2. Agenda
1. Fraude
• Phishing
• Pharming
• Cartões de Crédito
• Alguns exemplos
• Alguns números
2. (Alguns) métodos de combate
3. (Algumas) soluções
4. Q & A
15/09/2011 InfoSec Day 2011 2
3. Definições
Fraude:
Num sentido amplo, mas legal, uma fraude é
qualquer crime ou acto ilegal para lucro daquele que
faz uso de algum logro ou ilusão praticada na vítima
como seu método principal.
Fonte: Wikipedia
15/09/2011 InfoSec Day 2011 3
4. Definições
Definição
Phishing:
É uma forma de tentar obter informação sensível tal
como nome de utilizador, palavra passe e
informações do cartão de crédito, fazendo-se passar
por uma entidade confiável, numa comunicação
electrónica.
Fonte: http://en.wikipedia.org/wiki/Phishing
15/09/2011 InfoSec Day 2011 4
5. Definições
Pharming:
Ataque baseado na técnica de “envenenamento” de
cache que consiste em corromper o DNS (Domain
Name System), fazendo com que o URL (Uniform
Resource Locator) de um site passe a apontar para
um servidor diferente do original.
Fonte: http://en.wikipedia.org/wiki/Pharming
15/09/2011 InfoSec Day 2011 5
6. Definições
Cartões de Crédito (CC):
A fraude com este meio de pagamento é vasta e vai
desde o uso fraudulento do próprio CC até qualquer
outro mecanismo similar de pagamento que faça uso
de fundos numa transacção. O propósito pode ser
obter bens ou serviços sem pagar ou o acesso não
autorizado a fundos numa conta.
Fonte: http://en.wikipedia.org/wiki/Credit_card_fraud
15/09/2011 InfoSec Day 2011 6
9. Alguns exemplos
Os comerciantes podem ser seriamente afectados pela ameaça
de fraude no e-commerce – não só por perdas por fraudes
reais, mas pela perda de negócio devido ao receio do cliente
efectuar transacções online.
• 65% dos compradores online desistiram do cesto de compras ou
não conseguiram completar uma compra porque não tinham a
sensação de segurança e confiança no momento de fornecer
dados para pagamento
• 78% dos consumidores online nos EUA afirmam ter receio com a
segurança na Internet ao efectuar compras em sites online*.
*Fonte: Forrester Consumer Research
15/09/2011 InfoSec Day 2011 9
10. Alguns exemplos
Num recente estudo conduzido pela RSA, 68% dos
inquiridos afirmaram que se sentiam desde “algo” a
“extremamente” ameaçados pela fraude online e
pelo roubo da identidade.
Adicionalmente, a Gartner reportou recentemente
que a fraude relacionada com o roubo de identidade
cresceu 50% desde há três anos a esta parte, com
cerca de 15 milhões de casos a serem reportados em
2006.
15/09/2011 InfoSec Day 2011 10
11. Alguns números
Ataques de Phishing: Ataques a Marcas:
por mês
15/09/2011 InfoSec Day 2011 11
12. Métodos de Combate
Como podemos proteger os nossos clientes rapidamente?
O que podemos fazer para proteger contra as ameaças
emergentes, tais como “trojans” e ataques “man-in-the-
middle"?
Como poderemos identificar a fraude sem afectar o
utilizador final nem causar disrupção nos sistemas e
processos actuais?
15/09/2011 InfoSec Day 2011 12
13. Métodos de Combate
Como podemos proteger os nossos clientes rapidamente?
15/09/2011 InfoSec Day 2011 13
14. Métodos de Combate
Autenticação baseada no Risco
15/09/2011 InfoSec Day 2011 14
15. Métodos de Combate
Autenticação baseada no Risco
A autenticação baseada no risco é uma autenticação multi-factor:
• É sempre aplicada “em cima” do nome de utilizador e palavra-passe (algo que se
sabe: primeiro factor)
• Examina sempre as características do dispositivo (algo que se tem: segundo
factor)
• Examina sempre os diferentes comportamentos do utilizador (algo que se faz:
terceiro factor)
• Para além destes três factores, a "autenticação avançada" pode ser invocada sob
a forma de algo que se sabe (perguntas de reconhecimento) ou algo que se tem
(autenticação por telefone "out-of-band"), quando se determina que uma actividade
é de alto risco ou quando uma política da empresa é violada.
15/09/2011 InfoSec Day 2011 15
16. Métodos de Combate
Controlo de Transacções
15/09/2011 InfoSec Day 2011 16
17. Métodos de Combate
Controlo de Transacções
O Controlo de Transacções funciona com qualquer solução de
autenticação já existente, incluindo:
• Login e palavra-passe estático
• Tokens de palavra-passe única de diferentes fornecedores
• Autenticação por cartão inteligente CAP/ DPA
• Listas TAN ou iTAN (Cartões Bingo/Scratch/Matrix)
• Soluções PKI-based/client software (não baseadas em browser).
• Autenticação por SMS
• Cumulativos (vários dos anteriores)
15/09/2011 InfoSec Day 2011 17
18. Métodos de Combate
Inscrição na Autenticação Site-to-user
15/09/2011 InfoSec Day 2011 18