Deivison Pinheiro Franco

TC3 – Analista Pleno

deivison.franco@bancoamazonia.com.br

Ramal: 3828

Medidas para Conter Fraudes e Subsidiar

Inteligência Antifraude em Bancos

DINEG – Diretoria de Infraestrutura do Negócio

SECTI – Secretaria Executiva de Tecnologia da Informação

COSTI – Coordenadoria de Segurança de Tecnologia da Informação

Quem sou eu?

TC 3 - Analista Pleno de Segurança da Informação do Banco da Amazônia;

Mestrando em Inovação Tecnológica com Linha de Pesquisa em Segurança da

Informação, Especialista em Ciências Forenses com Ênfase em Computação

Forense, em Suporte a Redes de Computadores e em Redes de Computadores

e Graduado em Processamento de Dados;

Membro Titular da Sociedade Brasileira de Ciências Forenses, Perito Judicial em

Forense Computacional, Auditor de TI e Pentester;

Professor da FCAT, do CESUPA, do IFPA e do IESAM;

Colunista das Revistas Segurança Digital, Convergência Digital, Espírito Livre,

Hakin9 e eForensics Magazine;

Certificações: ISO/IEC 27002 Foundation e Advanced, CEH – Certified Ethical

Hacker, CHFI – Certified Hacking Forensic Investigator, CIFI – Certified

Information Forensic Investigator, CFCE – Certified Forensic Computer Examiner

e DSFE – Data Security Forensics Examiner.

Agenda

Contexto das Fraudes

Evolução das Fraudes

Roubo de Identidade

Perfil do Fraudador

Medidas Adotadas para Prevenção

Soluções Disponíveis e Medidas Preventivas

Conclusão

Contexto das Fraudes

Por dia, quase 80 mil brasileiros são vítimas de fraudes

Mundialmente, o custo das fraudes é calculado em US$ 144

bilhões/ano

Estima-se que 36 milhões de brasileiros foram vítimas, em 2012, de

fraudes

Prejuízo financeiro em 2012 em torno de R$ 15,3 bilhões

Evolução das Fraudes

Fraudes Offline (Sem conexão à Internet)

Fraudes em ATMs/Cartões 28%

Técnicas Conhecimento técnico do funcionamento do ATM / Conhecimento

dos procedimentos para clonagem

Não técnicas Engenharia Social

» Fraudes mais comuns «

Fraudes Online (Com Conexão à Internet)

Vírus e Malwares 42% das fraudes

Phishing/Scaming 11% das fraudes

Redes sociais 19% das fraudes

Roubo de Identidade

Uso indevido da informação de uma pessoa, a fim de se obter

benefícios em seu nome

70% dos casos online

30% offline

Formas mais comuns de roubo de identidade:

Clonagem / Skimming

Roubo / Furto tradicional

Informações em formulários de internet Phishing / Scaming

Mercado negro

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em ATMs

Skimming

Roubo de Identidades em POS

Cloning

Vídeos

Demonstração de skimming

Demonstração de POS cloning

Demonstração de alteração de ATMs

Perfil do Fraudador

Na Agência

Conhecem os mecanismos de funcionamento dos ATMs

Conhecem os mecanismos/rotinas de segurança da Agência

Bem vestidos, com boa conversa, usualmente de óculos escuros e com bonés

“Solícitos” e “prestativos” Abordam clientes aparentemente leigos / ingênuos

com o intuito de “ajudar” Engenharia social

Geralmente permanecem ou retornam ao local como se nada tivesse

acontecido

Fora da Agência

Postos de gasolina, lojas de conveniências e mercearias

Levam o cartão do cliente para outro lugar longe do alcance de percepção

POS alterados para clonagem

Medidas Preventivas

Contra Fraudes Online

Antivírus

Certificação Digital / Token

Teclado Virtual / Plugin

Autenticação de 2 ou mais fatores (senha + contrassenha)

