CÓMO BAJAR EL FRAUDE Y MEJORAR LA … · • Banco Azteca + de 1500 comercios y 1.1 millones de...

CÓMO BAJAR EL FRAUDE

Y MEJORAR LA SEGURIDAD

CÓMO BAJAR EL FRAUDE

Y MEJORAR LA SEGURIDAD

DE LAS TRANSACCIONESDE LAS TRANSACCIONES

Javier Draxl - ALIGNETE-Commerce DayAgosto - 2010

ALIGNET : Experiencia en E-Commerce

+14 años en soluciones orientadas al el sector financiero dentrodel área de medios de pago y comercio electrónico.

Impulsores en región de la solución de Autenticación 3D Secure:Verified by Visa y Mastercard SecureCode.

Importante presencia en América Latina

PerúCosta RicaCiti CRPanamá México

ALIGNET

CÓMO BAJAR EL FRAUDE Y MEJORAR LA SEGURIDAD DE LAS TRANSACCIONES E- Commerce Day 2010

• Visanet del Perú• Banco de LA Nación• Unibanca• BBVA Continental• Interbank• BCP• BIF• Banco Falabella• Scotiabank Perú• Banco de Comercio

Perú

• Pacificard• Banco de Guayaquil• Produbanco• Banco del Austro• Banco Internacional• Banco de Pichincha• Banco Machala• Credimatic

Ecuador

Colombia• Redeban/Colombia

Uruguay• Visanet Uruguay

• Citi CR• Banco Nacional CR

Panamá• Citi PA• Banistmo/HSBC• MultiCredit

Chile• Transbank

Guatemala• Banco Industrial• Versatech

México• PROSA• HSBC MX• Banco Ixe• EGLobal• Banamex• Bancomer• Banorte• Banco Azteca

+ de 1500 comercios y 1.1 millones detransacciones anuales en la región

- 9 de cada 10 correos electrónicos enviados son fraudulentos“spam”. Los ataques de phishing, los correos electrónicosfalsos y las formas de fraude online están aumentando a ratios20% mensual.

-Picos: 60,000 nuevos sitios web fraudulentoss mensuales y35,000 campañas de phishing

U 78% d l t i l t fi i L

Seguridad en E-Comemrce

Informes Recientes


- Un 78% de los ataques incluye un componente financiero. Losciberdelitos podrían incluso superar los ingresos del tráfico dedrogas internacional

-Las tarjetas de crédito son el objetivo principal: 32% de loscasos. La información de cuentas bancarias representan el19% de todos los bienes anunciados para su venta.

SymantecNortonMcAfeeONUDDAPWG

Evolución del Fraude

Phising/Pharming A


Dominios Web más peligrososCamerún (.cm) 36,7%Rep. Popular China (.cn) 23,4%Samoa (.ws) 17,8%Filipinas (.ph) 13,1%Ex Unión Soviética (.su) 5,2%



Dominios más seguros

Japón (.jp) 0,1%Irlanda (.ie) 0,1%Croacia (.hr) 0,1%Luxemburgo (.lu) 0,1%Vanuatu (.vu) 0,2%

Chile (cl) 0,6%

McAfee “Mapping the Mal Web 2009”

Mercado Negro del Crimen Cibernético:

- Operación Firewall: Shadowcrew: `+4000miembros en todo el mundo (28 miembros clavesdetenidos)

-Apariencia Actual:



- Redes de conversaciones IRC

- Comparten sugerencias, instrucciones

- Intercambian información

- Servicios especializados.



Organización y División del Trabajo:

"Spammers" envian los correos electrónicos dephishing

“ScriptKidders”: Crackers jóvenes e inexpertosque recopilan equipos víctima (denominados


que recopilan equipos víctima (denominados"roots“ y zombies)

Diseñadores web: crean sitios webmalintencionados

“CashOuts”: Responsables de retirar fondos deuna tarjeta de crédito o una cuenta bancaria

"Droppers": una especie de repartidores, seencargan de recibir los artículos comprados.

Sonríe y compra números Cvv2 a buen precio, y consigue muchos regalos

¡Hola a todos los "carders"! Les ofrezco con gusto mis servicios, amigos.

Vendo cvv2 de los EE. UU. SIN LÍMITE (cvv2 del Reino Unido, Canadá einternacionales muy pronto disponibles)

Los Cvv2 incluyen la siguiente información: - Número de tarjeta - Fecha de



Marketing:


caducidad - CVV2 - Nombre y apellidos - Dirección y ciudad - Estado y códigopostal - País (EE. UU.) - Teléfono ##

======= Precio ========

•Para cvv2 de los EE. UU.: $1 -> 40 cvv2s: $1,5 por tarjeta 100+ cvv2: $1 por tarjeta * Para ccs del Reino Unido: $1 por unidad (viene con: Nombre, dirección, población, país, código

postal, número de cuenta, caducidad, fecha de emisión y número de emisión) *

======= Ofertas Especiales ========

Si haces un pedido superior a $50, obtendrás una tarjeta telefónica con $5





Marketing:


Mercado Negro del Crimen Cibernético:Productos de Intercambio

Números de tarjetas de crédito: incluido elCVV2

Acceso a la raíz de los servidores:servidores pirateados para alojar sitios webde phishing



Listas de emails: para el envío de spam ypara buscar víctimas de estafas

Cuentas en línea: cuentas de servicios depago en línea, como e-gold y WMZ

Cuentas de Western Union: para enviarsefondos en el acto.

