Soluzioni anti-frode Market Development Banking, Insurance & Financial Services.

Soluzioni anti-frode

Market Development

Banking, Insurance & Financial Services

2

Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services |

Cos’è il Phishing?

Phishing (: creazione ed uso a scopo fraudolento di e-mail e siti web ideati per apparire come comunicazioni e siti di organizzazioni finanziarie o governative.

Le e-mail sono apparentemente inviate da una banca, un e-retailer (es. e-bay) o una compagnia di carte di credito, per indurre il destinatario ad interagire con siti web appositamente creati ad immagine di quelli del presunto mittente.I dati inseriti in questi siti (numeri di carte di credito, account username/password) vengono acquisiti dai “phisher” ed utilizzati a scopo fraudolento.

Altri attacchi di phishing – più sofisticati e maggiormente insidiosi - aggiungono una componente tecnologica, ovvero software appositamente sviluppati (Trojan, spyware…) e diffusi sia tramite le e-mail che tramite i siti contraffatti. Tali software possono compromettere il corretto funzionamento del browser, indirizzando l’utente verso siti fasulli e/o consentendo a terzi di inserirsi all’interno delle connessioni web e di modificare i dati scambiati con il sito della banca o di altre organizzazioni.

3


Non di solo Phishing…

Vishing: contrazione fra Voip e phishing.Come nel phishing, si utilizza la posta elettronica, ma in modo diverso. Nei messaggi non si inseriscono infatti link ai siti contraffatti, ma compaiono numeri di telefono (o link VoIP) di falsi Call Center. Quando un utente contatta il call center, il sistema riproduce una registrazione vocale che comunica la presenza di qualche problema sul conto bancario o sulla carta di credito e chiede di inserire i propri dati bancari riservati.Rispetto alla telefonia tradizionale, l’utilizzo del VoIP consente ai truffatori di attivare i sistemi più rapidamente, con costi più bassi e con minore possibilità di essere rintracciati.

SMiShing: contrazione tra SMS e phishingLa vittima riceve un messaggio SMS del tipo: “Le confermiamo l’avvenuta registrazione al nostro servizio di informazioni, per il quale Le addebiteremo un importo di 2 € al giorno. Per annullare la registrazione, connettersi al sito URL: www.?????.com.“. Visitando il sito indicato, la vittima scarica senza accorgersene un software maligno sul proprio PC.

4


Focus sul phishing: i numeri a livello worldwideI dati presentati nell’ultimo report dell’Anti-Phishing Working Group (http://www.antiphishing.org) confermano che il fenomeno del phishing su scala mondiale non si riduce, dopo essere cresciuto sensibilmente dalla seconda metà del 2006:

per numero di attacchi…

…per numero di Siti di Phishing…

…e per numero di Brand sotto attacco!

5


22 42

161

514

937

713

0

200

400

600

800

1000

Genn

aio

Febb

raio

Marzo

Aprile

Maggio

Giug

no

Casi di phishing in Italia nel 2007

I numeri del phishing in ItaliaLe segnalazioni di casi di phishing in Italia raccolte da “Anti-Phishing Italia” (http://www.antiphishing.it) hanno avuto una crescita esplosiva nel primo semestre del 2007, con una crescita del 914% dal primo al secondo trimestre:

Fonte: “Anti-Phishing Italia” (http://www.antiphishing.it) – Rapporto trimestrale sul fenomeno del phishing in Italia – 2° trimestre 2007

6


Quando le mail di Phishing erano comiche…

-----Original Message-----From: Banca Di Roma [mailto:[email protected]] Sent: 17 January 2007 20:04To: [email protected]: Assicurare le vostre informazioni di operazioni bancarie

I Clienti cari Valutati;

A Banca Di Roma, migliorare annualmente i nostri server di Sicurezza per tenere i nostri clienti liberano dal furto di tecnica bancaria di internet. Abbiamo migliorato qui vicino i nostri Server di SSL per migliorare la icurezza del nostro depositando per permettere in linea il libero-scorre ed il frode-libera depositando in linea per i nostri in linea clienti di tecnica bancaria. Lei è consigliato di aggiornare le sue a tempo di record al più presto possibile attraverso la nostra maglia ottenuta :http://www.bancaroma.it/site/index.asp

Per guadagnare l'accesso pieno al suo conto come questi sistemi di sicurezza migliorati possono riguardare i suoi montaggi di conto se lei non aggiorna le sue a tempo di record. Ringraziarla per il suo capire, ma anche ricordare che la sua sicurezza è il nostro interesse estremo. Dipartimento di intimità e Sicurezza. Banca Di Roma

7


Oggi non si ride più: l’italiano è corretto ed il tono minaccioso!

