eToken: Bank Online Seguro

1 / 30
About This Presentation
Title:

eToken: Bank Online Seguro

Description:

Conoce alguien que cambie sus claves de acceso siquiera una vez al a o? ... 'Caja Madrid, BBVA, Cajamar, Banesto, etc tera, los clientes de estas entidades ... – PowerPoint PPT presentation

Number of Views:64
Avg rating:3.0/5.0
Slides: 31
Provided by: migue58

less

Transcript and Presenter's Notes

Title: eToken: Bank Online Seguro


1
eToken Bank Online Seguro
  • Miguel López
  • Channel Manager
  • miguell_at_aladdin.es
  • 2005

2
Es esto suficiente?
  • Recomendaciones habituales en Banca.
  • Cambie su contraseña regularmente, al menos cada
    30 días.
  • Conoce alguien que cambie sus claves de acceso
    siquiera una vez al año?
  • Asegúrese de mantener actualizado su antivirus y
    su cortafuegos personal. Escanee periódicamente
    su ordenador en busca de virus.
  • Tampoco abunda este tipo de usuario y de todos
    modos es bastante dudosa la eficacia de estas
    medidas, especialmente frente al Spyware.
  • Acceda a su banco escribiendo la url directamente
    en la barra de navegación y no clickando sobre el
    link de un correo y borre directamente sin
    responder cualquier correo sospechoso,
    especialmente si solicita algún tipo de
    información personal o bancaria.
  • Un spammer puede mandar mas de un 1.000.000 de
    correos por dia sólo necesita que el 0,1 de sus
    destinatarios ignoren esta recomendación.
  • Compruebe siempre sus movimientos en los
    estractos bancarios oficiales y notifique
    cualquier anomalía de inmediato.
  • Para entonces el daño ya esta hecho sólo hace
    falta horas o incluso minutos para limpiar una
    cuenta o una tarjeta.
  • fuente http//www.bankwest.com.au/business/Bank_O
    nline/Security_Tips/

3
Los Passwords no son seguros
  • Algunos hechos recientes en España
  • La Brigada de Investigación Tecnológica de la
    Policía Nacional, señaló recientemente que el
    envío masivo de emails que pretenden ser
    notificaciones oficiales para obtener datos
    personales y bancarios es uno de los delitos
    informáticos en auge en España. Se tienen
    noticias de varios intentos de fraude a los
    clientes de Banco Popular y otro dirigido a los
    de Citibank. En mayo de este año (2004), la
    operación PHESCA de la Guardia Civil
    desarticuló una red de phishing que estafó por
    valor de 500.000 euros.
  • Según el Internet Security Intelligence
    Briefing, de VeriSign y otros estudios, existen
    37 países principales desde donde se lanzan los
    ataques de phishing. España ocupa el 7º puesto en
    el ranking de países atacados y USA el primero
    con el 44 de los ataques.
  • El responsable del Grupo de Delitos Telemáticos
    de la Guardia Civil, Juan Salom, ha explicado que
    la mayor parte del 'phishing en España proviene
    de las mafias de Europa del Este, que "han
    encontrado su agosto en estas prácticas
    delictivas".
  • Marcos Gómez, responsable del CAT (Centro de
    Alerta Temprana de Red.es) apunta que el Phishing
    se dirige tradicionalmente al sector bancario, y
    ya ha afectado en España a entidades financieras
    como el Banco Popular, Caja Madrid y Banesto. No
    obstante, ha advertido de que en los últimos
    meses también se han detectado réplicas de los
    sitios 'web' del Instituto Nacional de
    Estadística (INE), del servicio de correo
    electrónico gratuito de Microsoft, Hotmail, y de
    Yahoo!.

4
Los Passwords no son seguros
  • Algunos hechos recientes
  • Gartner Junio 2004
  • cuentas de Bank online han sido saqueadas por
    valor de 2.400 millones de dolares en los
    últimos 12 meses.
  • 1.98 millones de personas han sufrido perdidas de
    algún tipo.
  • Los problemas tenían su origen en codigo
    malicioso que repetidamente recolectaban
    contraseñas y otros datos confidenciales.
  • Las estrategias de Phishing y Spyware fueron las
    mas utilizadas.
  • Earthlink Abril 2004
  • Se estudiaron 1.6 millones de PCs y encontraron
    370,000 Trojanos activos.
  • Hasta el 35 de todos los usuarios tienen
    seriamente comprometidos sus PCs.
  • 20 minutos
  • Se calcula que en todo el mundo se registran unos
    3.000 millones de ataques al mes (básicamente
    correos electrónicos falsos), con un incremento
    en noviembre del 29. Un 5 de los internautas
    caen en la trampa. En diciembre, el sector
    financiero recibió el 85 de todos los ataques de
    phishing. Durante 2004, esta técnica le costó a
    los bancos y emisores de tarjetas de crédito 930
    millones de euros en daños

