La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Soluzioni anti-frode Market Development Banking, Insurance & Financial Services.

Presentazioni simili


Presentazione sul tema: "Soluzioni anti-frode Market Development Banking, Insurance & Financial Services."— Transcript della presentazione:

1 Soluzioni anti-frode Market Development Banking, Insurance & Financial Services

2 2 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Cosè il Phishing? Phishing (: creazione ed uso a scopo fraudolento di e siti web ideati per apparire come comunicazioni e siti di organizzazioni finanziarie o governative. Le sono apparentemente inviate da una banca, un e-retailer (es. e-bay) o una compagnia di carte di credito, per indurre il destinatario ad interagire con siti web appositamente creati ad immagine di quelli del presunto mittente. I dati inseriti in questi siti (numeri di carte di credito, account username/password) vengono acquisiti dai phisher ed utilizzati a scopo fraudolento. Altri attacchi di phishing – più sofisticati e maggiormente insidiosi - aggiungono una componente tecnologica, ovvero software appositamente sviluppati (Trojan, spyware…) e diffusi sia tramite le che tramite i siti contraffatti. Tali software possono compromettere il corretto funzionamento del browser, indirizzando lutente verso siti fasulli e/o consentendo a terzi di inserirsi allinterno delle connessioni web e di modificare i dati scambiati con il sito della banca o di altre organizzazioni.

3 3 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Non di solo Phishing… Vishing: contrazione fra Voip e phishing. Come nel phishing, si utilizza la posta elettronica, ma in modo diverso. Nei messaggi non si inseriscono infatti link ai siti contraffatti, ma compaiono numeri di telefono (o link VoIP) di falsi Call Center. Quando un utente contatta il call center, il sistema riproduce una registrazione vocale che comunica la presenza di qualche problema sul conto bancario o sulla carta di credito e chiede di inserire i propri dati bancari riservati. Rispetto alla telefonia tradizionale, lutilizzo del VoIP consente ai truffatori di attivare i sistemi più rapidamente, con costi più bassi e con minore possibilità di essere rintracciati. SMiShing: contrazione tra SMS e phishing La vittima riceve un messaggio SMS del tipo: Le confermiamo lavvenuta registrazione al nostro servizio di informazioni, per il quale Le addebiteremo un importo di 2 al giorno. Per annullare la registrazione, connettersi al sito URL: Visitando il sito indicato, la vittima scarica senza accorgersene un software maligno sul proprio PC.

4 4 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Focus sul phishing: i numeri a livello worldwide I dati presentati nellultimo report dellAnti-Phishing Working Group (http://www.antiphishing.org) confermano che il fenomeno del phishing su scala mondiale non si riduce, dopo essere cresciuto sensibilmente dalla seconda metà del 2006:http://www.antiphishing.org per numero di attacchi… …per numero di Siti di Phishing… …e per numero di Brand sotto attacco!

5 5 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | I numeri del phishing in Italia Le segnalazioni di casi di phishing in Italia raccolte da Anti-Phishing Italia (http://www.antiphishing.it) hanno avuto una crescita esplosiva nel primo semestre del 2007, con una crescita del 914% dal primo al secondo trimestre: Fonte: Anti-Phishing Italia (http://www.antiphishing.it) – Rapporto trimestrale sul fenomeno del phishing in Italia – 2° trimestre 2007http://www.antiphishing.it

6 6 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Quando le mail di Phishing erano comiche… -----Original Message----- From: Banca Di Roma Sent: 17 January :04 To: Subject: Assicurare le vostre informazioni di operazioni bancarie I Clienti cari Valutati; A Banca Di Roma, migliorare annualmente i nostri server di Sicurezza per tenere i nostri clienti liberano dal furto di tecnica bancaria di internet. Abbiamo migliorato qui vicino i nostri Server di SSL per migliorare la icurezza del nostro depositando per permettere in linea il libero-scorre ed il frode-libera depositando in linea per i nostri in linea clienti di tecnica bancaria. Lei è consigliato di aggiornare le sue a tempo di record al più presto possibile attraverso la nostra maglia ottenuta : Per guadagnare l'accesso pieno al suo conto come questi sistemi di sicurezza migliorati possono riguardare i suoi montaggi di conto se lei non aggiorna le sue a tempo di record. Ringraziarla per il suo capire, ma anche ricordare che la sua sicurezza è il nostro interesse estremo. Dipartimento di intimità e Sicurezza. Banca Di Roma

