Proydesa | CCF
Upcoming SlideShare
Loading in...5
×
 

Proydesa | CCF

on

  • 742 views

 

Statistics

Views

Total Views
742
Views on SlideShare
742
Embed Views
0

Actions

Likes
0
Downloads
8
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Proydesa | CCF Proydesa | CCF Presentation Transcript

  • Evolución a través del tiempo
    Lic. Fernando O. Alonso, CISSP CCNA GSEC
    Fraudes con Tarjetasde Crédito
    20 años de innovación
    Desde su nacimiento en 1989, Fundación Proydesa ha adoptado como principal herramienta la investigación científica para el desarrollo y utilización de tecnología aplicada, actuando como nexo entre las instituciones educativas de nivel superior, entidades del sector público y privado y ciudadanos de la Argentina y demás países del mundo.
  • Tipos de delitos y fraudes
    • Fraudes financieros
    • Robos de identidad
    • Fraudes de tarjetas
    • Fraudes bancarios
  • Falsificación de Tarjetas
    • Se puede obtener una tarjeta por robo, hurto, propias vencidas o por búsqueda en los residuos.
    • Con esas tarjetas inválidas en los residuos, se utiliza el método de la plancha y el pañuelo.
    • Se cubre la tarjeta con un pañuelo como protección de los adhesivos, y el peso y calor de la plancha, alisa la tarjeta.
    • Con un punzón numérico o alfabético se talla el número deseado y la fecha.
    • ¿Que pasa con la cinta magnética? Se desmagnetiza, raya o raspa para inutilizarlas, y al ocurrir un “error” en el lector del comercio, el vendedor está obligado a chequear los datos por teléfono o por el impresor manual.
  • Contramedidasfallidas
    • Algunas tarjetas imprimen el número en el dorso. Sin embargo, los falsificadores pegan stickers con mensajes como “En caso de robo llamar a…” o “Tarjeta registrada”, etc.
    • Otros bancos le agregaron una foto del propietario que se saca en el banco mismo. Pero también tiene una falla. No es obligación para un cliente residir cerca del banco. En esos casos, el banco le solicita al cliente que envíe una foto por correo. ¿Quien verifica que esa persona es la de la foto enviada?
  • ¿Que se puedehacer al respecto?
    • Los comerciantes deben solicitar una identificación ante una tarjeta dudosa. En caso de irritación del cliente, el comerciante debe aclararle que es para proteger SU dinero.
    • Los propietarios de la tarjeta deben romper sus tarjetas y desechar sus partes en distintos residuos, de ser posible en distintos edificios.
  • La basura de uno… El tesoro de otro.
    • ¿Nunca han recibido esas cartas donde dicen que ud. ya ha sido pre-aprobado para una Tarjeta de Crédito, con la tarjeta incluida? Lo que uno generalmente hace es tirar la carta completa a la basura.
    • Esos formularios, junto con el plástico son recuperados por otras personas que SI responden el formulario con NUESTROS datos.
  • ¿De cuantasmaneras se puedeproducir un fraude en unatarjeta de crédito?
    • De muchas más formas de las que se pueden imaginar.
    • Una tarjeta de crédito se puede obtener robándola o duplicándola.
    • Pero no sólo es valiosa la tarjeta en sí, sino su información.
    • Se puede obtener una foto de la tarjeta.
    • Se pueden obtener sus datos por teléfono, por interferir correspondencia o llamados o conexiones de Internet, por hurguetear la basura, por tener cómplices en los Bancos, por acceder lícita o ilícitamente a las bases de datos.
  • ¿La tarjeta o suinformación?
    • ¿Qué es más importante? ¿La tarjeta en sí? ¿La posesión de la tarjeta? ¿O la información de ésta?
  • Interceptartráfico de red
  • Interceptartráfico de red
  • Interceptartráfico de red
  • VISA Argentina
  • VISA Argentina
  • Hacking a Bases de Datos
  • Hacking a Bases de Datos
    • No hay mucho que un usuario pueda hacer al respecto más que sus tarjetas de crédito pertenezcan a instituciones de prestigio.
    • En caso que un Comerciante y/o Proveedor tenga la información de su tarjeta, asegurarse que éstos cumplan con ciertas normas de seguridad.
  • PCI-DSS
