2016-06-23
Proteção dos meios de pagamento
Agenda
Contexto do cibercrime
Desenvolver uma proteção em profundidade
Proteção dos meios de pagamento
2
O contexto do cibercrime
3
A cadeia de valor
Procura de vulnerabilidades
Desenvolvimento de malware
Compromisso de sistemas
Compromisso de dados
Utilização fraudulenta
Lavagem de dinheiro
Cibercrime
O contexto do cibercrime
4
Procura de vulnerabilidades
0
2000
4000
6000
8000
10000
120001988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
Número de vulnerabilidades por ano
25 vulnerabilidades por dia
0
20000000
40000000
60000000
80000000
100000000
1984
1985
1986
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
Número de malwares novos por ano
O contexto do cibercrime
5
Desenvolvimento de malware
* Fonte: http://www.av-test.org/en/statistics/malware/
450,000 malwares novos por dia
0%
10%
20%
30%
40%
50%
60%
Percentagem de computadores infectados por país
32%
O contexto do cibercrimeCompromisso de sistemas
6* Fonte: PandaLabs
2004
AOL92 000 000
2005125K
Citigroup3M
KDDI4M T-Mobile
Deutsche Telecom3M
US Dept. Vet Affairs27M
Cardsystems40 000 000
UK Revenue& customs
25M
2006
2007
AOL20M
600K
800K
1,6M1MTJMaxx94 000 000
8,6M
O contexto do cibercrimeCompromisso de dados
***Best DUMPS & PIN***
Dear costumer, I offer good quality dumps for sale both track 1 and 2 with pin.
My products include but not limited to VISA, MC, AMEX, CHASE, PAYPAL etc. All dumps are first
hand we do not resale dumps.
We do not negotiate or send test and do not waste our time if you do not have any money, We are legit
and honest dumps seller and all my prices are final. I can guarantee 90% and more good quality
dumps anything under 90% we'll replace but you'd be surprise how good our goods are.
We don't play games when I do business and if you try an do unfair business we'll stop at once. We
offer bonuses for long term costumers and long terms costumers will get discounts.
O contexto do cibercrimeUtilização fraudulenta
8
O contexto do cibercrime
9
Lavagem de dinheiro
Defesa em profundidadeÁreas de atuação
10
Informação
Pessoal
Física
Criptografia
Comunicações
Sistemas
Aplicacional
Se
gu
rança
Envolventedesimpedida
Escarpa
Porta pós-linha
Porta exterior
Contra escarpa
Ravelin
Canhões
11
Defesa em profundidade
Muralhaexterior
Croa
Bastião
Portas falsas
Arqueiros
Glacis
Muralhasreforçadas
Muralhaintermédia
Muralhainterior
Fossa Exterior
Fossa interior
Porta intermédia
Porta interior
Plano elevado
Segurança física
Anti SPAM
Resposta a incidentes
Gestão de identidades
Anti Virus
Testes de penetração
Controlo de integridade
12
Defesa em profundidade
Firewall perimétrica
Revisão de código
Scans
Honeypot
Cifra
Registos de auditoria
SIEM
Firewall exterior
Firewall interior
IDS exterior
IDS interior
Autenticação
Autorização
Lockdown
Defesa em profundidadeSegurança da informação
13
Exposure Rates for Different Geographical Regions
Exposure rate is calculated by the number of customers affected by Dridex and Dyre in a region
divided by the number of all customers in the region.
•Sistema de Gestão de Segurança de Informação
•Classificação de Informação
•Inventário de repositórios de informação
•Diagrama de fluxos de informação
•Participação em Fora de Segurança
•Gestão de fraude
Defesa em profundidadeSegurança de pessoal
14
Mattel nearly loses $3M to a classic phishing scam
A finance executive fell victim to a phishing scam that saw the Los Angeles-based maker of
children’s toys wire a cool $3 million to Chinese hackers.
Expertly timed during a period of corporate change, the email hit the inbox of the unnamed
executive and requested a new vendor payment in the amount of $3 million to a vendor in China.
