1 E-Commerce Kreditkartentransaktionen Dr. Thomas Fromherz E-Commerce Konferenz 2012, Zürich 29. März 2012
2 Agenda E-Commerce Kreditkartenzahlungen heute Betrüger mit Business Plan und andere Herausforderungen Evolutionsskizze für sichere Kreditkartenzahlungen
3 Netcetera AG 3-D Secure Hosted Services seit 2003 Viseca Card Services Swisscard Paylife, Österreich Cetrel, Luxemburg > 1 Mio aktive Karten
4 Sichere Kreditkartenzahlungen im E-Commerce Positive Trend für Verkauf & Sicherheit 3-D Secure (3DS) ist Standard bei Kartenzahlungen im E-Commerce Wegen Haftungsumkehr starke Reduktion von Fraud-Ausfällen bei Händlern (mehr und mehr «3DS-only» Händler) Bei Issuer signifikante Abnahme von CNP-Betrug (Card not present) (3DS) Wachstum geht weiter: E-Commerce / M-Commerce
5 E-Commerce M-Commerce 2011 Total retail B2C commerce 2015 Total retail B2C commerce +40% +10% +2% Mobile ecommerce Mobile ecommerce CAGR
Friede, Freude, Eierkuchen? 6
Betrüger mit Business Plan und andere Herausforderungen 7
8 Betrüger wegen Anerkennung Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
9 Betrüger mit MBAs Slide mit freundlicher Genehmigung von Toralv Dirro, McAfee Labs
10 Anatomie des E-Commerce Betrugsgeschäfts Vereinfacht dargestellt Malware- und Betrugsgeschäft ist normales Geschäft inkl. Marktplatz, Malware-Massenware, Übernahme, usw. «Low-hanging Fruits» Händler ohne Schutz Karten (Issuer) ohne Schutz Karten (Issuer) mit statischem Passwort Logischer nächster Schritt: mobile Plattformen
11 Händler und Kunden klagen. Warum? Sichere 3DS-Anmeldung mit (Rechnungs)Daten gerade nicht zur Hand
12 Händler und Kunden klagen. Warum? Einkauf noch nicht so häufig 3DS Passwort vergessen Entweder Abbruch oder Passwort-vergessen Prozess mit Daten, die gerade nicht zur Hand Abbruch
13 Händler und Kunden klagen. Warum? Hoffnung: Mit steigendem E-Commerce Kunden können sich 3DS Passwort merken Nächste Herausforderung M-Commerce 3DS auf mobilem Browser, in App
14 Fazit Betrug bleibt nicht stehen Nächster Schritt zur Sicherheit tut Not Nutzerfreundlichkeit noch nicht das Gelbe vom Ei Vor allem beim M-Commerce Nicht nur 3DS Passwort ein Problem Sondern auch Kreditkartennummer Was tun?
Evolutionsskizze für das statische 3DS Passwort 15
16 Stärkere Authentisierung Lösung scheint schnell gefunden 2-Faktor Authentisierung? In der Schweiz seit langem etabliert
2-Faktor-Authentisierung 17
Stärkere Authentisierung 18
19 Stärkere Authentisierung Aber mit 2-Faktoren alles viel komplizierter und teurer Registrierung, Passwort vergessen, Ersatz des 2. Faktors Also eher 1 ½, nur «dynamisches Passwort», z.b. nur mtan? Sicher besser, als statisches Passwort Aber: Tasche geklaut? Smartphone kompromittiert?
