seguridad en medios de pago - unizar.esciberconta.unizar.es/postgrados/medios-de-pago.pdf ·...
TRANSCRIPT
Seguridad Web + Medios de Pago
1
Medios de Pago y Fraude en Internet
Pedro Sanz ([email protected])Departamento de Informática e Ingeniería de
Sistemas
Seguridad Web + Medios de Pago
2
Medios de Pago Clásicos
Contrarreembolso
Transferencia bancaria/Ingreso en cuenta
Con tarjeta, a través de la tienda
Con tarjeta, mediante pasarela de pago TPV
PayPal
Western Union y MoneyGram
BitCoins
Seguridad Web + Medios de Pago
3
Medios de Pago Clásicos
Fuente: Estudio B2C ONTSI Nov-2017 https://bit.ly/2A2myde
Seguridad Web + Medios de Pago
4
Contrarreembolso
Ventajas:
• Es un medio conocido por el cliente
• El cliente no necesita tener una tarjeta de crédito
• Ofrece confianza al cliente hasta que no le llega el producto no va a pagar.
Seguridad Web + Medios de Pago
5
Contrarreembolso
Desventajas:
• Altas comisiones (2016) Correos: 2.75% - 6%
Mínimo 1,75 € – 7,50 €http://bit.ly/2nlSRun
SEUR: 5% valor pedido, con 3.47 € mínimo y 83.44 € máx
• Te ingresan el dinero al cabo de un tiempo ~ 1 semana
• El cliente no puede abrir el paquete hasta que paga Detalle poco conocido
Seguridad Web + Medios de Pago
6
Transferencia bancaria/Ingreso
Al cliente se le da un nº de cuenta y realiza el ingreso/transferencia correspondiente por valor del producto comprado que le indicamos en la tienda.
Seguridad Web + Medios de Pago
7
Transferencia bancaria/Ingreso
Ventajas:
• Sistema sencillo de implementar
• Inmediato
Seguridad Web + Medios de Pago
8
Transferencia bancaria/Ingreso
Desventajas:
• El cliente tiene complicado el recuperar el dinero en caso de fraude
• Requiere coordinación entre nuestro sistema de ventas y de banca online, para saber cuando un cliente ha pagado
• Cada banco/caja tiene sus propias comisiones para transferencias entre ellas Algunas son elevadas y es habitual que a los clientes extranjeros se les “olvide” pagarlas
Seguridad Web + Medios de Pago
9
Pago con tarjeta a través del vendedor
Se comunica los datos de la tarjeta al comerciante, y este realiza el cobro
Seguridad No podemos permitir que nos roben los nº de tarjeta de nuestros clientes VIP
Seguridad Web + Medios de Pago
10
Pago con tarjeta a través del vendedor
Ventajas:
• Sistema sencillo de implementar en muchos casos es casi manual
• Pago en 1-2 días
Seguridad Web + Medios de Pago
11
Pago con tarjeta a través del vendedor
Desventajas:
• La seguridad de los datos de la tarjeta es responsabilidad de la tienda Siempre deben ir cifrados VIP
• El comerciante tiene los datos de las tarjetas de los clientes
• Comisión ~ 2% ( es la misma que en tiendas físicas )
• En caso de fraude, por norma general, el vendedor asume la pérdida.
Seguridad Web + Medios de Pago
12
Pago con tarjeta a través del vendedor
Recomendación: No guardar el nº de la tarjeta de crédito
Mejora: Pago mediante pasarela de pago bancaria
Seguridad Web + Medios de Pago
13
Pasarela de pago
También conocidas como Terminal de Punto de Venta virtual o TPV.
Más complejo que el anterior, pero con más ventajas
Seguridad Web + Medios de Pago
15
Pasarela de pago
Funcionamiento:
1. El cliente realiza la orden de compra
2. El comerciante redirige la orden hacia el banco, añadiendo el importe correcto
3. El cliente introduce los datos de su tarjeta
Seguridad Web + Medios de Pago
16
Pasarela de pago
4. El banco valida la compra, y se lo comunica a cliente y comerciante
5. El comerciante da por realizado el cobro y envía la mercancía
Seguridad Web + Medios de Pago
17
Pasarela de pago
Ventajas para el cliente:
• El pago se realiza directamente contra el banco (el comerciante no tiene los datos de la tarjeta)
• El comerciante tiene que tener una cuenta bancaria Evita fraudes Es típico, los intentos de estafadores de abrir cuentas con DNIs falsos.
