cómo bajar el fraude y mejorar la seguridad cómo bajar el fraude y

Transcripción

CÓMO BAJAR EL FRAUDE
Y MEJORAR LA SEGURIDAD
DE LAS TRANSACCIONES
E-Commerce Day
Agosto - 2010
Javier Draxl - ALIGNET
ALIGNET : Experiencia en E-Commerce
+14 años en soluciones orientadas al el sector financiero dentro
del área de medios de pago y comercio electrónico.
Impulsores en región de la solución de Autenticación 3D Secure:
Verified by Visa y Mastercard SecureCode.
ALIGNET
Importante presencia en América Latina
Perú
• Visanet del Perú
• Banco de LA Nación
• Unibanca
• BBVA Continental
• Interbank
• BCP
• BIF
• Banco Falabella
• Scotiabank Perú
• Banco de Comercio
Uruguay
• Visanet Uruguay
Panamá
México
• PROSA
• HSBC MX
• Banco Ixe
• EGLobal
• Banamex
• Bancomer
• Banorte
• Banco Azteca
• Citi PA
• Banistmo/HSBC
• MultiCredit
Ecuador
• Pacificard
• Banco de Guayaquil
• Produbanco
• Banco del Austro
• Banco Internacional
• Banco de Pichincha
• Banco Machala
• Credimatic
Costa Rica
• Citi CR
• Banco Nacional CR
Guatemala
• Banco Industrial
• Versatech
Colombia
• Redeban/Colombia
Chile
• Transbank
+ de 1500 comercios y 1.1 millones de
transacciones anuales en la región
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES
E- Commerce Day 2010
Seguridad en E-Comemrce
Informes Recientes
- 9 de cada 10 correos electrónicos enviados son fraudulentos
“spam”. Los ataques de phishing, los correos electrónicos
falsos y las formas de fraude online están aumentando a ratios
20% mensual.
-Picos: 60,000 nuevos sitios web fraudulentoss mensuales y
35,000 campañas de phishing
- Un
U 78% de
d los
l ataques
t
i l
incluye
un componente
t financiero.
fi
i
Los
L
ciberdelitos podrían incluso superar los ingresos del tráfico de
drogas internacional
Symantec
Norton
McAfee
ONUDD
APWG
-Las tarjetas de crédito son el objetivo principal: 32% de los
casos. La información de cuentas bancarias representan el
19% de todos los bienes anunciados para su venta.
Evolución del Fraude
Phising/Pharming
A
Dominios Web más peligrosos
Camerún (.cm) 36,7%
Rep. Popular China (.cn) 23,4%
Samoa (.ws) 17,8%
Filipinas (.ph) 13,1%
Ex Unión Soviética (.su) 5,2%
Dominios más seguros
McAfee “Mapping the Mal Web 2009”
Japón (.jp) 0,1%
Irlanda (.ie) 0,1%
Croacia (.hr) 0,1%
Luxemburgo (.lu) 0,1%
Vanuatu (.vu) 0,2%
Chile (cl) 0,6%
Mercado Negro del Crimen Cibernético:
- Operación Firewall: Shadowcrew: `+4000
miembros en todo el mundo (28 miembros claves
detenidos)
-Apariencia Actual:
- Redes de conversaciones IRC
- Comparten sugerencias, instrucciones
- Intercambian información
- Servicios especializados.
Organización y División del Trabajo:
"Spammers" envian los correos electrónicos de
phishing
“ScriptKidders”: Crackers jóvenes e inexpertos
que recopilan equipos víctima (denominados
"roots“ y zombies)
Diseñadores web: crean sitios web
malintencionados
“CashOuts”: Responsables de retirar fondos de
una tarjeta de crédito o una cuenta bancaria
"Droppers": una especie de repartidores, se
encargan de recibir los artículos comprados.
Marketing:
Sonríe y compra números Cvv2 a buen precio, y consigue muchos regalos
¡Hola a todos los "carders"! Les ofrezco con gusto mis servicios, amigos.
Vendo cvv2 de los EE. UU. SIN LÍMITE (cvv2 del Reino Unido, Canadá e
internacionales muy pronto disponibles)
Los Cvv2 incluyen la siguiente información: - Número de tarjeta - Fecha de
caducidad - CVV2 - Nombre y apellidos - Dirección y ciudad - Estado y código
postal - País (EE. UU.) - Teléfono ##
======= Precio ========
•Para cvv2 de los EE. UU.
: $1 -> 40 cvv2s
: $1,5 por tarjeta 100+ cvv2
: $1 por tarjeta * Para ccs del Reino Unido
: $1 por unidad (viene con: Nombre, dirección, población, país, código
postal, número de cuenta, caducidad, fecha de emisión y número de emisión) *
Marketing:
======= Ofertas Especiales ========
Si haces un pedido superior a $50, obtendrás una tarjeta telefónica con $5
Productos de Intercambio
Números de tarjetas de crédito: incluido el
CVV2
Acceso a la raíz de los servidores:
servidores pirateados para alojar sitios web
de phishing
Listas de emails: para el envío de spam y
para buscar víctimas de estafas
Cuentas en línea: cuentas de servicios de
pago en línea, como e-gold y WMZ
Cuentas de Western Union: para enviarse
fondos en el acto.
Ciclo del Fraude por Internet ( Comercio Electrónico)
Obtienen cuentas
válidas
Atacan en comercios
indefensos e inexpertos