-----Messaggio originale-----Da: UniCredit Banca di Roma [mailto:[email protected]] Inviato: sabato 22 marzo 2008 13.57Oggetto: Banca di Roma: Segnalazione di accredito

Gentile CLIENTE, Nell'ambito di un progetto di verifica dei data anagrafici forniti durante la sottoscrizione dei servizi di Banca di Roma e stata riscontrata una incongruenza relativa ai dati anagrafici in oggetto da Lei forniti all momento della sottoscrizione contrattuale. L'inserimento dei dati alterati puo costituire motivo di interruzione del servizio secondo gli art. 135 e 137/c da Lei accettati al momento della sottoscrizione, oltre a costituire reato penalmente perseguibile secondo il C.P.P ar.415 del 2001 relativo alla legge contro il riciclaggio e la transparenza dei dati forniti in auto certificazione. Per ovviare al problema e necessaria la verifica e l'aggiornamento dei dati relativi all'anagrafica dell'Intestatario dei servizi bancari. Effetuare l'aggiornamento dei dati cliccando sul seguente collegamento sicuro: Acceda al servizio Filiale via Internet » <http://host81-143-85-14.in-addr.btopenworld.com/index.html> Cordiali Saluti, Banca di Roma

8


A livello organizzativo: definizione di processi interni codificati e focalizzazione delle strutture organizzative

A livello di sicurezza perimetrale: aumento del livello di protezione del centro servizi da attacchi informatici

A livello di monitoraggio: “Analisi del comportamento” dell’utente on-line (tipo quelle per Carte di pagamento)

Formazione ed informazione dell’utente del servizio

Aumento del livello di sicurezza dei meccanismi di autenticazione d’utente

Introduzione di meccanismi di protezione, quando possibile, del terminale remoto

A livello del Worldwide WEB: “Difesa del nome” dell’Istituto Bancario su email, SMS e siti presenti in Internet

Contrasto diretto alla sopravvivenza dei siti di Phishing

Come contrastare il fenomeno delle frodi on-line

In B

an

ca

Occorre affrontare la questione a livello globale:

Dal C

lien

teN

ella R

ete

9


Controllo informatico dell’operazione: decisione se accettare o ritardare o rifiutareo contattare l’utente per le opportune verifiche sulla base di :

Indirizzo IP del client remoto

Caratteristiche device: header del browser, cookie, caratteristiche cache, configurazione OS;

Correlazione tra le informazioni legate all’indirizzo IP/device del client remoto, l’identificativo del “conto” ed il fattore temporale

Controllo di profilo sul “comportamento” dell’utente

Controllo del “conto” beneficiario (quando possibile) ed attivazione degli adeguati “warning”: Comportamento del conto beneficiario (conto appena aperto, o che è stato

soggetto a più bonifici) Tipologia di beneficiario (conto estero con livello di warning su base Paese e

tipologia di conto beneficiario, carta telefonica, carta pre-pagata) Conto inserito in una “lista di attenzione”

Sulla base dell’insieme delle verifiche, viene assegnato un “punteggio di rischio” alla singola transazione, che può consentire alla Banca di decidere se effettuare ulteriori verifiche o prendere altri provvedimenti.

Profilatura e monitoraggio del Cliente on-line

10


Strong Authentication o autenticazione a 2 fattori: oltre all'identificativo, l'utente possiede altri due elementi: uno da ricordare (password/pin) e l'altro da possedere (dispositivo fisico). La Strong Authentication è quindi una combinazione di ciò che uno sa con ciò che uno ha.

Nell’ambito delle soluzioni di Strong Authentication, particolare interesse riscuotono quelle basate su One Time Password (OTP): meccanismi di autenticazione dove la password ha una validità limitata: una sola volta, per pochi minuti.La OTP appare come una soluzione particolarmente gradita dai Clienti finali, per la semplicità di utilizzo e perché se ne percepisce facilmente la sicurezza intrinseca.

Un ulteriore elemento di interesse nella realizzazione di soluzioni di autenticazione a 2 fattori è legato alla possibilità di impiegare il telefono cellulare come dispositivo fisico, sfruttando la assoluta ed unica pervasività dell’oggetto.

L’autenticazione forte: One Time Password e non solo

11


Password dinamica generata da un Token HW (o SW) Password generata in modo sequenziale Password generata su base temporale (problematica della sincronizzazione

temporale con il server centrale) Unicamente su base temporale Sulla base anche di un PIN inserito sulla tastiera del token

Password dinamica generata da un Token EMV.Il Token EMV sfrutta la personalizzazione “nativa” della carta bancaria. All’utente viene quindi consegnato/inviato un lettore generico, inizializzato dall’utente con il semplice inserimento del PIN: il lettore è quindi in grado di leggere la carta, per poi generare la OTP. Appena la carta viene rimossa, tutti i dati vengono cancellati dal Token.

Password dinamica generata da una Token Card Oggetto “totalmente bancario” Elimina il “fastidio” del token aggiuntivo da portare in tasca ed è meno

ingombrante Non rappresenta un aggravio logistico perché viene distribuita normalmente

in Agenzia Costo attualmente molto superiore ai Token “tradizionali” Non ha ancora la certificazione da parte dei circuiti di pagamento

Meccanismi di autenticazioni forteGenerazione di One Time Password

12

Le soluzioni anti-frode | Market Development | Banking, Insurance & Financial Services |Meccanismi di autenticazione forte Call Drop: Autenticazione mediante chiamata da cellulare

L’utente, per completare il processo di autenticazione, deve dimostrare il possesso del terminale mobile e della relativa SIM effettuando una chiamata ad un numero verde “dinamico”.

