Diapositivas presentadas por Roberto Opazo, Director ejecutivo Khipu, en el Workshop "Cómo aumentar la tasa de conversión de su canal Online" en Santiago de Chile el Viernes 29 de Noviembre del 2013.
Presentación: Roberto Opazo - Workshop Santiago 29/11/13
1. Phishing, clonación y
caso de éxito de khipu
Roberto Opazo
Director Ejecutivo
khipu - Pago, cobro y recargo
http://www.aumentesuconversion.com/
1
2. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu
7. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu
8. No todo es phishing, virus, troyano…
Clonación
DDoS
XSS
phishing
DNS
morphing
Troyano
Virus
9. Tipos de ataque de phishing
Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013
10. Crecimiento de usuarios atacados
Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013
12. Ideas equivocadas sobre el phishing
× Los sitios de los bancos son el blanco más común
– Google, Facebook, Yahoo! y Amazon lo son.
– Pocos más del 20% apunta a bancos.
Fuente: Estudio de Kaspersky
× El phishing consiste en mandar e-mails falsos
– Se combinan muchas técnicas
× El candado de https permite estar seguro
× Las claves dinámicas impiden el phishing
– OTP, tarjetas de coordenadas y biometría son vulnerables
× No pinchar un enlace en un correo nos protege
– Ataques de red, QR-Code y otros mantienen el problema
13. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu
14. ¿Qué nos protege del phishing?
PC sin SW malicioso
Servidor con certificado
SSL-EV
Educar al usuario
16. La triste historia del candado
1996
2000
2005
2007
2008
Verisign inicia
operaciones.
La falta de
acuerdo en el
mercado
sobre políticas
para emitir
certificados
permitió la
entrada de
vendedores
con
validaciones
mínimas.
Primera
reunión del
CA/Browser
Forum.
Primera
versión del
estándar.
Los browsers
relevantes
eran
compatibles
con EV SSL.
Se valida
cuidadosamen
te la identidad
de los
solicitantes de
certificados.
La
competencia
hizo que
todos dejaran
de validar la
identidad de
los
solicitantes.
17. Buenas prácticas técnicas
•
•
•
•
Redireccionar a https los requerimientos http
Permitir https en la página home
No pedir contraseñas en un pop-up
Usar un certificado EV SSL
Buenas prácticas comunicacionales
• Enseñar a reconocer EV SSL, no candados.
• No se desgastarse intentando que los usuarios
no pinchen enlaces.
18. El nivel de la banca en Chile
Evaluación como usuario
• Redirect: Las páginas http
redirigen a páginas https.
• Home S: La página home
permite https si se le pide.
• Pass: La página de ingreso de
la password usa https.
• EV-SSL: Las conexiones
seguras con el banco usan
un certificado EV-SSL
• Los bancos omitidos no
tenían banca por internet.
Banco
Redirect Home S Pass
Banco 1
0
1
Banco 2
0
1
Banco 3
0
1
Banco 4
0
0
Banco 5
0
0
Banco 7
0
1
Banco 8
0
0
Banco 10
0
1
Banco 11
1
1
Banco 12
1
1
Banco 13
0
1
Banco 14
0
0
Banco 15
0
0
Banco 16
0
1
Banco 17
0
1
Banco 18
0
0
EV-SSL
1
1
0
1
0
1
0
1
1
1
1
0
1
0
0
1
0
1
1
1
1
0
1
1
0
1
1
?
0
0
0
0
19. khipu contra el phishing
• khipu implementa todas las
prácticas mencionadas.
• khipu agrega el uso de una
aplicación que sólo funciona en
las páginas correctas de los
bancos.
• Khipu está en las listas blancas
de los principales antivirus del
mercado.
• La aplicación de khipu está
firmada electrónicamente y se
distribuye desde fuentes
oficiales para cada plataforma.
• Implementará primero
certificate catching
20. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu
21. Clonación
• Es un problema
complejo de resolver.
• El modelo operacional
es la base del problema.
• Se puede migrar de fácil
de clonar a difícil de
clonar, pero el modelo
seguirá permitiendo la
clonación.
• Cifrar no resuelve las
cosas.
22. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu
23. Pago móvil
• No está estandarizado el significado
de “pago móvil”.
• Hay muchas formas de
operación, con modelos nuevos, que
resuelven la clonación.
• Y se agregan servicios por la
capacidad del dispositivo.
• Se tiende a un modelo de atención
ubicuo.
• Un elemento importante para
distinguir es el método usado para
conectar al comprador, con el
vendedor: NFC, QR-Code, Geo
Localización, dígitos, etc.
24. Introducción
Seguridad y comercio electrónico
• Distinciones básicas
• Buenas prácticas contra el phishing
• Clonación
• Pago móvil
Caso de éxito de khipu