El comerciante recibe
contracargos
Venden bienes en subastas
y mercado negro
El cliente reclama al
banco
Fraude: Perjuicio
USUARIO
•
Le afectan sus cuentas bancarias
BANCOS
•
•
•
Pierde confianza de sus clientes
Costos de procesos de reclamos
Grandes pérdidas económicas
MARCAS
•
•
Afecta
de
Af t la
l imagen
i
d industria
i d ti
Desacelera el crecimiento
ADQUIRENTES
•
Asume multas y pérdidas
COMERCIOS
•
•
Recibe contracargos
Pérdidas de mercadería
Fraude: Responsabilidades
USUARIO
•
Proteger su PC e información
BANCOS
•
•
•
Proveer en Seguridad y Educación
Autenticar online
Monitoreo de Operaciones: Alertas
MARCAS
•
•
Definir
a la
D fi i estándares
tá d
l industria
i d ti
Establecer Reglas para cumplimiento
ADQUIRENTES
•
Promover sistemas y redes +seguras
COMERCIOS
•
•
Proteger el sitio y la información
Monitorear las ventas
Proveedores Tecnológicos: Software, Comunicaciones, Plataformas Pago
Líneas de Defensa: USUARIO
Desconfiar de TODO lo que nos llegue por
correo
- Tenga los últimos parches y actualizaciones
- Configuración segura (no defaults: SO, IE)
- Contraseñas seguras y a salvo
- Software de seguridad (Firewall, Antivirus)
- Revise sus estados bancarios regularmente
- Proteja su información personal:
Las ofertas de Internet que parecen demasiado buenas para ser
ciertas, normalmente lo son¡¡
Líneas de Defensa: COMERCIANTE onLINE
Conozca bien su Negocio y sus Cliente
- Contacte siempre al cliente (…de ser posible)
- Incentive autenticación al cliente (VbV y MSC)
-
Autenticación estática ó Dinámica
- Estándares de Seguridad de Información PCI
- Red/Datos/Vulnerabilidades/Accesos/Monitoreo/Politicas
- Solicite validar todos los datos posibles: AVS /
CVV2
Medidas contra el negocio:
Sólo trx Autenticadas
- Use herramientas Automáticas de Monitoreo y
Alertas.
Sólo ventas locales
Sólo clientes conocidos
Líneas de Defensa: COMERCIANTE onLINE
-Monitoreo y Alerta:
- Análisis de patrones de la operación
- Emisión de la tarjeta (País)
- Origen de la compra (Ips)
- Lugar de la entrega
- Modificaciones Sospechozas
-
Cambios de tarjeta
-
Velocidad sospechoza
-
Cambio de email
-
Cambio de teléfonos/Direcciones
- Análisis del Producto vendido
- Fecha de entrega (prontitud, urgencia)
- Ventas inusuales.
Perfiles de Transacciones
Perfil Ventas Locales (despacho y entrega personal)
y
Perfil Ventas Internacionales (envíos por correo)
Perfil Ventas Clientes Recurrentes (+2 compras)
y
Perfil Venta a Clientes Nuevos (compras esporádicas)
Perfil de Ventas de Urgencia (entregas inmediatas)
y
Perfil de Solicitudes a futuro.
Seguridad en E-Commerce
Caso típico de Fraude
de aerolínea
Compra de parte de terceros
Generalmente Business Class
Compras de último minuto
Ticket de ida y multi carriers
Destinos de Alto Riesgo
Transacciones provienentes de países
inusuales.
Modelamiento del Riesgo
Alto Riesgo: >70%
Regla 1; Georeferenciación
SCORE
IP (País Origen)
¹ BIN (País Emisión de la tarjeta)
35%
BIN (Issuer)
¹ Banco (Banco Emisor)
80%
EMAIL (dominio)
= LISTA (lista dominios free)
25%
TELEFONIO (prefijo)
¹ Ciudad (Dirección Origen Banco)
75%
Regla 2: Cliente
Regla 3: Velocidad
TARJETA
>=
EMAIL vsTARJETA
Regla 4: FECHA
FecEntrega
<=
>=
3 (Ultimas 24 horas)
99%
2
20%
2 Días (FecCompra)
60%
Menor Riesgo: <30%
Alignet Fraud Screen: Calibración
Areas de calibración
Seteo de comercios
Parámetros
Seteo de comercios
Factor de influencia
Tiempo esperado de compra
4 opciones de
operación
off
bajo
default
alto
Frecuencia esperada de compra
• Una vez
• una mensual,
semanal o diaria
off
bajo
default
alto
Variación facturación / envío
• compra de regalo
• no compra de regalo
off
Riesgo asignado a e-mail / Servidor IP
Default
off
bajo
default
alto
Velocidad de compra de consumidor
(agregado a través de comercios)
Default
off
bajo
default
alto
Medición total de tolerancia de riesgo
0
50
on
100
Control del riesgo:
No se puede eliminar a los delincuentes, pero se les
puede poner mayores obstáculos para mitigar el
riesgo
EL fraude no desaparece: migra a los lugares de
menor resistencia
i t
i
Preparase, protegerse, aprendiendo y educando a
los usuarios
Muchas gracias

cómo bajar el fraude y mejorar la seguridad cómo bajar el fraude y

Transcripción

Documentos relacionados

DataCrédito está con usted en los momentos de verdad

Presentaciones_files/Investigación del Fraude Parte I

Número 1, enero-marzo - Centro de Estudios Monetarios

Programa de Acción 2016