    • Existe un estándar de seguridad llamado PCI DSS (PaymentCardIndustry – Data Security Standard) a la que las principales emisoras de tarjetas (Visa, MasterCard, Amex, Discover) obligan a las organizaciones (Bancos y toda organización que almacene datos de tarjetas) a cumplir con estrictas normas de seguridad para con la información de las tarjetas.
    • Sería prudente averiguar si las organizaciones que poseen los datos de nuestras tarjetas, cumplen con este estándar.
  • Keylogging
  • Keylogging
    • Siempre revisar la conexión del teclado y consultar por cualquier dispositivo desconocido o sospechoso.
    • Para colocar contraseñas se recomienda también utilizar teclados virtuales.
  • Phishing
  • Phishing
    • Se debe chequear el dominio del sitio: www.banco.com en vez de www.banco.pepe.com.
    • Se debe chequear el certificado o cualquier advertencia que arroje el navegador.
    • Ante cualquier duda verificar la información por otro medio, como teléfono, e-mail, sitios alternativos, etc.
    • Consultar o denunciar en sitios de autoridades anti-phishing como:
    • http://www.antiphishing.org
    • http://www.us-cert.gov/nav/report_phishing.html
    • http://www.fbi.gov/scams-safety/e-scams
  • Social Engineering o Ingeniería Social
  • Social Engineering o Ingeniería Social
    • Ante cualquier duda, nunca confiar. Siempre validar a la otra parte por un medio que lo certifique: Cortar la llamada y discar a quien dice ser, dominio del e-mail, solicitar credenciales, ajustarse a procedimientos, validar con sus superiores, etc.
    • Nunca confiar en simplemente un nombre, correo electrónico o número de caller-id.
    • Leer a Kevin Mitnick!!
  • Copias de Carbón
    • Se intenta terminar con el uso de las impresoras de recibos de tarjetas por carbónico por la información que guardan estos papeles.
  • Información de la tarjeta
    • Se debe estar precavido y saber donde están los datos de la tarjeta de uno.
  • Información de la tarjeta
    • CajerosAutomáticos
  • Información de la tarjeta
    • Sitios de Internet
  • Información de la tarjeta
    Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
  • Información de la tarjeta
    Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
  • Información de la tarjeta
    Fuente: Caracciolo, C & Sallis, E – The Low Hanging Fruit
  • Información de la tarjeta
    • Correspondencia
  • ¿Estásegurouno a quién le entregasutarjeta?
    • ¿Uno conoce al mozo que le entrega la tarjeta de crédito para pagar la cuenta?
    • Que un sitio web al que tipeamos la tarjeta es técnicamente seguro, pero… ¿Lo es éticamente? ¿Cual es el verdadero fin de ese sitio: Vender u obtener nuestra tarjeta?
    • Uno confía en la honestidad de la persona a la que le entrega la tarjeta. ¿Pero confía uno en la capacidad de mantenerlo confidencial?
  • ¿Estásegurouno a quién le entregasutarjeta?
  • ¿Estásegurouno a quién le entregasutarjeta?
  • Comprasfraudulentaspor Internet
    • ¿Porqué alguien compraría por Internet con una tarjeta robada o falsificada, si queda registrado el domicilio de entrega?
    • Se puede escribir un domicilio inexistente. En ese caso el Courier lo envía a depósito para ser retirado por el destinatario.
    • Lo único que solicitan (Si lo hacen) es pedir una identificación para retirar el envío. Ante la presentación de una identificación falsa (Documento, cédula, licencia de conducir, etc.), en depósito no tienen forma de verificar la veracidad de los datos de la persona.
  • Las tarjetas y el e-mail
    • ¿Que relación puede tener un fraude de tarjetas de crédito con un e-mail?
    • Muchos sitios de e-commerce piden que se registre el e-mail del usuario.
    • Si un estafador tiene acceso a modificar el e-mail, ya sea por una sesión abierta, por teléfono, por correspondencia o por algún error del usuario, entonces puede solicitar un blanqueo de contraseña del sitio por olvido.
    • Muchos usuarios cuidan las contraseñas y los PINs de sus tarjetas, pero no cuidan la contraseña de sus e-mails.
    • La nueva contraseña se enviará por e-mail.
    • Una vez ingresado, puede comprar productos, por ejemplo, que se puedan bajar, como e-books en Amazon o música en iTunesStore. O peor aún: Utilizar PayPal como medio de pago.
  • La tarjeta de regreso
