CÓMO BAJAR EL FRAUDE
Y MEJORAR LA SEGURIDAD
CÓMO BAJAR EL FRAUDE
Y MEJORAR LA SEGURIDAD
DE LAS TRANSACCIONESDE LAS TRANSACCIONES
Javier Draxl - ALIGNETE-Commerce DayAgosto - 2010
ALIGNET : Experiencia en E-Commerce
+14 años en soluciones orientadas al el sector financiero dentrodel área de medios de pago y comercio electrónico.
Impulsores en región de la solución de Autenticación 3D Secure:Verified by Visa y Mastercard SecureCode.
Importante presencia en América Latina
PerúCosta RicaCiti CRPanamá México
ALIGNET
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
• Visanet del Perú• Banco de LA Nación• Unibanca• BBVA Continental• Interbank• BCP• BIF• Banco Falabella• Scotiabank Perú• Banco de Comercio
Perú
• Pacificard• Banco de Guayaquil• Produbanco• Banco del Austro• Banco Internacional• Banco de Pichincha• Banco Machala• Credimatic
Ecuador
Colombia• Redeban/Colombia
Uruguay• Visanet Uruguay
• Citi CR• Banco Nacional CR
Panamá• Citi PA• Banistmo/HSBC• MultiCredit
Chile• Transbank
Guatemala• Banco Industrial• Versatech
México• PROSA• HSBC MX• Banco Ixe• EGLobal• Banamex• Bancomer• Banorte• Banco Azteca
+ de 1500 comercios y 1.1 millones detransacciones anuales en la región
- 9 de cada 10 correos electrónicos enviados son fraudulentos“spam”. Los ataques de phishing, los correos electrónicosfalsos y las formas de fraude online están aumentando a ratios20% mensual.
-Picos: 60,000 nuevos sitios web fraudulentoss mensuales y35,000 campañas de phishing
U 78% d l t i l t fi i L
Seguridad en E-Comemrce
Informes Recientes
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
- Un 78% de los ataques incluye un componente financiero. Losciberdelitos podrían incluso superar los ingresos del tráfico dedrogas internacional
-Las tarjetas de crédito son el objetivo principal: 32% de loscasos. La información de cuentas bancarias representan el19% de todos los bienes anunciados para su venta.
SymantecNortonMcAfeeONUDDAPWG
Evolución del Fraude
Phising/Pharming A
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Dominios Web más peligrososCamerún (.cm) 36,7%Rep. Popular China (.cn) 23,4%Samoa (.ws) 17,8%Filipinas (.ph) 13,1%Ex Unión Soviética (.su) 5,2%
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Dominios más seguros
Japón (.jp) 0,1%Irlanda (.ie) 0,1%Croacia (.hr) 0,1%Luxemburgo (.lu) 0,1%Vanuatu (.vu) 0,2%
Chile (cl) 0,6%
McAfee “Mapping the Mal Web 2009”
Mercado Negro del Crimen Cibernético:
- Operación Firewall: Shadowcrew: `+4000miembros en todo el mundo (28 miembros clavesdetenidos)
-Apariencia Actual:
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
- Redes de conversaciones IRC
- Comparten sugerencias, instrucciones
- Intercambian información
- Servicios especializados.
Seguridad en E-Comemrce
Mercado Negro del Crimen Cibernético:
Organización y División del Trabajo:
"Spammers" envian los correos electrónicos dephishing
“ScriptKidders”: Crackers jóvenes e inexpertosque recopilan equipos víctima (denominados
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
que recopilan equipos víctima (denominados"roots“ y zombies)
Diseñadores web: crean sitios webmalintencionados
“CashOuts”: Responsables de retirar fondos deuna tarjeta de crédito o una cuenta bancaria
"Droppers": una especie de repartidores, seencargan de recibir los artículos comprados.
Sonríe y compra números Cvv2 a buen precio, y consigue muchos regalos
¡Hola a todos los "carders"! Les ofrezco con gusto mis servicios, amigos.
Vendo cvv2 de los EE. UU. SIN LÍMITE (cvv2 del Reino Unido, Canadá einternacionales muy pronto disponibles)
Los Cvv2 incluyen la siguiente información: - Número de tarjeta - Fecha de
Seguridad en E-Comemrce
Mercado Negro del Crimen Cibernético:
Marketing:
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
caducidad - CVV2 - Nombre y apellidos - Dirección y ciudad - Estado y códigopostal - País (EE. UU.) - Teléfono ##
======= Precio ========
•Para cvv2 de los EE. UU.: $1 -> 40 cvv2s: $1,5 por tarjeta 100+ cvv2: $1 por tarjeta * Para ccs del Reino Unido: $1 por unidad (viene con: Nombre, dirección, población, país, código
postal, número de cuenta, caducidad, fecha de emisión y número de emisión) *
======= Ofertas Especiales ========
Si haces un pedido superior a $50, obtendrás una tarjeta telefónica con $5
Si haces un pedido superior a $100, obtendrás una tarjeta telefónica con $10
Si haces un pedido superior a $200, obtendrás una tarjeta telefónica con $20
Seguridad en E-Comemrce
Mercado Negro del Crimen Cibernético:
Marketing:
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Mercado Negro del Crimen Cibernético:Productos de Intercambio
Números de tarjetas de crédito: incluido elCVV2
Acceso a la raíz de los servidores:servidores pirateados para alojar sitios webde phishing
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Listas de emails: para el envío de spam ypara buscar víctimas de estafas
Cuentas en línea: cuentas de servicios depago en línea, como e-gold y WMZ
Cuentas de Western Union: para enviarsefondos en el acto.
