Las principales formas de ataque a los sistemas de pagos

Debido a los riesgos de los sistemas de pagos, Easy Solutions, líder en Protección Total Contra Fraude, explica las diferentes y más comunes formas de fraude y describe cómo los usuarios que desean realizar transacciones electrónicas lo pueden hacer de forma segura y las instituciones financieras pueden protegerse fácil y eficientemente contra los mismos.

• Ingeniería social – El uso del engaño o la suplantación de identidad para obtener información sensitiva; por ejemplo, hacerse pasar por empleado de un banco para convencer a un usuario de revelar sus credenciales (usuario, contraseña)
• Phishing – Un ataque online que involucra la ingeniería social y en el cual un atacante se hace pasar por el banco u otra entidad oficial mediante un sitio web falso. Este sitio es usado para robar la información del usuario y poder acceder a su cuenta.
• Pharming – Un ataque que inserta un código malicioso en el servidor o en el archivo Hosts de un sitio web para redirigir los usuarios a sitios falsos que suplantan bancos u otras entidades y obtener sus credenciales.
• Malware – Cualquier tipo de software con propósito malicioso usado para recolectar información sensitiva o interrumpir las operaciones normales de un equipo. Algunas variaciones de este software son los virus y troyanos, los cuales son descargados por los usuarios sin saberlo.
• Ataques Man-in-the-Middle – Una situación donde un hacker intercepta los mensajes entre 2 partes; por ejemplo cuando un banco envía mensajes de texto al usuario para confirmar una transacción. El hacker captura los mensajes evitando que llegue a su destino y suplanta las partes involucradas para robar información sensitiva.
• Ataques Man-in-the-Browser – Un tipo de malware que manipula en secreto el navegador de un usuario para no mostrar cierta información. Por ejemplo, un hacker puede robar dinero de la cuenta de una víctima utilizando este tipo de malware y sin embargo el navegador de la víctima no mostraría ningún movimiento extraño en el balance de cuenta.

¿Cómo pueden los bancos evitar ser víctimas de fraude?

• Implementar una estrategia de protección integral de múltiples-capas. La mejor forma de protección contra los diferentes tipos de amenazas es la implementación de una plataforma con diferentes niveles de soluciones contra fraude para que las amenazas que no sean detenidas por una capa o en una instancia sean detectadas por otra.
• Monitoreando su portal transaccional – Los bancos deben vigilar cada conexión a su portal online y buscar comportamientos sospechosos. Así mismo, deben estar al tanto de la creación de sitios web con nombres de dominio similares al suyo ya que probablemente serán utilizados en ataques de phishing.
• Distribuyendo soluciones de navegación segura a sus usuarios– Los bancos deben brindar a sus usuarios programas que protejan sus dispositivos contra los diferentes tipos de malware.
• Detección de anomalías transaccionales – Los bancos deben monitorear el comportamiento transaccional de sus usuarios para investigar cualquier movimiento que no concuerde con los patrones habituales de los usuarios.
• Autenticación multifactorial fuerte – Los bancos deben proveer diferentes métodos para que sus usuarios validen su identidad en los portales online. Estos métodos deben ser mucho más fuertes que un simple nombre de usuario y una contraseña; por ejemplo, los tokens, la autenticación de dispositivos o información adicional que sólo el usuario conozca.
• Pruebas de penetración y vulnerabilidad – Los bancos necesitan evaluar regularmente la infraestructura de sus redes para detectar vulnerabilidades que los hackers puedan explotar para cometer fraudes y asegurarse de solucionarlas tan pronto como sea posible.