Além daquelas fraudes mais comuns em transações via Internet como o roubo de cartões, utilização de crédito em sites de compras ou saques através do Internet Banking, existem outras formas de ameaças como o uso de serviços não contratados, venda ilegal a terceiros, sequestro de dados e extorsão, além de venda de benefícios e de serviços em nome do fornecedor.

Roubo ou obtenção de credenciais, elevação de privilégios, troca de perfis, acesso às aplicações e alteração em bancos de dados são os principais objetivos dessas explorações. Na opinião de Julio Graziano Pontes, gerente de Serviços da True Access, é necessário agir preventivamente nesses pontos de atuação criminosa.

Para ele, as principais fragilidades nesse ambiente são sistemas com fraca autenticação, senhas compartilhadas, falta de rastreabilidade, além fatores adicionais de vulnerabilidades na Segurança da Informação como a conectividade e a mobilidade. “Diante do complexo cenário de vulnerabilidades, o que as empresas precisam fazer é tomar medias de segurança com uma abordagem mais inteligente”.

Proteção

Na visão da True Access, as quatro principais formas de prevenção de fraudes é a forte autenticação, aprovisionamento, gestão de perfis e monitoramento. Para isso, a companhia desenvolveu a solução OTP (One Time Password) com integração ao Connectra, da Check Point. “Trata-se de uma ferramenta composta de senha de uso único gerada a partir de complexos algoritmos criptografados unidirecionais com base em uma semente (número) secreta e aleatória”, explica. 

Segundo ele, é uma forma de identificação do usuário em determinados ambientes. A solução tem três modalidades difundidas: sincronismo por evento - senhas geradas a partir de uma função recursiva que utiliza a semente e o último número gerado; por tempo - sincronização ente dispositivo e servidor; ou desafios/respostas onde a senha é gerada com base na semente e um desafio (número) informado pelo servidor.

Case

A companhia implementou essa ferramenta em uma rede de loja varejista que comercializava seus produtos e serviços através de canais de venda distribuídos pelo Brasil. Os sistemas de frente de caixa e retaguarda eram disponibilizados aos canais pela web, o que havia alto índice de fraudes. “O grande problema nesse caso era o compartilhamento de senhas e a gestão desse ambiente”.

Foi usado a integração do Connectra com o OTP para proporcionar autenticação segura com custo baixo. Também foi implementado um sistema de gestão de identidades para sincronizar os contratos do lojista e conceder os acessos em tempo real.

“Nosso cliente tem acsso a uma página na web onde estão os aplicativos e essa pagina baixa um script que verifica a segurança da estação. Em um segundo momento, o usuário envia as credenciais (conta e senha) mais a OTP, onde é garantido a segurança de quem está acessando estabelecendo um canal seguro”, explica Pontes.

Zero de incidência de fraudes é o principal benefícios destacado por Pontes. “Com o OTP conseguimos integrar as aplicações com efeito na execução e combate a fraudes, roubo de senhas foram evitados nesse processo”, finaliza.

Fonte: Risk Report

Léia Machado     13/12/2010