7 7 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Oggi non si ride più: litaliano è corretto ed il tono minaccioso! -----Messaggio originale----- Da: UniCredit Banca di Roma Inviato: sabato 22 marzo Oggetto: Banca di Roma: Segnalazione di accredito Gentile CLIENTE, Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Banca di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale. L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione. Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi bancari. Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro: Acceda al servizio Filiale via Internet » addr.btopenworld.com/index.html Cordiali Saluti, Banca di Roma

8 8 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | A livello organizzativo: definizione di processi interni codificati e focalizzazione delle strutture organizzative A livello di sicurezza perimetrale: aumento del livello di protezione del centro servizi da attacchi informatici A livello di monitoraggio: Analisi del comportamento dellutente on-line (tipo quelle per Carte di pagamento) Formazione ed informazione dellutente del servizio Aumento del livello di sicurezza dei meccanismi di autenticazione dutente Introduzione di meccanismi di protezione, quando possibile, del terminale remoto A livello del Worldwide WEB: Difesa del nome dellIstituto Bancario su , SMS e siti presenti in Internet Contrasto diretto alla sopravvivenza dei siti di Phishing Come contrastare il fenomeno delle frodi on-line In Banca Occorre affrontare la questione a livello globale: Dal Cliente Nella Rete

9 9 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Controllo informatico delloperazione: decisione se accettare o ritardare o rifiutare o contattare lutente per le opportune verifiche sulla base di : Indirizzo IP del client remoto Caratteristiche device: header del browser, cookie, caratteristiche cache, configurazione OS; Correlazione tra le informazioni legate allindirizzo IP/device del client remoto, lidentificativo del conto ed il fattore temporale Controllo di profilo sul comportamento dellutente Controllo del conto beneficiario (quando possibile) ed attivazione degli adeguati warning: Comportamento del conto beneficiario (conto appena aperto, o che è stato soggetto a più bonifici) Tipologia di beneficiario (conto estero con livello di warning su base Paese e tipologia di conto beneficiario, carta telefonica, carta pre-pagata) Conto inserito in una lista di attenzione Sulla base dellinsieme delle verifiche, viene assegnato un punteggio di rischio alla singola transazione, che può consentire alla Banca di decidere se effettuare ulteriori verifiche o prendere altri provvedimenti. Profilatura e monitoraggio del Cliente on-line

10 10 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Strong Authentication o autenticazione a 2 fattori: oltre all'identificativo, l'utente possiede altri due elementi: uno da ricordare (password/pin) e l'altro da possedere (dispositivo fisico). La Strong Authentication è quindi una combinazione di ciò che uno sa con ciò che uno ha. Nellambito delle soluzioni di Strong Authentication, particolare interesse riscuotono quelle basate su One Time Password (OTP): meccanismi di autenticazione dove la password ha una validità limitata: una sola volta, per pochi minuti. La OTP appare come una soluzione particolarmente gradita dai Clienti finali, per la semplicità di utilizzo e perché se ne percepisce facilmente la sicurezza intrinseca. Un ulteriore elemento di interesse nella realizzazione di soluzioni di autenticazione a 2 fattori è legato alla possibilità di impiegare il telefono cellulare come dispositivo fisico, sfruttando la assoluta ed unica pervasività delloggetto. Lautenticazione forte: One Time Password e non solo

11 11 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Password dinamica generata da un Token HW (o SW) Password generata in modo sequenziale Password generata su base temporale (problematica della sincronizzazione temporale con il server centrale) Unicamente su base temporale Sulla base anche di un PIN inserito sulla tastiera del token Password dinamica generata da un Token EMV. Il Token EMV sfrutta la personalizzazione nativa della carta bancaria. Allutente viene quindi consegnato/inviato un lettore generico, inizializzato dallutente con il semplice inserimento del PIN: il lettore è quindi in grado di leggere la carta, per poi generare la OTP. Appena la carta viene rimossa, tutti i dati vengono cancellati dal Token. Password dinamica generata da una Token Card Oggetto totalmente bancario Elimina il fastidio del token aggiuntivo da portare in tasca ed è meno ingombrante Non rappresenta un aggravio logistico perché viene distribuita normalmente in Agenzia Costo attualmente molto superiore ai Token tradizionali Non ha ancora la certificazione da parte dei circuiti di pagamento Meccanismi di autenticazioni forte Generazione di One Time Password

12 12 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Meccanismi di autenticazione forte Call Drop: Autenticazione mediante chiamata da cellulare Lutente, per completare il processo di autenticazione, deve dimostrare il possesso del terminale mobile e della relativa SIM effettuando una chiamata ad un numero verde dinamico. Funzionalità - Caratteristiche Strong Authentication a due fattori mediante terminale mobile (e relativa SIM). Indipendente dalla tipologia di terminale e di operatore (soluzione clientless). Nessun costo legato alla transazione: la chiamata viene abbattuta una volta riconosciuto il numero chiamante. Provisioning semplificato: è sufficiente conoscere i numeri di telefono degli utenti. Facilmente integrabile in servizi preesistenti (tramite interfacce WebServices). Possibilità di analisi delle transazioni di autenticazione mediante profilatura degli utenti ed utilizzo delle tecniche di anomaly detection per rilevare tentativi di attacco.

