presentación: roberto opazo - workshop santiago 29/11/13
TRANSCRIPT
Phishing, clonación y caso de éxito de khipu
Roberto OpazoDirector Ejecutivo
khipu - Pago, cobro y recargo
1http://www.aumentesuconversion.com/
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu
¿Los temas técnicos son para los técnicos?
http://motherboard.vice.com/blog/dear-congress-it-s-no-longer-ok-to-not-know-how-the-internet-works
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu
Ideas equivocadas sobre el phishing
× Los sitios de los bancos son el blanco más común– Google, Facebook, Yahoo! y Amazon lo son.
– Pocos más del 20% apunta a bancos.Fuente: Estudio de Kaspersky
× El phishing consiste en mandar e-mails falsos– Se combinan muchas técnicas
× El candado de https permite estar seguro
× Las claves dinámicas impiden el phishing– OTP, tarjetas de coordenadas y biometría son vulnerables
× No pinchar un enlace en un correo nos protege– Ataques de red, QR-Code y otros mantienen el problema
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu
¿Qué nos protege del phishing?
PC sin SW malicioso
Servidor con certificado SSL-EV
Educar al usuario
La triste historia del candado
Verisign inicia operaciones.
Se valida cuidadosamente la identidad de los solicitantes de certificados.
1996La falta de acuerdo en el mercado sobre políticas para emitir certificados permitió la entrada de vendedores con validaciones mínimas.
La competencia hizo que todos dejaran de validar la identidad de los solicitantes.
2000Primera reunión del CA/Browser Forum.
2005Primera versión del estándar.
2007Los browsers relevantes eran compatibles con EV SSL.
2008
Buenas prácticas técnicas
• Redireccionar a https los requerimientos http
• Permitir https en la página home
• No pedir contraseñas en un pop-up
• Usar un certificado EV SSL
Buenas prácticas comunicacionales
• Enseñar a reconocer EV SSL, no candados.
• No se desgastarse intentando que los usuarios no pinchen enlaces.
El nivel de la banca en Chile
Banco Redirect Home S Pass EV-SSL
Banco 1 0 1 1 0
Banco 2 0 1 1 1
Banco 3 0 1 0 1
Banco 4 0 0 1 1
Banco 5 0 0 0 1
Banco 7 0 1 1 0
Banco 8 0 0 0 1
Banco 10 0 1 1 1
Banco 11 1 1 1 0
Banco 12 1 1 1 1
Banco 13 0 1 1 1
Banco 14 0 0 0 ?
Banco 15 0 0 1 0
Banco 16 0 1 0 0
Banco 17 0 1 0 0
Banco 18 0 0 1 0
Evaluación como usuario
• Redirect: Las páginas http redirigen a páginas https.
• Home S: La página home permite https si se le pide.
• Pass: La página de ingreso de la password usa https.
• EV-SSL: Las conexiones seguras con el banco usan un certificado EV-SSL
• Los bancos omitidos no tenían banca por internet.
khipu contra el phishing
• khipu implementa todas las prácticas mencionadas.
• khipu agrega el uso de una aplicación que sólo funciona en las páginas correctas de los bancos.
• Khipu está en las listas blancas de los principales antivirus del mercado.
• La aplicación de khipu está firmada electrónicamente y se distribuye desde fuentes oficiales para cada plataforma.
• Implementará primero certificate catching
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu
Clonación
• Es un problema complejo de resolver.
• El modelo operacional es la base del problema.
• Se puede migrar de fácil de clonar a difícil de clonar, pero el modelo seguirá permitiendo la clonación.
• Cifrar no resuelve las cosas.
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu
Pago móvil
• No está estandarizado el significado de “pago móvil”.
• Hay muchas formas de operación, con modelos nuevos, que resuelven la clonación.
• Y se agregan servicios por la capacidad del dispositivo.
• Se tiende a un modelo de atención ubicuo.
• Un elemento importante para distinguir es el método usado para conectar al comprador, con el vendedor: NFC, QR-Code, Geo Localización, dígitos, etc.
Introducción Seguridad y comercio electrónico
• Distinciones básicas• Buenas prácticas contra el phishing• Clonación• Pago móvil
Caso de éxito de khipu