Ciclo del Fraude por Internet ( Comercio Electrónico)


Obtienen cuentasválidas

Atacan en comerciosindefensos e inexpertos

Venden bienes en subastasy mercado negro

El cliente reclama albanco

El comerciante recibecontracargos

Fraude: Perjuicio

USUARIO • Le afectan sus cuentas bancarias

BANCOS• Pierde confianza de sus clientes• Costos de procesos de reclamos• Grandes pérdidas económicas

Af t l i d i d t i


ADQUIRENTES • Asume multas y pérdidas

MARCAS • Afecta la imagen de industria• Desacelera el crecimiento

COMERCIOS • Recibe contracargos• Pérdidas de mercadería

Fraude: Responsabilidades

USUARIO • Proteger su PC e información

BANCOS• Proveer en Seguridad y Educación• Autenticar online• Monitoreo de Operaciones: Alertas

D fi i tá d l i d t i


ADQUIRENTES • Promover sistemas y redes +seguras

MARCAS • Definir estándares a la industria• Establecer Reglas para cumplimiento

COMERCIOS • Proteger el sitio y la información• Monitorear las ventas

Proveedores Tecnológicos: Software, Comunicaciones, Plataformas Pago

Líneas de Defensa: USUARIO

Desconfiar de TODO lo que nos llegue porcorreo

- Tenga los últimos parches y actualizaciones

- Configuración segura (no defaults: SO, IE)



- Contraseñas seguras y a salvo

- Software de seguridad (Firewall, Antivirus)

- Revise sus estados bancarios regularmente

- Proteja su información personal:Las ofertas de Internet que parecen demasiado buenas para serciertas, normalmente lo son¡¡

Líneas de Defensa: COMERCIANTE onLINE

Conozca bien su Negocio y sus Cliente

- Contacte siempre al cliente (…de ser posible)

- Incentive autenticación al cliente (VbV y MSC)- Autenticación estática ó Dinámica



- Estándares de Seguridad de Información PCI- Red/Datos/Vulnerabilidades/Accesos/Monitoreo/Politicas

- Solicite validar todos los datos posibles: AVS /CVV2

- Use herramientas Automáticas de Monitoreo yAlertas.

Medidas contra el negocio:

Sólo trx Autenticadas

Sólo ventas locales

Sólo clientes conocidos

Líneas de Defensa: COMERCIANTE onLINE

-Monitoreo y Alerta:

- Análisis de patrones de la operación

- Emisión de la tarjeta (País)

- Origen de la compra (Ips)

- Lugar de la entrega

- Modificaciones Sospechozas



- Modificaciones Sospechozas- Cambios de tarjeta

- Velocidad sospechoza

- Cambio de email

- Cambio de teléfonos/Direcciones

- Análisis del Producto vendido

- Fecha de entrega (prontitud, urgencia)

- Ventas inusuales.

Perfiles de Transacciones

Perfil Ventas Locales (despacho y entrega personal)

y

Perfil Ventas Internacionales (envíos por correo)

Perfil Ventas Clientes Recurrentes (+2 compras)



y

Perfil Venta a Clientes Nuevos (compras esporádicas)

Perfil de Ventas de Urgencia (entregas inmediatas)

y

Perfil de Solicitudes a futuro.

Seguridad en E-Commerce

Caso típico de Fraudede aerolínea

Compra de parte de terceros

Generalmente Business Class

Compras de último minuto

Ticket de ida y multi carriers


Ticket de ida y multi carriers

Destinos de Alto Riesgo

Transacciones provienentes de paísesinusuales.

Modelamiento del Riesgo

Regla 1; Georeferenciación SCORE

IP (País Origen) ≠ BIN (País Emisión de la tarjeta) 35%

BIN (Issuer) ≠ Banco (Banco Emisor) 80%

Regla 2: Cliente

EMAIL (dominio) = LISTA (lista dominios free) 25%


Alto Riesgo: >70%


TELEFONIO (prefijo) ≠ Ciudad (Dirección Origen Banco) 75%

Regla 3: Velocidad

TARJETA >= 3 (Ultimas 24 horas) 99%

EMAIL vsTARJETA >= 2 20%

Regla 4: FECHAFecEntrega <= 2 Días (FecCompra) 60%

Menor Riesgo: <30%


Alignet Fraud Screen: Calibración

Frecuencia esperada de compra

Tiempo esperado de compra off bajo default alto

off bajo default alto

4 opciones deoperación

• Una vez• una mensual,semanal o diaria

Seteo de comerciosParámetros

Seteo de comerciosFactor de influencia

Areas de calibración


Medición total de tolerancia de riesgo

Velocidad de compra de consumidor(agregado a través de comercios)

Riesgo asignado a e-mail / Servidor IP

Variación facturación / envío off on

off bajo default alto

semanal o diaria

• compra de regalo• no compra de regalo

Default

Defaultoff bajo default alto

0 50 100

Control del riesgo:

No se puede eliminar a los delincuentes, pero se lespuede poner mayores obstáculos para mitigar elriesgo

EL fraude no desaparece: migra a los lugares dei t i



menor resistencia

Preparase, protegerse, aprendiendo y educando alos usuarios


Muchas gracias

CÓMO BAJAR EL FRAUDE Y MEJORAR LA … · • Banco Azteca + de 1500 comercios y 1.1 millones de...

Documents

Transcript of CÓMO BAJAR EL FRAUDE Y MEJORAR LA … · • Banco Azteca + de 1500 comercios y 1.1 millones de...