Phishing, clonación y caso de éxito de khipu

Roberto OpazoDirector Ejecutivo

khipu - Pago, cobro y recargo

1http://www.aumentesuconversion.com/

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

Introducción

¿Los temas técnicos son para los técnicos?

http://motherboard.vice.com/blog/dear-congress-it-s-no-longer-ok-to-not-know-how-the-internet-works

¿Seguridad con estándar bancario?

¿La seguridad no es un problema?

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

No todo es phishing, virus, troyano…

phishing

Clonación

XSS

DNS morphing

Virus

Troyano

DDoS

Tipos de ataque de phishing

Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

Crecimiento de usuarios atacados

Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

Blancos de ataque

Fuente: KASPERKY: THE EVOLUTION OF PHISHING ATTACKS: 2011-2013

Ideas equivocadas sobre el phishing

× Los sitios de los bancos son el blanco más común– Google, Facebook, Yahoo! y Amazon lo son.

– Pocos más del 20% apunta a bancos.Fuente: Estudio de Kaspersky

× El phishing consiste en mandar e-mails falsos– Se combinan muchas técnicas

× El candado de https permite estar seguro

× Las claves dinámicas impiden el phishing– OTP, tarjetas de coordenadas y biometría son vulnerables

× No pinchar un enlace en un correo nos protege– Ataques de red, QR-Code y otros mantienen el problema

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

¿Qué nos protege del phishing?

PC sin SW malicioso

Servidor con certificado SSL-EV

Educar al usuario

¿Qué es un certificado SSL-EV?

La triste historia del candado

Verisign inicia operaciones.

Se valida cuidadosamente la identidad de los solicitantes de certificados.

1996La falta de acuerdo en el mercado sobre políticas para emitir certificados permitió la entrada de vendedores con validaciones mínimas.

La competencia hizo que todos dejaran de validar la identidad de los solicitantes.

2000Primera reunión del CA/Browser Forum.

2005Primera versión del estándar.

2007Los browsers relevantes eran compatibles con EV SSL.

2008

Buenas prácticas técnicas

• Redireccionar a https los requerimientos http

• Permitir https en la página home

• No pedir contraseñas en un pop-up

• Usar un certificado EV SSL

Buenas prácticas comunicacionales

• Enseñar a reconocer EV SSL, no candados.

• No se desgastarse intentando que los usuarios no pinchen enlaces.

El nivel de la banca en Chile

Banco Redirect Home S Pass EV-SSL

Banco 1 0 1 1 0

Banco 2 0 1 1 1

Banco 3 0 1 0 1

Banco 4 0 0 1 1

Banco 5 0 0 0 1

Banco 7 0 1 1 0

Banco 8 0 0 0 1

Banco 10 0 1 1 1

Banco 11 1 1 1 0

Banco 12 1 1 1 1

Banco 13 0 1 1 1

Banco 14 0 0 0 ?

Banco 15 0 0 1 0

Banco 16 0 1 0 0

Banco 17 0 1 0 0

Banco 18 0 0 1 0

Evaluación como usuario

• Redirect: Las páginas http redirigen a páginas https.

• Home S: La página home permite https si se le pide.

• Pass: La página de ingreso de la password usa https.

• EV-SSL: Las conexiones seguras con el banco usan un certificado EV-SSL

• Los bancos omitidos no tenían banca por internet.

khipu contra el phishing

• khipu implementa todas las prácticas mencionadas.

• khipu agrega el uso de una aplicación que sólo funciona en las páginas correctas de los bancos.

• Khipu está en las listas blancas de los principales antivirus del mercado.

• La aplicación de khipu está firmada electrónicamente y se distribuye desde fuentes oficiales para cada plataforma.

• Implementará primero certificate catching

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

Clonación

• Es un problema complejo de resolver.

• El modelo operacional es la base del problema.

• Se puede migrar de fácil de clonar a difícil de clonar, pero el modelo seguirá permitiendo la clonación.

• Cifrar no resuelve las cosas.

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

Pago móvil

• No está estandarizado el significado de “pago móvil”.

• Hay muchas formas de operación, con modelos nuevos, que resuelven la clonación.

• Y se agregan servicios por la capacidad del dispositivo.

• Se tiende a un modelo de atención ubicuo.

• Un elemento importante para distinguir es el método usado para conectar al comprador, con el vendedor: NFC, QR-Code, Geo Localización, dígitos, etc.

Introducción Seguridad y comercio electrónico

• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil

Caso de éxito de khipu

Caso de éxito de khipu: TYR

Caso de éxito de khipu