Ciclo del Fraude por Internet ( Comercio Electrónico)
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Obtienen cuentasválidas
Atacan en comerciosindefensos e inexpertos
Venden bienes en subastasy mercado negro
El cliente reclama albanco
El comerciante recibecontracargos
Fraude: Perjuicio
USUARIO • Le afectan sus cuentas bancarias
BANCOS• Pierde confianza de sus clientes• Costos de procesos de reclamos• Grandes pérdidas económicas
Af t l i d i d t i
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
ADQUIRENTES • Asume multas y pérdidas
MARCAS • Afecta la imagen de industria• Desacelera el crecimiento
COMERCIOS • Recibe contracargos• Pérdidas de mercadería
Fraude: Responsabilidades
USUARIO • Proteger su PC e información
BANCOS• Proveer en Seguridad y Educación• Autenticar online• Monitoreo de Operaciones: Alertas
D fi i tá d l i d t i
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
ADQUIRENTES • Promover sistemas y redes +seguras
MARCAS • Definir estándares a la industria• Establecer Reglas para cumplimiento
COMERCIOS • Proteger el sitio y la información• Monitorear las ventas
Proveedores Tecnológicos: Software, Comunicaciones, Plataformas Pago
Líneas de Defensa: USUARIO
Desconfiar de TODO lo que nos llegue porcorreo
- Tenga los últimos parches y actualizaciones
- Configuración segura (no defaults: SO, IE)
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
- Contraseñas seguras y a salvo
- Software de seguridad (Firewall, Antivirus)
- Revise sus estados bancarios regularmente
- Proteja su información personal:Las ofertas de Internet que parecen demasiado buenas para serciertas, normalmente lo son¡¡
Líneas de Defensa: COMERCIANTE onLINE
Conozca bien su Negocio y sus Cliente
- Contacte siempre al cliente (…de ser posible)
- Incentive autenticación al cliente (VbV y MSC)- Autenticación estática ó Dinámica
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
- Estándares de Seguridad de Información PCI- Red/Datos/Vulnerabilidades/Accesos/Monitoreo/Politicas
- Solicite validar todos los datos posibles: AVS /CVV2
- Use herramientas Automáticas de Monitoreo yAlertas.
Medidas contra el negocio:
Sólo trx Autenticadas
Sólo ventas locales
Sólo clientes conocidos
Líneas de Defensa: COMERCIANTE onLINE
-Monitoreo y Alerta:
- Análisis de patrones de la operación
- Emisión de la tarjeta (País)
- Origen de la compra (Ips)
- Lugar de la entrega
- Modificaciones Sospechozas
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
- Modificaciones Sospechozas- Cambios de tarjeta
- Velocidad sospechoza
- Cambio de email
- Cambio de teléfonos/Direcciones
- Análisis del Producto vendido
- Fecha de entrega (prontitud, urgencia)
- Ventas inusuales.
Perfiles de Transacciones
Perfil Ventas Locales (despacho y entrega personal)
y
Perfil Ventas Internacionales (envíos por correo)
Perfil Ventas Clientes Recurrentes (+2 compras)
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
y
Perfil Venta a Clientes Nuevos (compras esporádicas)
Perfil de Ventas de Urgencia (entregas inmediatas)
y
Perfil de Solicitudes a futuro.
Seguridad en E-Commerce
Caso típico de Fraudede aerolínea
Compra de parte de terceros
Generalmente Business Class
Compras de último minuto
Ticket de ida y multi carriers
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Ticket de ida y multi carriers
Destinos de Alto Riesgo
Transacciones provienentes de paísesinusuales.
Modelamiento del Riesgo
Regla 1; Georeferenciación SCORE
IP (País Origen) ≠ BIN (País Emisión de la tarjeta) 35%
BIN (Issuer) ≠ Banco (Banco Emisor) 80%
Regla 2: Cliente
EMAIL (dominio) = LISTA (lista dominios free) 25%
Seguridad en E-Comemrce
Alto Riesgo: >70%
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
TELEFONIO (prefijo) ≠ Ciudad (Dirección Origen Banco) 75%
Regla 3: Velocidad
TARJETA >= 3 (Ultimas 24 horas) 99%
EMAIL vsTARJETA >= 2 20%
Regla 4: FECHAFecEntrega <= 2 Días (FecCompra) 60%
Menor Riesgo: <30%
Seguridad en E-Comemrce
Alignet Fraud Screen: Calibración
Frecuencia esperada de compra
Tiempo esperado de compra off bajo default alto
off bajo default alto
4 opciones deoperación
• Una vez• una mensual,semanal o diaria
Seteo de comerciosParámetros
Seteo de comerciosFactor de influencia
Areas de calibración
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
Medición total de tolerancia de riesgo
Velocidad de compra de consumidor(agregado a través de comercios)
Riesgo asignado a e-mail / Servidor IP
Variación facturación / envío off on
off bajo default alto
semanal o diaria
• compra de regalo• no compra de regalo
Default
Defaultoff bajo default alto
0 50 100
Control del riesgo:
No se puede eliminar a los delincuentes, pero se lespuede poner mayores obstáculos para mitigar elriesgo
EL fraude no desaparece: migra a los lugares dei t i
Seguridad en E-Comemrce
CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010
menor resistencia
Preparase, protegerse, aprendiendo y educando alos usuarios
Top Related