5
Suplantaciones de Identidad
  • Phishing
  • Usualmente se distribuye via spam.
  • Los ataques de Phishing se diseñan con los logos
    y colores oficiales de bancos y otras
    organizaciones y suelen incluir un link a un Web
    site o un formulario en el propio correo.
    Usualmente el Web site imita con bastante
    exactitud la página original del banco y solicita
    la introducción del nombre de usuario,
    contraseñas y otra información sensible. Hasta la
    fecha los ataques se centraban sobre
    instituciones bancarias extranjeras pero cada vez
    son mas frecuentes los ataques a bancos
    nacionales utilizando correos escritos en
    castellano.
  • Spyware
  • Tecnología que permite conseguir información
    sobre una persona u organización sin su
    consentimiento.
  • Un tipo de Spyware muy peligroso se denomina
    Keyloggers, codigos maliciosos que Recolectan
    nombre de usuario, ID y cualquier tipo de
    información sensible.
  • El spyware puede introducierse en el PC como
    consecuencia de instalar un nuevo programa, la
    acción de un virus de correo, la navegación por
    determinadas páginas, el P2P... Según diferentes
    informes, el 90 de los PCs esta infectado con
    Spyware.
  • Las herramientas de detección a nivel de PC
    funcionan sólo de forma reactiva y suelen otorgar
    una protección muy limitada.
  • Trojanos y control remoto
  • A medio camino entre los Virus y el Spyware, este
    tipo de malware es capaz de tomar el control de
    un PC y extraer cualquier información en él
    almacenada sin que el usuario sea consciente de
    nada.

6
Trojanos y Control-Remoto
Algunos permiten tomar el control completamente
del PC infectado. Pueden estar insertados en
correos y páginas web o como parte de la
instalación de algun otro SW. No originan ninguna
alerta en el usuario el peligro está oculto!
Los Trojanos son habitualmente activados por el
exploit de un agujero de seguridad
7
Victim found! - Take snapshot with web-cam -
Send message
Take another web-cam snapshot SURPRISE!
Hacker is using Back Orifice (BO) Trojan to
access remote victims
8
Vamos de Pesca!
9
Phishing Fraude al Citizens Bank
http//80.180.62.6187/cz/index.html
10
Phishing Fraude al HSBC
http//www.89jr02kernel0193.biz/
11
Phishing Fraude al Citibank
http//68.255.44.23887/636974/696E646578
2E68746D
12
Fraude a eBay
13
Phishing en España
  • Cerca de 10.000 españoles mordieron el anzuelo
    del "phishing" durante el último año. El
    Observatorio Español de Internet (OEI) calcula
    que, a lo largo del último año, más de 10.000
    personas han sido víctimas en España de estafas
    de "phishing".
  • Fuente libertad digital
  • Caja Madrid, BBVA, Cajamar, Banesto, etcétera,
    los clientes de estas entidades se han visto
    afectados en los últimos meses por intentos de
    fraude online. Es lo que los anglosajones llaman
    phishing. Los piratas utilizan el e-mail como
    señuelo para pescar a los incautos internatuas.
  • Fuente Expansión
  • Prácticamente, ninguna entidad española se ha
    librado de uno de estos ataques indiscriminados,
    que se han multiplicado en España en los últimos
    meses. Entre los últimos objetivos han estado
    Caja Madrid, Cajamar, Banesto o BBVA, aunque en
    meses anteriores también lo fueron otros como
    Santander o el Popular. Los cálculos de los
    expertos consultados por Efe dicen que, de los
    seis millones de correos enviados en cada ataque,
    entre 2.400 y 6.000 consiguen su objetivo.
  • Fuente EFE
  • Ejemplo
  • RECARG-T web trampa Recarga-T, un sitio
    fraudulento que ofrecía recargas de móviles.