• El nº de la tarjeta viaja cifrado en una conexión segura.
• El banco no sabe lo que se ha comprado (el comerciante solo manda un importe)
Seguridad Web + Medios de Pago
18
Pasarela de pago
Ventajas para el comerciante:• El cobro se realiza de forma automática
• El banco verifica la tarjeta Comprobación de validez y saldo
• Tiene el respaldo de imagen del banco mayor confianza por parte de los clientes
• La seguridad del pago corre por cuenta de la entidad bancaria
Seguridad Web + Medios de Pago
19
Pasarela de pago
Desventajas: • Las comisiones 1.5% - 2%
• En caso de fraude, por norma general, el vendedor asume la pérdida.
• Más complejo de montar técnicamente Las aplis de eCommerce ya suelen tener módulos
• Burocracia del banco 2 semanas – 3 meses
Actualmente, la alternativa de pago más usada
Seguridad Web + Medios de Pago
20
Pasarela de pago
Ej. Caja Madrid
• Alta = 0 €
• Cuota mensual:5 € , Si facturación < 1000 €
2 € , Si facturación > 1000 €
• Descuento comercial = 1.5%
Seguridad Web + Medios de Pago
21
Paypal
¿Qué es Paypal?
• Antiguamente, el medio de pago de eBay Ya no, se han dividido.
• Espectacular crecimiento desde el 2014 introdujo pago con tarjeta sin registro
Seguridad Web + Medios de Pago
22
PaypalVentajas:• Inmediato
• El comerciante no conoce los datos bancarios del cliente
• Protección adicional del cliente contra fraude, para ciertos vendedores.
• Rápido de poner en marcha.
• Ahora, se puede pagar con tarjeta de crédito a través de PayPal sin hacerse cuenta
Seguridad Web + Medios de Pago
23
PaypalDesventajas:• Es un intermediario bancario, con los problemas
que conlleva.
• El seguro contra fraude NO sirve para transacciones “entre amigos”
• Comisiones (2018):• 0 – 2500 € al mes 3,4 % + 0.35 €• 2500-10.000 € al mes 2.9 % + 0.35 €• 10.000 – 50.000 € al mes 2.7 % + 0.35 €• 50.000 – 100.000 € al mes 2,4 % + 0.35 €
• + info http://bit.ly/1szwhzy
Seguridad Web + Medios de Pago
24
Western Union y MoneyGram
Empresa especializada en transacciones internacionales.
Clásica para el envío de remesas de inmigrantes a sus países de origen
Seguridad Web + Medios de Pago
25
Western Union y MoneyGram
Ventajas:
• El vendedor recibe el dinero de la compra
Desventajas:
• Seguimiento casi imposible del destino del dinero
• En caso de fraude, el cliente no tiene a donde recurrir.
• Usada típicamente en fraudes MUY mala imagen si es el único medio de pago
• Comisiones muy elevadas para el cliente ~ 3% – 20%Tabla de Tarifas W.U. : http://bit.ly/1te7tP6
Seguridad Web + Medios de Pago
26
BitCoins
Versión rápida: Como compartir un fichero con un gran libro de cuentas por bitTorrent , a la que podemos ir añadiendo “páginas”
La validación y mantenimiento de esas páginas, la realizan unos usuarios llamados mineros.
Seguridad Web + Medios de Pago
28
BitCoins
BlockChain:• No sólo tienen que ser transacciones, pueden ser
“contratos inteligentes”
• Idea: Eliminar intermediarios (y la confianza en él) Sirve para crear aplicaciones descentralizadas El más conocido “Etherium”
• Otros usos: ICO Como acciones de la empresa Utility Tokens Pulseras prepago DisneyWorld
• De momento ~ física cuántica
Seguridad Web + Medios de Pago
29
BitCoins
Ventajas:• No dependiente de los gobiernos Confianza
distribuida
• Límite de emisión Aumento decreciente Puede incentivar la acumulación
• Gestión descentralizada y sin intermediarios Envíos al instante
Seguridad Web + Medios de Pago
30
BitCoins
Desventajas:
• Elevada fluctuación http://bit.ly/1IAeP4x
• Tipo de cambio elevado Mejor sitio, en un cajero en Madrid http://bit.ly/1vPS1oH
• Anónima usada típicamente en fraudes o delitos Aunque las transacciones son transparentes
• La salvaguarda de los monederos virtuales corresponde a los usuarios Robos
Seguridad Web + Medios de Pago
31
¿ Y la compra por el móvil ?