    • ¿Alguien revisa con detenimiento que una vez realizado un pago en un comercio, la tarjeta que se nos devuelve es exactamente la nuestra?Pueden devolvernos una similar, falsificada, vencida u otra ya denunciada. Esto ocurre frecuentemente.
  • Skimmers
  • El llamado de la billeteraperdida
    • Han habido muchos casos de extravío de billeteras, donde una persona llama al propietario avisando haberla hallado, y que se la devolverá al instante o la llevará a un correo o buzón.
    • Suelen ser falsificadores que realizan el llamado para ganar tiempo y que el propietario no haga la denuncia inmediatamente.
    • Siempre se debe hacer la denuncia de inmediato, sin importar llamados telefónicos.
  • El chequecancelatorio
    • Un método utilizado para robar con tarjetas falsificadas o robadas es a través de un cheque.
    • Con una tarjeta robada o falsificada, se puede pagar su crédito al día del vencimiento con un cheque.
    • Ese cheque tiene un valor superior al crédito a pagar.
    • Automáticamente, el exceso se acredita en el crédito de la tarjeta para su uso inmediato. Mientras el cheque demora 48 o 72 horas en conciliar su acreditación.
    • Obviamente el cheque es falso.
    • El falsificador tuvo 48 horas para usar ese crédito.
  • Tarjetas de débito
    • Las tarjetas de débito no afectan nuestro historial de crédito ya que son un cheque plástico. El importe es debitado inmediatamente de la cuenta.
    • Es más apropiado que la tarjeta de crédito? Mientras que la tarjeta de crédito tiene un plazo de vencimiento y por ende de percatarnos de un fraude, el débito no. Una vez advertidos, ya es tarde.
    • Con una tarjeta de crédito podemos rehusar un pago, e inclusivo intervenir a la justicia. Con el débito también, pero mientras tanto, el perjudicado es el usuario.
  • Autenticidadporholograma
    • El holograma en la tarjeta es otro método de autenticidad.
    • Sin embargo hoy en día existen cientos de fabricantes de hologramas, mayoritariamente en Taiwán, Hong Kong y China.
    • La principal diferencia radica que las legítimas tienen el holograma dentro del plástico.
    • Las falsificadas, generan un relieve sensible al tacto ya que son adheridas por fuera.
  • Smart Cards
    • Hoy en día, a las tarjetas se les agrega cierto chip inteligente con toda la información de autenticación encriptada.
    • Un estudiante de la Universidad de California en Berkeley, pudo romper el código de 40-bits en 4 horas.
    • Científicos de Bellcore, California, pudieron romper el código RSA, unas semanas después.
    • Todo ayuda, pero todo es vulnerable. Sólo hay que ser consciente de ello.
  • Smart Cards
    • Otro método es la irradiación de la tarjeta. No es necesario ser un criptógrafo profesional para inutilizar el chip. Si se lo somete a radiación, el chip queda inutilizado, obligando a usar las viejas técnicas.
    • Para irradiarlo no es necesario poseer una central nuclear. Los rayos-X son suficientes. Con dejar una tarjeta escondida en una sala de radiografías, o aplicarle una radiógrafo de odontología, ya queda inutilizada.
  • Investigación de fraudes
    • Los fraudes con tarjetas son fáciles de aplicar, pero también fáciles de rastrear ya que las transacciones fraudulentas quedan registradas y pueden ser fácilmente investigadas y correlacionadas.
    • Ejemplo: Los sistemas antifraudes llevan a cabo una correlación de todas las tarjetas comprometidas, y buscan comercios en común
  • El futuro de lastarjetas.
    • En el futuro, nuevas técnicas de pago y seguridad se irán aplicando. Y a éstas técnicas, nuevas destrezas aparecerán por parte de los falsificadores para contrarrestarlas. (Por ejemplo: ¿Que pasará con Google Wallet en el futuro? ¿A nadie le aterra la idea de una billetera con dirección IP o conexión bluetooth?).
    • La mejor medida que se puede tomar es la concientización, tanto de los prestadores, de los comerciantes, de las aseguradoras, y principalmente, de los usuarios.
  • ¡¡¡Muchas Gracias!!!
    • ¿Consultas?
    • ¿Dudas?
    • ¿Preguntas?
    • ¿Comentarios?
    Futuras dudas, favor de realizarlas a falonso@proydesa.org