14
Phishing Fraude a Caja Madrid
  • El texto del email era
  • Estimado cliente de Banco CAJA MADRID!"Por
    favor, lea atentamente este aviso de seguridad.
    Estamos trabajando para proteger a nuestros
    usuarios contra fraude. Su cuenta ha sido
    seleccionada para verificaci?n, necesitamos
    confirmar que Ud. es el verdadero due?o de esta
    cuenta. Por favor tenga en cuenta que si no
    confirma sus datos en 24 horas,nos veremos
    obligados a bloquear su cuenta para su
    protección.
  • En este caso los datos se tecleaban en el cuerpo
    del mismo correo para ser posteriormente enviados
    a este servidor hospedado en Taiwan
  • http//220.130.132.190/manual/t.php pero al
    momento son redireccionados a Caja Madrid por lo
    que el cliente puede no sospechar nada

15
Fraude a Cajamar
  • CAJAMAR En este caso el mensaje pedía que se
    rellenara un formulario online amenazando con
    bloquear la cuenta en caso contrario. El coreo
    estaba redactado en Castellano y utilizaba logos
    y colores corporativos de la entidad.

16
Phishing Fraude al BBVA
  • Uno de los mensajes recibidos por los
    internautas, remitido por Supporte Banca BBVA,
    pretende ser una comunicación del BBVA.
  • Si llega a pinchar en el enlace del correo
    electrónico, el receptor llegaría a la web trampa
    (http//bbva-support.com, ya inactiva), en lugar
    de a la legítima del BBVA (https//www.bbvanet.com
    ). Quien no se fije en la dirección no apreciará
    ninguna diferencia con la original

17
La advertencia a los clientes no elimina la
amenaza!
  • Muchos clientes no prestan demasiada atención a
    las advertencias de seguridad eso no me puede
    pasar a mi.
  • La mayor parte de los usuarios particulares
    tienen infectado su PC con Keyloggers, troyanos
  • El crecimiento de la banda ancha en España
    multiplica la capacidad de los hackers para
    dispersar sus ataques. Asimismo, desde el punto
    de vista de los clientes, cada vez mas
    ordenadores quedan encendidos y conectados a
    interntet vulnerables a a todo tipo de ataques y
    especialmente a herramientas de control remoto.
  • Los ataques empiezan a ser cada vez mas
    organizados y con medios existen mafias cuya
    finalidad es conseguir acceso a cuentas bancarias
    y se apoyan en herramientas cada vez mas
    sofisticadas combinando simultáneamente virus,
    troyanos, gusanos, keyloggers, y muy
    especialmente SPAM.
  • Es posible cuantificar el coste en dinero
    sustraido pero Cuál es el coste en términos de
    imagen? Cuantos clientes dejan de operar en
    internet por miedo a un sistema inseguro y
    vulnerable a ataques? cuantos clientes pueden
    perderse e irse a entidades con sistemas mas
    confiables?

18
Combatiendo la suplantación de identidad
19
Combatiendo la suplantación de identidad con
Autenticación fuerte
  • Tokens de autenticación fuerte
  • No mas confianza exclusivamente en la contraseña
  • Lo que tienes (Token y certificado) y lo que
    sabes (contraseña del token)
  • Opcionalmente, lo que tienes puede ser unicamente
    el token sin certificado ya que es posible
    identificar el token de cada usuario por su
    número de serie exclusivo.
  • OTP tokens
  • Lo que tienes Token OTP que genera una
    contraseña segura de un sólo uso.
  • Lo que sabes (contraseña habitual)
  • Gestión de contraseñas sobre un Token USB
  • Aplicaciones complementarias Web Sign-On y
    Simple Sign-On
  • Credenciales se almacenan de forma segura en el
    token y no en el PC

20
Prevención de la suplantación de identidad con
eToken
eToken de Aladdin proporciona autenticación
fuerte de usuarios y gestión de contraseñas
eficaz y segura con la mejor relación
beneficio-inversión
21
Autenticándose con eToken
Sólo conecte su eToken (Factor 1)
Y escriba su contraseña (Factor 2)
22
eToken beneficios para la Banca
  • Mayor seguridad eliminación del fraude y las
    perdidas de imagen
  • Solución 100 frente al Phishing
  • Facilidad de uso
  • Tokens personalizables Marketing y fidelización
  • Facilidad de despliegue y mantenimiento
  • TMS
  • Soporte local de Aladdin con oficinas en Madrid y
    Barcelona
  • Beneficios añadidos
  • WSO login en páginas web con eToken. Posibilidad
    de uso en patrocinios y convenios con otras
    entidades.
  • RSO Soluciones para gestión de contraseñas
    especialmente interesante para el entorno de
    empleados.
  • Network Logon uso del eToken para autenticación
    frente a dominios Microsoft (autenticación con
    eToken Passwaord del etoken) solución al
    problema del cambio periodico de las contraseñas
    de empleados.
  • Posibilidad de integración con chip de proximidad
    para accesos físicos
  • Flexibilidad de procedimientos
  • El cliente puede firmar transacciones con el
    eToken y realizar operaciones menos importante
    sólo con usuario y password o bien se puede
    exigir la presencia del eToken para todos los
    casos.
  • Tres procedimientos para firmar
  • Con eToken login y password (Requiere instalar
    SW en el PC)
  • Con eToken Certificado (requiere instalar SW en
    el PC y el Certificado en el eToken muy sencillo
    con el TMS).
  • Con eToken OTP (no se requiere instalación de SW
    alguna aunque se puede combinar con el uso del
    certificado si se desea)