Cartão com chaves de segurança

Contra Fraudes Offline

Cartão com chip

Aviso por SMS

Anti Skimers

Medidas Preventivas

Contra Fraudes Online Internet Banking

Senha de Internet

Senha eletrônica

Cartão de senhas

Plugin da Gas

Contra Fraudes Offline ATMs

Senha Numérica (6 posições)

Senha Alfabética (de 3 a 6 caracteres)

Identificação positiva (dia, mês ou ano de nascimento + sequencial numérico

do cartão todos aleatórios)

Cartão com chip (em fase de implantação)

Medidas Preventivas - SMS

Notificações de transações acima de R$100,00

Vantagem

Acompanhamento de transações atípicas

Desvantagem

Atualmente em caso de notificações anômalas em uma sexta-feira à noite, o

cliente tem que aguardar até segunda-feira pela manhã para bloquear/cancelar

o cartão

Bloqueio de cartão no ATM Locais onde não há agência/ATM não há essa

possibilidade

Sugestão

Possibilidade de cancelamento 24/7

Medidas Preventivas - Cartão

Tarja magnética

Vantagem

Fácil implantação

Desvantagens

Entrando em obsolescência

Fácil clonagem

Sugestão

Migração para cartão com chip

Medidas Preventivas - Cartão

Vantagens

Nova tendência de identificação

Atende solução de segurança das bandeiras (conectividade mais segura)

Atende Internet Banking e ATMs

“Desvantagem”

Adequação dos ATMs Leitores de cartão com chip (smartcard)

Soluções Disponíveis para Prevenção das

Fraudes Bancárias Mais Comuns

Autenticação

Prevenção de Fraudes em ATMs

Anti Skimmers

Prevenção de Fraudes em ATMs

Anti Skimmers

Outras Medidas Preventivas

Mudança cultural, educação e conscientização de clientes

Divulgação de informativos a respeito de segurança de informações bancárias

(cuidado com senhas, cartões, ajuda de estranhos etc.)

Orientar o cliente acerca de comportamentos atípicos mais comuns em ATMs

(comparação com outros ATMs)

Capacitar o pessoal das agências, também, acerca da identificação de

comportamentos atípicos em ATMs (comparação com outros ATMs)

Cartão com chip (em fase de implantação)

Cancelamento 24/7

Conclusão

A tecnologia trouxe melhorias para os negócios, mas também

criou um novo terreno para os fraudadores

Há várias ferramentas/mecanismos para prevenção de fraudes

bancárias SMS, Plugin de Segurança, Cartão com Chip

A perspectiva é de que seja cada vez mais necessário o

trabalho de prevenção, conscientização, resposta a incidentes,

aquisição de novas tecnologias para prevenção de fraudes

As medidas/soluções preventivas evoluem a cada dia...

E os fraudadores também!

OBRIGADO!

DEIVISON PINHEIRO FRANCOTC3 - ANALISTA PLENO

MEMBRO TITULAR DA SOCIEDADE BRASILEIRA DE CIÊNCIAS FORENSES

PERITO FORENSE COMPUTACIONAL, AUDITOR DE TI E PENTESTER

ISO/IEC – 27002 FOUNDATION/ADVANCED

CEH – CERTIFIED ETHICAL HACKER

CHFI – CERTIFIED HACKING FORENSIC INVESTIGATOR

CIFI – CERTIFIED INFORMATION FORENSIC INVESTIGATOR

CFCE – CERTIFIED FORENSIC COMPUTER EXAMINER

DSFE – DATA SECURITY FORENSICS EXAMINER

deivison.franco@bancoamazonia.com.br

Ramal: 3828

DIRETORIA DE INFRAESTRUTURA DO NEGÓCIO - DINEG

SECRETARIA EXECUTIVA DE TECNOLOGIA DA INFORMAÇÃO - SECTI

COORDENADORIA DE SEGURANÇA DE TECNOLOGIA DA INFORMAÇÃO - COSTI