La seguridad es lo que más frena su despegue
Si pierdes/te roban el móvil…
En todo caso, bajando
Seguridad Web + Medios de Pago
32
Fraude en Internet
Estudio 2012 de adigital.es sobre comercio electrónico B2C 0.5% del total de compradores fraude
El anonimato por Internet facilita en cierta medida el fraude online
Nota: Recordar que en el mundo real también existe el fraude.
Seguridad Web + Medios de Pago
33
Fraude en Internet
Proceso clásico de fraude con una tarjeta robada: 1. Se compra un bien, y se asigna a una dirección temporal
2. Se recoge el bien … y se sale por piernas. Es típico que el estafador se interese por cuál es nuestra empresa de paquetería e intente ponerse en contacto con ella, para acordar otra dirección
3. El estafado se da cuenta del cargo (¿o no?), y reclama al banco la devolución del dinero (generalmente tiene 15 días para hacerlo automáticamente)
4. El banco devuelve el dinero al cliente, quitándoselo al comercio Damnificado el vendedor
Seguridad Web + Medios de Pago
34
Fraude en Internet
Más casos típicos
• “A mi no me ha llegado nada” Es preciso guardar todos los resguardos de la empresa de transporte
• Usar tarjetas robadas de otros países Más difícil comprobación Podemos pedir a nuestro banco/caja que no las permita
Seguridad Web + Medios de Pago
35
Solución “definitiva”
El denominado “Pago seguro” o pago 3-D
Se solicita el PIN u otro elemento al comprador
Responsabilidad pago, recae sobre el cliente
Solución para el vendedorVIP 25% menos de clientes finales (la gente no lo suele tener activado)
Seguridad Web + Medios de Pago
36
Solución “definitiva”
Problemas:
• Si no se tiene el PIN Secretarias
• Debería tener menos comisiones, pero en la práctica son iguales.
• No inspira confianza al cliente Antes sabía que en 15 días podía echar para atrás la operación
• Algunos bancos te obligan a 3D Grave problema
Seguridad Web + Medios de Pago
37
Solución “definitiva”
Problemas:
•No protege contra fraude con tarjetas internacionales robadas Problemón con EEUU y Canadá NIF español, nombres extranjeros, tarjeta EEUU Fraude
seguro Si se hace todo bien, responsabilidad del banco Seguro
VISA
•No permite guardar la tarjeta Viajes, hoteles…
•Los clientes desconfían del mensaje de “introduzca su PIN”
Choca con la filosofía Anti-pishing Visa en su web oficial pone:
“No le facilite a nadie su PIN”
Fuente: http://visa.es/utilicesuvisa/reglasbasicas/main.jsp
Seguridad Web + Medios de Pago
39
Recomendaciones
Llevar un especial cuidado con:
• Países considerados como “alto riesgo” como:
• Nigeria• Indonesia• Rusia• China
• Los cambios de domicilio del comprador
• Las transacciones internacionales
• Tarjetas de crédito extranjeras
Seguridad Web + Medios de Pago
@@
SCAM
@
SCAM
@
SCAM
@
SCAM
USUARIOCONTRASEÑA
BANCO
BANCO
Troyano keylogger
Hacking
PhishingUSURPACIÓN
DE IDENTIDAD
Seguridad Web + Medios de Pago
Cuenta de la
víctima
2ª MULA5-10%
Cuenta del
MULA
1ª MULA5-10%
50%
50%
Seguridad Web + Medios de Pago
42
Conclusiones
En general, tratar de ofrecer una imagen de seguridad que de confianza a nuestros clientes
Hay que elegir bien el medio de pago el más utilizado es la pasarela de pago
Las conexiones seguras son fundamentales para una tienda
El principal perjudicado en caso de fraude es el vendedor y hay que tenerlo en cuenta en nuestros costes ~ mundo real
Seguridad Web + Medios de Pago
43
Recursos adicionales
Guardia Civil - Grupo de Delitos Telemáticoshttp://gdt.guardiacivil.es Ahora con eGarante Ejemplo práctico
Tutorial sobre seguridad de PayPalhttp://bit.ly/muJU99