•Política de Pessoal
•Regras para contratos de outsourcing
•Planos de emergência
•Planos de continuidade de negócio
•Plano de resposta a incidentes
•Security Awareness
Defesa em profundidadeSegurança física
15
Armed Robbery at Chicago Data Center - November 4, 2007
“At least two masked intruders entered the suite after cutting into the reinforced walls with a
power saw. During the robbery, the night manager was repeatedly tazered and struck with a blunt
instrument. At least 20 data servers were stolen.”
•Prevenção de incêndios
•Infraestrutura
•Intrusões
•Controlo de acessos
•Vigilância
•Destruição de informação sensível
Defesa em profundidadeSegurança criptográfica
16
128-bit crypto scheme allegedly cracked in 2hours
Whereas it was believed that it would take 40,000 times the age of the universe for all computers
on the planet to do it”, the supersingular curve DLP algorithm only lasted two hours on the 24-
core cluster used to crack it.
•Proteções criptográficas
•Confidencialidade
• Integridade
•Autenticação
•Autorização
•Não repudiação
•Desenho de arquiteturas criptográficas
•Algoritmos criptográficos aprovados
•Chaves criptográficas aprovadas
•Protocolos de segurança aprovados
Defesa em profundidadeSegurança de redes
17
Running OpenSSL? Patch now to fix
This compromises the secret keys used to identify the service providers and to encrypt the traffic,
the names and passwords of the users and the actual content. This allows attackers to eavesdrop
communications, steal data directly from the services and users and to impersonate services and
users.
•Protocolos de Segurança de comunicações
•SSL/TLS
• IPSEC
•WPA
•Mecanismos de defesa
•Arquitectura de defesa por camadas
•Segmentação de redes
•Firewalls
• IDS (Intrusion Detection System)
• IPS (Intrusion Prevention System)
Defesa em profundidadeSegurança de Sistemas
18
25 novas vulnerabilidades publicadas diariamente
•Gestão de vulnerabilidades e patches
•Lockdown de Sistemas
•Deteção de malware
•Gestão de identidades
•Gestão do controlo de acessos
•WAF (Web apllication firewalls)
•Deteção de intrusão de sistemas (HIDS )
•Gestão de configurações (lockdown)
•SIEM (Gestão de Incidentes de Segurança)
Defesa em profundidadeSegurança aplicacional
19
The dangers behind Apple's epic security flaw
The browser knows you’re really talking to the bank because it’s verified the site’s SSL certificate,
But the failure in Apple’s code means Secure Transport isn’t checking the certificates properly,
and anyone could masquerade as your banking site, your email, or worse.
•Security awareness para programadores
•Segregação de ambientes
•Gestão de alterações
•Proteção de aplicações mobile
•Análise de segurança de código
•Scans de segurança
•Testes de penetração
Segurança dos meios de pagamento
20
A cadeia de valor
Pagamentos presenciais
Pagamentos na internet 3DS
Pagamentos na internet – MB NET
Pagamentos móveis – MB WAY
Gestão de fraudePro
teçã
ode m
eio
s d
e
pagam
ento
Proteção de meios de pagamento
• PIN• Memorizável
• Alterável/personalizável
• Fácil de usar
21
Pagamentos presenciais
Algo que se sabe
• Cartão Magnético• Transportável
• Robusto
• Fácil de usar
Algo que se tem
Proteção de meios de pagamento
22
Pagamentos presenciais
Fator dual
Cartão Magnético & PIN
Conveniência Segurança
John & Caroline Shepherd-Barron
Proteção de meios de pagamento
23
Pagamentos presenciais
Chip substitui a pista magnética
Proteção de meios de pagamento
24
Pagamentos na internet
Payment details
Card Number:
Expiration Date: /
CVV2/CVC2:
1234 5678 9876 5432
12 99
2 4 6
Month Year
Proteção de meios de pagamento
25
Pagamentos na internet – 3DS
• A EBA publicou em Dezembro de 2014 o documento “Guidelines on the Security of
Internet Payments”. O objectivo das guidelines é definir os requisitos mínimos de
segurança para serviços de pagamento na internet.
