Talk given at the E-Commerce conference on March 29, 2012.

1. 1
Sicherung von
E-Commerce Kreditkartentransaktionen
Dr. Thomas Fromherz
E-Commerce Konferenz 2012, Zürich
29. März 2012

2. 2
Agenda
 E-Commerce Kreditkartenzahlungen heute
 Betrüger mit Business Plan
… und andere Herausforderungen
 Evolutionsskizze für sichere Kreditkartenzahlungen

3. 3
Netcetera AG
 3-D Secure Hosted Services seit 2003
 Viseca Card Services
 Swisscard
 Paylife, Österreich
 Cetrel, Luxemburg
 > 1 Mio aktive Karten

4. 4
Sichere Kreditkartenzahlungen im E-Commerce
Positive Trend für Verkauf & Sicherheit
 3-D Secure (3DS) ist Standard bei
Kartenzahlungen im E-Commerce
 Wegen Haftungsumkehr starke Reduktion
von Fraud-Ausfällen bei Händlern (mehr
und mehr «3DS-only» Händler)
 Bei Issuer signifikante Abnahme von
CNP-Betrug (Card not present)
 (3DS) Wachstum geht weiter: E-Commerce /
M-Commerce

5. 5
E-Commerce  M-Commerce
2011 Total retail B2C commerce 2015 Total retail B2C commerce +40%
+10%
+2%
Mobile eCommerce Mobile eCommerce CAGR

6. 6
Friede, Freude, Eierkuchen?

7. 7
Betrüger wegen Anerkennung
 Slide mit
freundlicher
Genehmigung
von Toralv Dirro,
McAfee Labs

8. 8
Betrüger mit MBAs
 Slide mit
freundlicher
Genehmigung
von Toralv Dirro,
McAfee Labs

9. 9
Anatomie des E-Commerce Betrugsgeschäfts
Vereinfacht dargestellt
 Malware- und Betrugsgeschäft ist normales Geschäft
inkl. Marktplatz, Malware-Massenware, Übernahme, usw.
 «Low-hanging Fruits»
 Händler ohne Schutz
 Karten (Issuer) ohne Schutz
 Karten (Issuer) mit statischem Passwort
 Logischer nächster Schritt: mobile Plattformen

10. 10
Händler und Kunden klagen. Warum?
 Sichere 3DS-Anmeldung mit sicheren Registrierungsdaten

11. 11
Fazit
 Betrug bleibt nicht stehen
 Nächster Schritt zur Sicherheit tut Not
 Nutzerfreundlichkeit noch nicht das Gelbe vom Ei
 Vor allem beim M-Commerce
 Nicht nur 3DS Passwort ein Problem
 Sondern auch Kreditkartennummer
Was tun?

12. 12
Stärkere Authentisierung
Lösung scheint schnell gefunden
 2-Faktor Authentisierung?
 In der Schweiz seit langem etabliert

13. 13
2-Faktor-Authentisierung

14. 14
2-Faktor-Authentisierung

15. 15
Und, mTAN bei M-Commerce?

16. 16
Stärkere Authentisierung

17. 17
Was ist denn die eigentliche Frage?
Soll ich die Zahlung zulassen?
«Es kommt drauf an»
Beispiel: «Wann muss ich am Flughafen sein?»
 Situation 1: Treffe Schwiegermutter mit Zwischenstopp
 Situation 2: Treffe Kollegen auf Trip nach Mallorca
 Situation 3: Internationalen Flug zum Interview für Traumjob
Risikoabwägung
Kompromiss: Bequemlichkeit – Sicherheit

18. 18
Risikobasierte Authentisierung!
Akzeptieren:
 Keine absolute Sicherheit (mehr)  flexible Ansätze
Generell: Bedarf für Bedrohungsmodell
 Welche Bedrohungen bestehen
 Welche lösen wir mit Massnahmen
 Welche lösen wir nicht
 Und warum ist das ok

19. 19
Risikobasierte Lösung
Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen
 Risk Score  Business Rules  Case Management
Zulassen
Unklar
Risiko
Weitere
Prüfung
Massnahmen
Nachbearbeitung
Stop

20. 20
Transaktionskontext liefert Input für Risikoaussage
Ort Device Aktion Kontinuität
 Ist der Ort  Was für ein  Was versucht  Vergleich mit
grundsätzlich Device? der Kunde zu vergangenen
verdächtig?  Hat der Kunde tun? Aktionen
 War der Kunde es schon  Ist die Aktion  Ist dies eine
schon mal vorher grundsätzlich normale Zeit
hier? benutzt? riskant? für den
 Wo war er  Hat es seit der  Hat er schon Kunden?
kürzlich? letzten ähnliches  Ist die
Nutzung vorher Frequenz der
geändert? gemacht? Einkäufe
abnormal?

21. 21
Mögliche Risikoregeln
Geo-Location Nutzer-Regeln
 Länderliste-Lookup  Unbekannter Nutzer
 Schwarze Länderliste  User Velocity
 Zone-Hopping  Nutzer-Ausnahmen-Check
IP-Regeln E-Commerce Regeln
 IP-Velocity  Betrags-Check
 Zuverlässige IPs  Betrags-Händler-Velocity
 Schwarze IP-Liste  IP-Händler-Velocity
Device-Regeln  MCC-Lookup
 Device-Fingerabdruck  Händler-Region-Lookup
 Device-Velocity
 Neues Device

22. 22
Risikobasiert angepasste Authentisierung
Risikoprüfung Entscheidungsfluss Ausnahmen Laufende Analysen
 Risk Score  Business Rules  Case Management
Keine
Tiefes Authentisierung,
Risiko
Normale
Authentisierung
(3 Optouts,
dyn. Passwort)
Gesteigerte
Risiko Authentisierung
Prüfung (0 Optouts,
3DS Passwort)
Stop
(Anruf im Nachbearbeitung
Call Center)

23. 23
Am Beispiel von Produkt
 Für 3-D Secure System des Issuers
 Für Acquirer/Merchant, unabhängig von 3-D Secure Zahlungen
 Für Schutz von Online Portalen (Login, geschützte Geschäftsfälle)
 Übrigens, Device als Token für 2-Faktor Authentisierungs: DeviceDNA

24. 24
Zum Mitnehmen
 Intelligente, M-Commerce-fähige Lösungen für dynamisches
Passwort gefragt: Software Token?
 Anheben der Authentisierung reicht aber nicht
 Keine absolute Sicherheit möglich
 Risikomodell und risikobasierte Authentisierungs-
methoden bieten mächtige Erweiterungsmöglichkeiten und
versprechen gesteigerte Nutzerfreundlichkeit