3. 3
Netcetera AG
3-D Secure Hosted Services seit 2003
Viseca Card Services
Swisscard
Paylife, Österreich
Cetrel, Luxemburg
> 1 Mio aktive Karten
4. 4
Sichere Kreditkartenzahlungen im E-Commerce
Positive Trend für Verkauf & Sicherheit
3-D Secure (3DS) ist Standard bei
Kartenzahlungen im E-Commerce
Wegen Haftungsumkehr starke Reduktion
von Fraud-Ausfällen bei Händlern (mehr
und mehr «3DS-only» Händler)
Bei Issuer signifikante Abnahme von
CNP-Betrug (Card not present)
(3DS) Wachstum geht weiter: E-Commerce /
M-Commerce
5. 5
E-Commerce M-Commerce
2011 Total retail B2C commerce 2015 Total retail B2C commerce +40%
+10%
+2%
Mobile eCommerce Mobile eCommerce CAGR
8. 8
Betrüger mit MBAs
Slide mit
freundlicher
Genehmigung
von Toralv Dirro,
McAfee Labs
9. 9
Anatomie des E-Commerce Betrugsgeschäfts
Vereinfacht dargestellt
Malware- und Betrugsgeschäft ist normales Geschäft
inkl. Marktplatz, Malware-Massenware, Übernahme, usw.
«Low-hanging Fruits»
Händler ohne Schutz
Karten (Issuer) ohne Schutz
Karten (Issuer) mit statischem Passwort
Logischer nächster Schritt: mobile Plattformen
10. 10
Händler und Kunden klagen. Warum?
Sichere 3DS-Anmeldung mit sicheren Registrierungsdaten
11. 11
Fazit
Betrug bleibt nicht stehen
Nächster Schritt zur Sicherheit tut Not
Nutzerfreundlichkeit noch nicht das Gelbe vom Ei
Vor allem beim M-Commerce
Nicht nur 3DS Passwort ein Problem
Sondern auch Kreditkartennummer
Was tun?
17. 17
Was ist denn die eigentliche Frage?
Soll ich die Zahlung zulassen?
«Es kommt drauf an»
Beispiel: «Wann muss ich am Flughafen sein?»
Situation 1: Treffe Schwiegermutter mit Zwischenstopp
Situation 2: Treffe Kollegen auf Trip nach Mallorca
Situation 3: Internationalen Flug zum Interview für Traumjob
Risikoabwägung
Kompromiss: Bequemlichkeit – Sicherheit
18. 18
Risikobasierte Authentisierung!
Akzeptieren:
Keine absolute Sicherheit (mehr) flexible Ansätze
Generell: Bedarf für Bedrohungsmodell
Welche Bedrohungen bestehen
Welche lösen wir mit Massnahmen
Welche lösen wir nicht
Und warum ist das ok
20. 20
Transaktionskontext liefert Input für Risikoaussage
Ort Device Aktion Kontinuität
Ist der Ort Was für ein Was versucht Vergleich mit
grundsätzlich Device? der Kunde zu vergangenen
verdächtig? Hat der Kunde tun? Aktionen
War der Kunde es schon Ist die Aktion Ist dies eine
schon mal vorher grundsätzlich normale Zeit
hier? benutzt? riskant? für den
Wo war er Hat es seit der Hat er schon Kunden?
kürzlich? letzten ähnliches Ist die
Nutzung vorher Frequenz der
geändert? gemacht? Einkäufe
abnormal?
23. 23
Am Beispiel von Produkt
Für 3-D Secure System des Issuers
Für Acquirer/Merchant, unabhängig von 3-D Secure Zahlungen
Für Schutz von Online Portalen (Login, geschützte Geschäftsfälle)
Übrigens, Device als Token für 2-Faktor Authentisierungs: DeviceDNA
24. 24
Zum Mitnehmen
Intelligente, M-Commerce-fähige Lösungen für dynamisches
Passwort gefragt: Software Token?
Anheben der Authentisierung reicht aber nicht
Keine absolute Sicherheit möglich
Risikomodell und risikobasierte Authentisierungs-
methoden bieten mächtige Erweiterungsmöglichkeiten und
versprechen gesteigerte Nutzerfreundlichkeit