Deivison Pinheiro Franco
TC3 – Analista Pleno
Ramal: 3828
Medidas para Conter Fraudes e Subsidiar
Inteligência Antifraude em Bancos
DINEG – Diretoria de Infraestrutura do Negócio
SECTI – Secretaria Executiva de Tecnologia da Informação
COSTI – Coordenadoria de Segurança de Tecnologia da Informação
Quem sou eu?
TC 3 - Analista Pleno de Segurança da Informação do Banco da Amazônia;
Mestrando em Inovação Tecnológica com Linha de Pesquisa em Segurança da
Informação, Especialista em Ciências Forenses com Ênfase em Computação
Forense, em Suporte a Redes de Computadores e em Redes de Computadores
e Graduado em Processamento de Dados;
Membro Titular da Sociedade Brasileira de Ciências Forenses, Perito Judicial em
Forense Computacional, Auditor de TI e Pentester;
Professor da FCAT, do CESUPA, do IFPA e do IESAM;
Colunista das Revistas Segurança Digital, Convergência Digital, Espírito Livre,
Hakin9 e eForensics Magazine;
Certificações: ISO/IEC 27002 Foundation e Advanced, CEH – Certified Ethical
Hacker, CHFI – Certified Hacking Forensic Investigator, CIFI – Certified
Information Forensic Investigator, CFCE – Certified Forensic Computer Examiner
e DSFE – Data Security Forensics Examiner.
Agenda
Contexto das Fraudes
Evolução das Fraudes
Roubo de Identidade
Perfil do Fraudador
Medidas Adotadas para Prevenção
Soluções Disponíveis e Medidas Preventivas
Conclusão
Contexto das Fraudes
Por dia, quase 80 mil brasileiros são vítimas de fraudes
Mundialmente, o custo das fraudes é calculado em US$ 144
bilhões/ano
Estima-se que 36 milhões de brasileiros foram vítimas, em 2012, de
fraudes
Prejuízo financeiro em 2012 em torno de R$ 15,3 bilhões
Evolução das Fraudes
Fraudes Offline (Sem conexão à Internet)
Fraudes em ATMs/Cartões 28%
Técnicas Conhecimento técnico do funcionamento do ATM / Conhecimento
dos procedimentos para clonagem
Não técnicas Engenharia Social
» Fraudes mais comuns «
Fraudes Online (Com Conexão à Internet)
Vírus e Malwares 42% das fraudes
Phishing/Scaming 11% das fraudes
Redes sociais 19% das fraudes
Roubo de Identidade
Uso indevido da informação de uma pessoa, a fim de se obter
benefícios em seu nome
70% dos casos online
30% offline
Formas mais comuns de roubo de identidade:
Clonagem / Skimming
Roubo / Furto tradicional
Informações em formulários de internet Phishing / Scaming
Mercado negro
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em ATMs
Skimming
Roubo de Identidades em POS
Cloning
Vídeos
Demonstração de skimming
Demonstração de POS cloning
Demonstração de alteração de ATMs
Perfil do Fraudador
Na Agência
Conhecem os mecanismos de funcionamento dos ATMs
Conhecem os mecanismos/rotinas de segurança da Agência
Bem vestidos, com boa conversa, usualmente de óculos escuros e com bonés
“Solícitos” e “prestativos” Abordam clientes aparentemente leigos / ingênuos
com o intuito de “ajudar” Engenharia social
Geralmente permanecem ou retornam ao local como se nada tivesse
acontecido
Fora da Agência
Postos de gasolina, lojas de conveniências e mercearias
Levam o cartão do cliente para outro lugar longe do alcance de percepção
POS alterados para clonagem
Medidas Preventivas
Contra Fraudes Online
Antivírus
Certificação Digital / Token
Teclado Virtual / Plugin
Autenticação de 2 ou mais fatores (senha + contrassenha)
Cartão com chaves de segurança
Contra Fraudes Offline
Cartão com chip
Aviso por SMS
Anti Skimers
Medidas Preventivas
Contra Fraudes Online Internet Banking
Senha de Internet
Senha eletrônica
Cartão de senhas
Plugin da Gas
Contra Fraudes Offline ATMs
Senha Numérica (6 posições)
Senha Alfabética (de 3 a 6 caracteres)
Identificação positiva (dia, mês ou ano de nascimento + sequencial numérico
do cartão todos aleatórios)
Cartão com chip (em fase de implantação)
Medidas Preventivas - SMS
Notificações de transações acima de R$100,00
Vantagem
Acompanhamento de transações atípicas
Desvantagem
Atualmente em caso de notificações anômalas em uma sexta-feira à noite, o
cliente tem que aguardar até segunda-feira pela manhã para bloquear/cancelar
o cartão
Bloqueio de cartão no ATM Locais onde não há agência/ATM não há essa
possibilidade
Sugestão
Possibilidade de cancelamento 24/7
Medidas Preventivas - Cartão
Tarja magnética
Vantagem
Fácil implantação
Desvantagens
Entrando em obsolescência
Fácil clonagem
Sugestão
Migração para cartão com chip
Medidas Preventivas - Cartão
Vantagens
Nova tendência de identificação
Atende solução de segurança das bandeiras (conectividade mais segura)
Atende Internet Banking e ATMs
“Desvantagem”
Adequação dos ATMs Leitores de cartão com chip (smartcard)
Soluções Disponíveis para Prevenção das
Fraudes Bancárias Mais Comuns
Autenticação
Prevenção de Fraudes em ATMs
Anti Skimmers
Prevenção de Fraudes em ATMs
Anti Skimmers
Outras Medidas Preventivas
Mudança cultural, educação e conscientização de clientes
Divulgação de informativos a respeito de segurança de informações bancárias
(cuidado com senhas, cartões, ajuda de estranhos etc.)
Orientar o cliente acerca de comportamentos atípicos mais comuns em ATMs
(comparação com outros ATMs)
Capacitar o pessoal das agências, também, acerca da identificação de
comportamentos atípicos em ATMs (comparação com outros ATMs)
Cartão com chip (em fase de implantação)
Cancelamento 24/7
Conclusão
A tecnologia trouxe melhorias para os negócios, mas também
criou um novo terreno para os fraudadores
Há várias ferramentas/mecanismos para prevenção de fraudes
bancárias SMS, Plugin de Segurança, Cartão com Chip
A perspectiva é de que seja cada vez mais necessário o
trabalho de prevenção, conscientização, resposta a incidentes,
aquisição de novas tecnologias para prevenção de fraudes
As medidas/soluções preventivas evoluem a cada dia...
E os fraudadores também!
OBRIGADO!
DEIVISON PINHEIRO FRANCOTC3 - ANALISTA PLENO
MEMBRO TITULAR DA SOCIEDADE BRASILEIRA DE CIÊNCIAS FORENSES
PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER
ISO/IEC – 27002 FOUNDATION/ADVANCED
CEH – CERTIFIED ETHICAL HACKER
CHFI – CERTIFIED HACKING FORENSIC INVESTIGATOR
CIFI – CERTIFIED INFORMATION FORENSIC INVESTIGATOR
CFCE – CERTIFIED FORENSIC COMPUTER EXAMINER
DSFE – DATA SECURITY FORENSICS EXAMINER
Ramal: 3828
DIRETORIA DE INFRAESTRUTURA DO NEGÓCIO - DINEG
SECRETARIA EXECUTIVA DE TECNOLOGIA DA INFORMAÇÃO - SECTI
COORDENADORIA DE SEGURANÇA DE TECNOLOGIA DA INFORMAÇÃO - COSTI
Top Related