cómo bajar el fraude y mejorar la seguridad cómo bajar el fraude y
Transcripción
cómo bajar el fraude y mejorar la seguridad cómo bajar el fraude y
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E-Commerce Day Agosto - 2010 Javier Draxl - ALIGNET ALIGNET : Experiencia en E-Commerce +14 años en soluciones orientadas al el sector financiero dentro del área de medios de pago y comercio electrónico. Impulsores en región de la solución de Autenticación 3D Secure: Verified by Visa y Mastercard SecureCode. ALIGNET Importante presencia en América Latina Perú • Visanet del Perú • Banco de LA Nación • Unibanca • BBVA Continental • Interbank • BCP • BIF • Banco Falabella • Scotiabank Perú • Banco de Comercio Uruguay • Visanet Uruguay Panamá México • PROSA • HSBC MX • Banco Ixe • EGLobal • Banamex • Bancomer • Banorte • Banco Azteca • Citi PA • Banistmo/HSBC • MultiCredit Ecuador • Pacificard • Banco de Guayaquil • Produbanco • Banco del Austro • Banco Internacional • Banco de Pichincha • Banco Machala • Credimatic Costa Rica • Citi CR • Banco Nacional CR Guatemala • Banco Industrial • Versatech Colombia • Redeban/Colombia Chile • Transbank + de 1500 comercios y 1.1 millones de transacciones anuales en la región CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Informes Recientes - 9 de cada 10 correos electrónicos enviados son fraudulentos “spam”. Los ataques de phishing, los correos electrónicos falsos y las formas de fraude online están aumentando a ratios 20% mensual. -Picos: 60,000 nuevos sitios web fraudulentoss mensuales y 35,000 campañas de phishing - Un U 78% de d los l ataques t i l incluye un componente t financiero. fi i Los L ciberdelitos podrían incluso superar los ingresos del tráfico de drogas internacional Symantec Norton McAfee ONUDD APWG -Las tarjetas de crédito son el objetivo principal: 32% de los casos. La información de cuentas bancarias representan el 19% de todos los bienes anunciados para su venta. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Evolución del Fraude Phising/Pharming CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES A E- Commerce Day 2010 Seguridad en E-Comemrce Dominios Web más peligrosos Camerún (.cm) 36,7% Rep. Popular China (.cn) 23,4% Samoa (.ws) 17,8% Filipinas (.ph) 13,1% Ex Unión Soviética (.su) 5,2% Dominios más seguros McAfee “Mapping the Mal Web 2009” Japón (.jp) 0,1% Irlanda (.ie) 0,1% Croacia (.hr) 0,1% Luxemburgo (.lu) 0,1% Vanuatu (.vu) 0,2% Chile (cl) 0,6% CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Mercado Negro del Crimen Cibernético: - Operación Firewall: Shadowcrew: `+4000 miembros en todo el mundo (28 miembros claves detenidos) -Apariencia Actual: - Redes de conversaciones IRC - Comparten sugerencias, instrucciones - Intercambian información - Servicios especializados. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Mercado Negro del Crimen Cibernético: Organización y División del Trabajo: "Spammers" envian los correos electrónicos de phishing “ScriptKidders”: Crackers jóvenes e inexpertos que recopilan equipos víctima (denominados "roots“ y zombies) Diseñadores web: crean sitios web malintencionados “CashOuts”: Responsables de retirar fondos de una tarjeta de crédito o una cuenta bancaria "Droppers": una especie de repartidores, se encargan de recibir los artículos comprados. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Mercado Negro del Crimen Cibernético: Marketing: Sonríe y compra números Cvv2 a buen precio, y consigue muchos regalos ¡Hola a todos los "carders"! Les ofrezco con gusto mis servicios, amigos. Vendo cvv2 de los EE. UU. SIN LÍMITE (cvv2 del Reino Unido, Canadá e internacionales muy pronto disponibles) Los Cvv2 incluyen la siguiente información: - Número de tarjeta - Fecha de caducidad - CVV2 - Nombre y apellidos - Dirección y ciudad - Estado y código postal - País (EE. UU.) - Teléfono ## ======= Precio ======== •Para cvv2 de los EE. UU. : $1 -> 40 cvv2s : $1,5 por tarjeta 100+ cvv2 : $1 por tarjeta * Para ccs del Reino Unido : $1 por unidad (viene con: Nombre, dirección, población, país, código postal, número de cuenta, caducidad, fecha de emisión y número de emisión) * CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Mercado Negro del Crimen Cibernético: Marketing: ======= Ofertas Especiales ======== Si haces un pedido superior a $50, obtendrás una tarjeta telefónica con $5 Si haces un pedido superior a $100, obtendrás una tarjeta telefónica con $10 Si haces un pedido superior a $200, obtendrás una tarjeta telefónica con $20 CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Mercado Negro del Crimen Cibernético: Productos de Intercambio Números de tarjetas de crédito: incluido el CVV2 Acceso a la raíz de los servidores: servidores pirateados para alojar sitios web de phishing Listas de emails: para el envío de spam y para buscar víctimas de estafas Cuentas en línea: cuentas de servicios de pago en línea, como e-gold y WMZ Cuentas de Western Union: para enviarse fondos en el acto. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Ciclo del Fraude por Internet ( Comercio Electrónico) Obtienen cuentas válidas Atacan en comercios indefensos e inexpertos El comerciante recibe contracargos CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES Venden bienes en subastas y mercado negro El cliente reclama al banco E- Commerce Day 2010 Fraude: Perjuicio USUARIO • Le afectan sus cuentas bancarias BANCOS • • • Pierde confianza de sus clientes Costos de procesos de reclamos Grandes pérdidas económicas MARCAS • • Afecta de Af t la l imagen i d industria i d ti Desacelera el crecimiento ADQUIRENTES • Asume multas y pérdidas COMERCIOS • • Recibe contracargos Pérdidas de mercadería CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Fraude: Responsabilidades USUARIO • Proteger su PC e información BANCOS • • • Proveer en Seguridad y Educación Autenticar online Monitoreo de Operaciones: Alertas MARCAS • • Definir a la D fi i estándares tá d l industria i d ti Establecer Reglas para cumplimiento ADQUIRENTES • Promover sistemas y redes +seguras COMERCIOS • • Proteger el sitio y la información Monitorear las ventas Proveedores Tecnológicos: Software, Comunicaciones, Plataformas Pago CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Líneas de Defensa: USUARIO Desconfiar de TODO lo que nos llegue por correo - Tenga los últimos parches y actualizaciones - Configuración segura (no defaults: SO, IE) - Contraseñas seguras y a salvo - Software de seguridad (Firewall, Antivirus) - Revise sus estados bancarios regularmente - Proteja su información personal: Las ofertas de Internet que parecen demasiado buenas para ser ciertas, normalmente lo son¡¡ CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Líneas de Defensa: COMERCIANTE onLINE Conozca bien su Negocio y sus Cliente - Contacte siempre al cliente (…de ser posible) - Incentive autenticación al cliente (VbV y MSC) - Autenticación estática ó Dinámica - Estándares de Seguridad de Información PCI - Red/Datos/Vulnerabilidades/Accesos/Monitoreo/Politicas - Solicite validar todos los datos posibles: AVS / CVV2 Medidas contra el negocio: Sólo trx Autenticadas - Use herramientas Automáticas de Monitoreo y Alertas. Sólo ventas locales Sólo clientes conocidos CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Líneas de Defensa: COMERCIANTE onLINE -Monitoreo y Alerta: - Análisis de patrones de la operación - Emisión de la tarjeta (País) - Origen de la compra (Ips) - Lugar de la entrega - Modificaciones Sospechozas - Cambios de tarjeta - Velocidad sospechoza - Cambio de email - Cambio de teléfonos/Direcciones - Análisis del Producto vendido - Fecha de entrega (prontitud, urgencia) - Ventas inusuales. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Perfiles de Transacciones Perfil Ventas Locales (despacho y entrega personal) y Perfil Ventas Internacionales (envíos por correo) Perfil Ventas Clientes Recurrentes (+2 compras) y Perfil Venta a Clientes Nuevos (compras esporádicas) Perfil de Ventas de Urgencia (entregas inmediatas) y Perfil de Solicitudes a futuro. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Commerce Caso típico de Fraude de aerolínea Compra de parte de terceros Generalmente Business Class Compras de último minuto Ticket de ida y multi carriers Destinos de Alto Riesgo Transacciones provienentes de países inusuales. CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Modelamiento del Riesgo Alto Riesgo: >70% Regla 1; Georeferenciación SCORE IP (País Origen) ¹ BIN (País Emisión de la tarjeta) 35% BIN (Issuer) ¹ Banco (Banco Emisor) 80% EMAIL (dominio) = LISTA (lista dominios free) 25% TELEFONIO (prefijo) ¹ Ciudad (Dirección Origen Banco) 75% Regla 2: Cliente Regla 3: Velocidad TARJETA >= EMAIL vsTARJETA Regla 4: FECHA FecEntrega <= >= 3 (Ultimas 24 horas) 99% 2 20% 2 Días (FecCompra) 60% Menor Riesgo: <30% CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Seguridad en E-Comemrce Alignet Fraud Screen: Calibración Areas de calibración Seteo de comercios Parámetros Seteo de comercios Factor de influencia Tiempo esperado de compra 4 opciones de operación off bajo default alto Frecuencia esperada de compra • Una vez • una mensual, semanal o diaria off bajo default alto Variación facturación / envío • compra de regalo • no compra de regalo off Riesgo asignado a e-mail / Servidor IP Default off bajo default alto Velocidad de compra de consumidor (agregado a través de comercios) Default off bajo default alto Medición total de tolerancia de riesgo 0 CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES 50 on 100 E- Commerce Day 2010 Seguridad en E-Comemrce Control del riesgo: No se puede eliminar a los delincuentes, pero se les puede poner mayores obstáculos para mitigar el riesgo EL fraude no desaparece: migra a los lugares de menor resistencia i t i Preparase, protegerse, aprendiendo y educando a los usuarios CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010 Muchas gracias CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010