe e informações do cartão de crédito, fazendo-se passar por uma entidade confiável, numa comunicação electrónica. Fonte: http://en.wikipedia.org/wiki/Phishing15/09/2011 InfoSec Day 2011 4
  5. 5. Definições Pharming: Ataque baseado na técnica de “envenenamento” de cache que consiste em corromper o DNS (Domain Name System), fazendo com que o URL (Uniform Resource Locator) de um site passe a apontar para um servidor diferente do original. Fonte: http://en.wikipedia.org/wiki/Pharming15/09/2011 InfoSec Day 2011 5
  6. 6. Definições Cartões de Crédito (CC): A fraude com este meio de pagamento é vasta e vai desde o uso fraudulento do próprio CC até qualquer outro mecanismo similar de pagamento que faça uso de fundos numa transacção. O propósito pode ser obter bens ou serviços sem pagar ou o acesso não autorizado a fundos numa conta. Fonte: http://en.wikipedia.org/wiki/Credit_card_fraud15/09/2011 InfoSec Day 2011 6
  7. 7. Alguns exemplos15/09/2011 InfoSec Day 2011 7
  8. 8. Alguns exemplos15/09/2011 InfoSec Day 2011 8
  9. 9. Alguns exemplos Os comerciantes podem ser seriamente afectados pela ameaça de fraude no e-commerce – não só por perdas por fraudes reais, mas pela perda de negócio devido ao receio do cliente efectuar transacções online. • 65% dos compradores online desistiram do cesto de compras ou não conseguiram completar uma compra porque não tinham a sensação de segurança e confiança no momento de fornecer dados para pagamento • 78% dos consumidores online nos EUA afirmam ter receio com a segurança na Internet ao efectuar compras em sites online*. *Fonte: Forrester Consumer Research15/09/2011 InfoSec Day 2011 9
  10. 10. Alguns exemplos Num recente estudo conduzido pela RSA, 68% dos inquiridos afirmaram que se sentiam desde “algo” a “extremamente” ameaçados pela fraude online e pelo roubo da identidade. Adicionalmente, a Gartner reportou recentemente que a fraude relacionada com o roubo de identidade cresceu 50% desde há três anos a esta parte, com cerca de 15 milhões de casos a serem reportados em 2006.15/09/2011 InfoSec Day 2011 10
  11. 11. Alguns números Ataques de Phishing: Ataques a Marcas: por mês15/09/2011 InfoSec Day 2011 11
  12. 12. Métodos de CombateComo podemos proteger os nossos clientes rapidamente?O que podemos fazer para proteger contra as ameaçasemergentes, tais como “trojans” e ataques “man-in-the-middle"?Como poderemos identificar a fraude sem afectar outilizador final nem causar disrupção nos sistemas eprocessos actuais? 15/09/2011 InfoSec Day 2011 12
  13. 13. Métodos de CombateComo podemos proteger os nossos clientes rapidamente?15/09/2011 InfoSec Day 2011 13
  14. 14. Métodos de Combate Autenticação baseada no Risco15/09/2011 InfoSec Day 2011 14
  15. 15. Métodos de Combate Autenticação baseada no Risco A autenticação baseada no risco é uma autenticação multi-factor: • É sempre aplicada “em cima” do nome de utilizador e palavra-passe (algo que se sabe: primeiro factor) • Examina sempre as características do dispositivo (algo que se tem: segundo factor) • Examina sempre os diferentes comportamentos do utilizador (algo que se faz: terceiro factor) • Para além destes três factores, a "autenticação avançada" pode ser invocada sob a forma de algo que se sabe (perguntas de reconhecimento) ou algo que se tem (autenticação por telefone "out-of-band"), quando se determina que uma actividade é de alto risco ou quando uma política da empresa é violada.15/09/2011 InfoSec Day 2011 15
  16. 16. Métodos de Combate Controlo de Transacções15/09/2011 InfoSec Day 2011 16
  17. 17. Métodos de Combate Controlo de Transacções O Controlo de Transacções funciona com qualquer solução de autenticação já existente, incluindo: • Login e palavra-passe estático • Tokens de palavra-passe única de diferentes fornecedores • Autenticação por cartão inteligente CAP/ DPA • Listas TAN ou iTAN (Cartões Bingo/Scratch/Matrix) • Soluções PKI-based/client software (não baseadas em browser). • Autenticação por SMS • Cumulativos (vários dos anteriores)15/09/2011 InfoSec Day 2011 17
  18. 18. Métodos de Combate Inscrição na Autenticação Site-to-user15/09/2011 InfoSec Day 2011 18
  19. 19. Métodos de Combate15/09/2011 InfoSec Day 2011 19
  20. 20. Métodos de Combate Resumo15/09/2011 InfoSec Day 2011 20
  21. 21. Algumas Soluções15/09/2011 InfoSec Day 2011 21
  22. 22. Algumas Soluções15/09/2011 InfoSec Day 2011 22
  23. 23. Algumas Soluções15/09/2011 InfoSec Day 2011 23
  24. 24. Algumas Soluções15/09/2011 InfoSec Day 2011 24
  25. 25. Algumas Soluções15/09/2011 InfoSec Day 2011 25
  26. 26. Algumas Soluções15/09/2011 InfoSec Day 2011 26
  27. 27. Q&A Luís Martins luis.martins@glintt.com15/09/2011 InfoSec Day 2011 27

×