• São aplicáveis aos seguintes serviços de pagamento:
○ Pagamentos na Internet com cartão
○ Transferências a crédito efetuadas através da Internet
○ Mandatos eletrónicos (e-mandates) para os débitos diretos
○ Transferência entre contas de e-money efetuadas através da Internet
• As guidelines incluem 14 recomendações, a maioria das quais são medidas de
proteção de sistemas que estão em linha com processos e controlos que já são
adotados.
Um dos requisitos é que os pagamentos da internet terão que comportar
autenticação forte.
Autenticação 3-D Secure
Código SMS: 654 321
Comerciante:Cartão:
Data de expiração:Montante:
Banco X
Komerssio**** **** **** 543212/99Eur 123,00
Foi enviado para o telemóvel com o número *** *** 123 um SMS com um código que deve preencher na caixa
abaixo.
Autenticar
Proteção de meios de pagamento
26
Pagamentos na internet – 3-D Secure
No momento do pagamento é enviado o SMS e solicitado o Código SMS ao
titular do cartão
Para autorizar a Compra efetuada no Komerssio no valor de EUR 123,00, introduza o Código SMS de Autorização 654 321
Banco Asterix
Proteção de meios de pagamento
27
Pagamentos na internet – 3-D Secure
Autenticação
Autenticação simples
PAN + DE + CVV2
Autenticação forte
PAN + DE + CVV2
&
Tlm + código SMS dinâmico
Proteção de meios de pagamento
28
Pagamentos na internet – MB NET
Banco Asterix
Geração de um cartão virtual MB NET
O meu cartãoValor diário disponível: €200
Banco X
O meu cartão
Banco AsterixBanco Asterix
O meu cartãoValor diário disponível: €200
9,00
Proteção de meios de pagamento
29
Pagamentos na internet – MB NET
Compra com cartão virtual MB NET
Proteção de meios de pagamento
30
Pagamentos na internet – MB NET
Vantagens do cartão virtual MB NET
Validade
Validade
longa
~2,5 anos
Validade
Curta
~2 meses
Na prática
~5 minutos
Plafond
Plafond
elevado
~5K€
Plafond baixo
~100€
Na prática ~0€
Proteção de meios de pagamento
31
Pagamentos na internet – MB WAY
Compra MB WAY
Banco Asterix Banco AsterixBanco AsterixBanco Asterix
Proteção de meios de pagamento
32
Pagamentos na internet – MB WAY
Autenticação
Autenticação simples
PAN + DE+ CVV2
Autenticação forte
Número de Telemóvel
&
Código MB WAY
(ou impressão digital)
Proteção de meios de pagamento
○ Deteção e prevenção de fraude
○ Sistema em tempo real
○ Monitorização 24x365
○ Sistema centralizado e abrangente○ Componente emissora na vertente doméstica e transfronteiriça
○ Componente aceitante na vertente de cartões nacionais e internacionais
○ Multicanal (ATM, POS, Internet e Mobile)
○ Investigação de fraude
○ Análise de correlações de fraude
○ Articulação com congéneres nacionais e internacionais
○ Articulação com forças policiais e judiciais
33
Gestão de Fraude
Resumo
○ As empresas e os negócios nesta era digital estão expostas a novos riscos
○ A defesa contra estes riscos passa por atuar em diversas vertentes e com múltiplos
mecanismos de proteção numa estratégia de defesa em profundidade.
○ Os meios de pagamento são um dos alvos dos atacantes.
○ Pagamentos por cartões físicos gozam de rácios de fraude baixas.
○ A indústria procura soluções mais seguras procurando garantir níveis de
conveniência adequadas para o consumidor final.
34
Resumo
RUA SOEIRO PEREIRA GOMES, LOTE 1
1649-031 LISBOA PORTUGAL
www.sibs.pt
35
Top Related