20 Stärkere Authentisierung Lösung wirklich schnell gefunden? Wie sieht s im M-Commerce aus? Nutzerfreundlichkeit von mtan fragwürdig Vorteil des separaten Kanals verloren, also mittelfristig ein Sicherheitsproblem Zurück zu Hardware-Token keine Option
Und, mtan bei M-Commerce? 21
Stärkere Authentisierung 22
23 Stärkere Authentisierung Lösung wirklich schnell gefunden? Wie sieht s im M-Commerce aus? Nutzerfreundlichkeit von mtan fragwürdig Vorteil des separaten Kanals verloren, also mittelfristig ein Sicherheitsproblem Zurück zu Hardware-Token keine Option Option: Software-Token Geeignet für Smartphone und Web Vergleichbare Sicherheit
24 Was ist denn die eigentliche Frage? Soll ich die Zahlung zulassen? «Es kommt drauf an» Beispiel: «Wann muss ich am Flughafen sein?» Situation 1: Treffe Schwiegermutter mit Zwischenstopp Situation 2: Treffe Kollegen auf Trip nach Mallorca Situation 3: Internationalen Flug zum Interview für Traumjob Risikoabwägung Kompromiss: Bequemlichkeit Sicherheit
25 Ausgangslage & Anforderungen Akzeptieren: Keine absolute Sicherheit mehr, auch nicht durch 2-Factor Authentisierung Bedarf für flexible Ansätze für verschiedenartige Transaktionen und Situationen Kompromiss zwischen Sicherheit und Bequemlichkeit Risikobasierte Authentisierung
26 Risikobasierte Authentisierung Generell: Bedarf für Bedrohungsmodell Welche Bedrohungen bestehen Welche lösen wir mit Massnahmen (risikobasierte Authentisierung, dynamisches Passwort, usw.) Welche lösen wir nicht Und warum ist das ok
27 Risikobasierte Lösung Risikoprüfung Risk Score Entscheidungsfluss Business Rules Ausnahmen Case Management Laufende Analysen Zulassen Risiko Prüfung Unklar Weitere Massnahmen Nachbearbeitung Stop
28 Transaktionskontext liefert Input für Risikoaussage Ort Device Aktion Kontinuität Ist der Ort grundsätzlich verdächtig? War der Kunde schon mal hier? Wo war er kürzlich? Was für ein Device? Hat der Kunde es schon vorher benutzt? Hat es seit der letzten Nutzung geändert? Was versucht der Kunde zu tun? Ist die Aktion grundsätzlich riskant? Hat er schon ähnliches vorher gemacht? Vergleich mit vergangenen Aktionen Ist dies eine normale Zeit für den Kunden? Ist die Frequenz der Einkäufe abnormal?
29 Mögliche Risikoregeln Geo-Location Länderliste-Lookup Schwarze Länderliste Zone-Hopping IP-Regeln IP-Velocity Zuverlässige IPs Schwarze IP-Liste Device-Regeln Device-Fingerabdruck Device-Velocity Neues Device Nutzer-Regeln Unbekannter Nutzer User Velocity Nutzer-Ausnahmen-Check E-Commerce Regeln Betrags-Check Betrags-Händler-Velocity IP-Händler-Velocity MCC-Lookup Händler-Region-Lookup
30 Risikobasiert angepasste Authentisierung Risikoprüfung Risk Score Entscheidungsfluss Business Rules Ausnahmen Case Management Laufende Analysen Tiefes Risiko Keine Authentisierung, Normale Authentisierung (3 Optouts, dyn. Passwort) Risiko Prüfung Gesteigerte Authentisierung (0 Optouts, 3DS Passwort) Stop (Anruf im Call Center) Nachbearbeitung
31 Am Beispiel von Produkt von CA / Arcot Für 3-D Secure System des Issuers Für Acquirer/Merchant unabhängig von 3-D Secure Zahlungen Für Schutz von Online Portalen (Login, geschützte Geschäftsfälle) Übrigens, Device als 2-Factor Authentisierungstoken: DeviceDNA
32 Zum Mitnehmen Intelligente, M-Commerce-fähige Lösungen für dynamisches Passwort gefragt: Software Token? Anheben der Authentisierung reicht aber nicht Keine absolute Sicherheit möglich Risikomodell und risikobasierte Authentisierungsmethoden bieten mächtige Erweiterungsmöglichkeiten und versprechen gesteigerte Nutzerfreundlichkeit
33
Online einkaufen?