13 13 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Call Drop: User Experience Centro Servizi (Banca) 1. Richiesta Servizio via connessione Web (USERNAME, PSW STATICA) 2. Richiesta di effettuare una chiamata al numero Chiamata a OK/NO Internet Rete Telefonica

14 14 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Nel man in the middle attack l'attaccante è in grado di in grado di osservare e intercettare il transito dei messaggi tra le due vittime e può quindi leggere, inserire o modificare il contenuto dei messaggi medesimi, senza che nessuna delle due vittime sia in grado di sapere se il collegamento sia stato compromesso. Credenziali (USERNAME, PASSW) Fase di autenticazione Codice Dispositivo (PIN, OTP, tec.) Bonifico a favore di Mr. Phisher Bonifico a favore di Rossi Mario 500 Conferma transazione! Lutilizzo di soluzioni di Strong Authentication senza canale di ritorno (OTP Token, Call Drop) non costituisce una garanzia di sicurezza sufficiente a fronte di attacchi di tipo man in the middle! Lattacco man in the middle

15 15 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Contrastare lattacco man in the middle Lefficace contrasto a tecniche di attacco tipo man-in-the-middle può essere garantito solo attraverso una modalità sicura di feedback allutente, che possa confermargli lintegrità dei dati della transazione bancaria da questi attivata. Tale feedback può essere trasmesso attraverso: un canale alternativo a quello Web, oppure attraverso il canale Web, ma in una modalità sicura, non visualizzabile né compromissibile da terzi.

16 16 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Il canale alternativo Internet Polo Principale Polo Alternativo Prima autenticazione Centro servizi La soluzione prevede un meccanismo di autenticazione forte con richiesta esplicita di autorizzazione (riportando gli estremi delloperazione dispositiva) attraverso un canale alternativo, ovvero la rete cellulare. Autenticazione e autorizzazione delloperazione dispositiva

17 17 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Come funziona la soluzione di Mobile OTP PASSWORD 1°) Il correntista imposta la richiesta di Bonifico via INTERNET. Il software applicativo chiede di digitare la password che perverrà via SMS al fine di confermare loperazione dispositiva Banca xxxx Servizi Online: richiesta conferma operazione di Bonifico al cc n: di 20,00 EURO. Per eseguire loperazione digitare la password: AF2GH772 3°) Il correntista utilizza la Password arrivata attraverso il canale alternativo per confermare loperazione 4°) Il software applicativo verifica la validità della Password: se corrisponde loperazione viene confermata, altrimenti viene rifiutata 2°) La Banca invia sul cellulare dellutente un SMS che riassume la transazione e contiene la OTP dispositiva Servizi online

18 18 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Nessuna necessità per il cliente di portare con sé un oggetto aggiuntivo (mentre il cellulare è ormai unappendice delle persone…) Provisioning e gestione del servizio estremamente semplificati rispetto alla distribuzione di Token alla clientela Nessun problema di allineamento e di sincronismo tra componenti Client e Server. LSMS inviato al cliente contiene i dati salienti della transazione, consentendo di verificare che le informazioni inviate via web alla banca siano arrivate integre alla banca stessa (utile anche per contrastare gli attacchi man-in-the-middle) I vantaggi del canale alternativo

19 19 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | Strong Authentication è una innovativa piattaforma di autenticazione – sviluppata e brevettata dai laboratori del gruppo TI - che consente la strong authentication degli utenti, utilizzando il terminale mobile come token di sicurezza. La piattaforma utilizza la metodologia Challenge-Response unitamente ad un supporto di tipo grafico ed ad uno specifico software installato sul terminale mobile dellutente.

20 20 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | From: Aliceanca Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione. Per confermare: per la fase dispositiva dellInternet Banking Anti-Phishing From: Aliceanca Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione. Per confermare:

21 21 Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services | …..grazie e buona navigazione a tutti……


Scaricare ppt "Soluzioni anti-frode Market Development Banking, Insurance & Financial Services."

Presentazioni simili


Annunci Google