Funzionalità - CaratteristicheFunzionalità - Caratteristiche Strong Authentication a due fattori mediante terminale mobile (e relativa

SIM).

Indipendente dalla tipologia di terminale e di operatore (soluzione clientless).

Nessun costo legato alla transazione: la chiamata viene abbattuta una volta riconosciuto il numero chiamante.

Provisioning semplificato: è sufficiente conoscere i numeri di telefono degli utenti.

Facilmente integrabile in servizi preesistenti (tramite interfacce WebServices).

Possibilità di analisi delle transazioni di autenticazione mediante profilatura degli utenti ed utilizzo delle tecniche di “anomaly detection” per rilevare tentativi di attacco.

13


Call Drop: User Experience

Centro Servizi (Banca)1. Richiesta Servizio via connessione Web (USERNAME, PSW STATICA)

2. Richiesta di effettuare una chiamata al numero “12348345234”

3. Chiamata a “12348345234”

4. OK/NO

Internet

Rete Telefonica

14


Nel man in the middle attack l'attaccante è in grado di in grado di osservare e intercettare il transito dei messaggi tra le due vittime e può quindi leggere, inserire o modificare il contenuto dei messaggi medesimi, senza che nessuna delle due vittime sia in grado di sapere se il collegamento sia stato compromesso.

Credenziali (USERNAME, PASSW)

Fase di autenticazione

Codice Dispositivo (PIN, OTP, tec.)

Bonifico a favore di Mr. Phisher € 150.000Bonifico a favore di Rossi Mario € 500

Conferma transazione!

L’utilizzo di soluzioni di Strong Authentication senza “canale di ritorno” (OTP Token, Call Drop) non costituisce una garanzia di sicurezza sufficiente a fronte di attacchi di tipo man in the middle!

L’attacco “man in the middle”

15


Contrastare l’attacco “man in the middle”

L’efficace contrasto a tecniche di attacco tipo “man-in-the-middle” può essere garantito solo attraverso una modalità sicura di “feedback” all’utente, che possa confermargli l’integrità dei dati della transazione bancaria da questi attivata.

Tale feedback può essere trasmesso attraverso: un canale alternativo a quello Web, oppure attraverso il canale Web, ma in una modalità sicura, non

visualizzabile né compromissibile da terzi.

16


Il “canale alternativo”

InternetInternet

Polo Principale

Polo Alternativo

Prima autenticazione

Centro servizi

La soluzione prevede un meccanismo di “autenticazione forte” con richiesta esplicita di autorizzazione (riportando gli estremi dell’operazione dispositiva) attraverso un “canale alternativo”, ovvero la rete cellulare.

Autenticazione e autorizzazione dell’operazione

dispositiva

17


Come funziona la soluzione di “Mobile OTP”

PASSWORD

1°) Il correntista imposta la richiesta di

Bonifico via INTERNET.

Il software applicativo chiede di digitare la password che perverrà via SMS al fine di confermare l’operazione dispositiva

Banca xxxx Servizi Online:richiesta conferma operazione di Bonifico al

cc n: 012345 di 20,00 EURO. Per eseguire l’operazione digitare la password:

AF2GH772

3°) Il correntista utilizza la Password arrivata attraverso il “canale alternativo” per confermare l’operazione

4°) Il software applicativo verifica la validità della Password: se corrisponde l’operazione viene confermata, altrimenti viene rifiutata

2°) La Banca invia sul cellulare dell’utente un SMS che riassume la transazione e contiene la OTP dispositiva

Servizi online

18


Nessuna necessità per il cliente di portare con sé un oggetto aggiuntivo (mentre il cellulare è ormai un’appendice delle persone…)

Provisioning e gestione del servizio estremamente semplificati rispetto alla distribuzione di Token alla clientela

Nessun problema di allineamento e di sincronismo tra componenti Client e Server.

L’SMS inviato al cliente contiene i dati salienti della transazione, consentendo di verificare che le informazioni inviate via web alla banca siano arrivate integre alla banca stessa (utile anche per contrastare gli attacchi “man-in-the-middle”)

I vantaggi del canale alternativo

19


Strong Authentication “SC@CCO”

SC@CCO è una innovativa piattaforma di autenticazione – sviluppata e brevettata dai laboratori del gruppo TI - che consente la strong authentication degli utenti, utilizzando il terminale mobile come token di sicurezza.

La piattaforma utilizza la metodologia “Challenge-Response” unitamente ad un supporto di tipo grafico ed ad uno specifico software installato sul terminale mobile dell’utente.

20


11

22

33

From: Aliceanca

Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione.

Per confermare: 13456

Sc@cco per la fase dispositiva dell’Internet Banking

Anti-Phishing

From: Aliceanca

Bonifico; Beneficiario: Bianchi Paolo, Importo: 2,500, CC: 661***, Causale: Premio Assicurazione. Per confermare: 13456

13456

21


…..grazie e buona navigazione a tutti……

Soluzioni anti-frode Market Development Banking, Insurance & Financial Services.

Documents

Transcript of Soluzioni anti-frode Market Development Banking, Insurance & Financial Services.