23
eToken beneficios para la Banca
  • PKI Token Management System
  • Etoken puede almacenar certificados previamente
    generados o incluso generar él mismo el par de
    claves.
  • Con el TMS (Token Management System) es posible
    crear procedimientos web sencillos y seguros para
    la inicialización de tokens directamente y de
    forma inmediata en las sucursales. El token puede
    inicializarse en un par de minutos incluyendo
    dentro un certificado no extraible cuyas claves
    pueden haberse generado en el propio dispositivo
    o bien en la CA (Microsoft, Verisgn, Safelayer,
    Opensorce). Otra posibilidad es el envío del
    eToken en blanco al cliente para que éste lo
    inicialice en la web del banco de forma segura y
    sin desplazamiento.
  • El mantenimiento y gestión del ciclo de vida del
    eToken puede realizarse vía web por las
    sucursales o incluso por los mismos clientes si
    se desea. Algunas acciones que podrían realizarse
    vía web gracias al TMS son
  • - Inicialización de eTokens y descarga de
    certificados
  • - Back up seguro de la información (si procede)
  • - Desbloqueo de eTokens
  • - Descarga de SW si fuera preciso.

24
Un eToken para cada necesidad
25
Conclusiones
  • Las recomendaciones de uso a los usuarios de Bank
    Online son necesarias pero en ningún caso suponen
    una solución real y en muchos casos ni siquiera
    eximen de responsabilidad a la entidad en caso de
    fraude.
  • Es preciso dotar de instrumentos seguros a las
    transacciones por internet si se quiere frenar el
    fraude y por ende las reticencias del cliente a
    utilizar los servicios de Bank Online.
  • Buena parte del exito que en su momento tuvieron
    los cajeros automaticos se basó en la sensación
    de seguridad percibida la tarjeta (lo que se
    tiene) y el PIN (lo que se sabe). Hay que buscar
    un modelo similar para los nuevos canales de
    internet.
  • Los token no sólo securizan las transacciones
    sino que se convierten en una importante
    herramienta de marketing y fidelización del
    cliente además de afianzar la imagen corporativa.
  • Es posible usar el eToken en cualquier tipo de
    entorno, incluso en aquellos en los que no es
    posible instalar SW o conectar un dispositivo USB.

26
Conclusiones
  • Tres posibles soluciones al Phishing
  • eToken Pro Certificado digital el usuario
    podría acceder para ver movimientos mediante el
    Web Sign On, el cual rellena usuario y Password
    sólo en la url correcta. Cuando desea hacer una
    transacción o un movimiento económico de
    cualquier tipo la web le pide que firme la
    operación con su certificado, el cual está
    almacenado en el eToken y no puede extraerse.
  • eToken Pro ActiveX Similar al caso anterior
    pero sin certificado digital. En el momento de
    realizar la operación además del usuario y
    password estático introducido anteriormente la
    página exige la presencia del etoken con el
    número de serie que corresponde al del usuario en
    cuestión (esta validación la realiza un activeX
    previamente descargado).
  • eToken NG/OTP el usuario introduce su login y
    password (opcionalmente usando nuestro WSO) y
    para firmar las operaciónes se utiliza el
    Password dinámico generado por la pantalla del
    OTP.

27
Algunas referencias
  • UBS Bank
  • Bank of Romania
  • Bank Hapoalim
  • Singapore Stock Exchange
  • Israel Stock Exchange
  • Bank Pireaus
  • Bank Leumi
  • Bank of Romania
  • Israel Union Bank
  • Harel Insurance
  • Forresters Insurance
  • Clal Insurance
  • Bank Discount

28
eToken Partners, Customers Certifications
Awards
29
Aladdin Knowledge Systems (NASDAQ ALDN) en un
proovedor global en el mercado de seguridad IT
desde 1985. Con una red de distribución de mas
de 50 partners en los 5 continentes, Aladdin
proporciona los mejores productos, servicios y
soporte a sus clientes.
30
Gracias!Miguel LópezChannel ManagerMiguell_at_alad
din.esPara mas información www.Aladdin.com/eTok
en
Write a Comment
User Comments (0)
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "eToken: Bank Online Seguro" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!