Últimas notícias

Fique informado
Combate à fraude bancária: tecnologia brasileira que garante 100% das transações

Combate à fraude bancária: tecnologia brasileira que garante 100% das transações

08/06/2015
A certeza da fraude é tão grande que os bancos já contingenciam valores para pagar o prejuízo com as fraudes.

Por Raimundo Saraiva*

Em 2014, segundo a Federação Brasileira de Bancos (Febraban), as instituições bancárias pagaram cerca de R$ 1,2 bilhão aos clientes que tiveram problemas em suas contas bancárias, como transferências e saques indevidos por meio eletrônico.

Para complicar o cenário para os bancos, uma orientação recente do Superior Tribunal de Justiça (STJ) determinou que os bancos, para não terem que arcar com prejuízos por fraudes ou delitos praticados por terceiros em operações financeiras, deverão comprovar que a culpa foi unicamente do cliente.

Este cenário nos leva aos seguintes questionamentos: o que está havendo com os setores de combate às fraudes do sistema bancário? Existem tecnologias que possam fazer frente a este desafio de combate à fraude no sistema bancário? Qual esta sendo a dificuldade em adotar novas medidas e tecnologias para combate à fraude nas transações financeiras? É um objetivo legítimo ter nível zero de fraude nas transações bancárias?

No caso do internet banking e mobile banking, que são os canais que possuem as maiores taxas de adoção como meio de pagamento, constatamos facilmente que há uma grande diversidade de mecanismos tecnológicos colocados nas mãos dos clientes, mas que não estão conseguindo estancar os prejuízos advindos das fraudes bancárias, conforme os números apresentados pela Febraban.

A comunidade científica e dos profissionais dos bancos já mapearam todos estes mecanismos tecnológicos e conseguiram identificar as vulnerabilidades presentes em cada um deles, que estão sendo regularmente exploradas pelos fraudadores.

A  seguir faço uma compilação destas informações:

Mecanismo tecnológico    X   Vulnerabilidade explorada
Imagem Captcha

Um software OCR consegue ler a informação solicitada e a reproduz.

Cartão OTP

Um malware coleta todas as senhas ou pode solicitar que o próprio usuário as informe.

Token OTP

O autorizador OTP é capturado, em tempo real, e reutilizado em transações fraudulentas.

Teclado Virtual

Screenloggers ou mouseloggers permitem a captura das informações.

Identificação de Máquinas

As informações dos hardwares do usuário são reproduzidas.

Frase Senha

Screenloggers, mouseloggers ou keyloggers permitem a captura das informações.

Informação Positiva

Faz-se uso das informações disponibilizadas pelo usuário nas redes sociais, serviços de buscas na internet e por engenharia social.

Cadastramento de Computadores

As informações dos hardwares do usuário são reproduzidas. Também Computadores faz-se uso da reprodução das informações de cadastramento. Adicionalmente a técnica de engenharia social faz o usuário autorizar um computador ilegítimo.

Proteção de navegador identificados pela solução

Os malwares chamados “0 day” ficam ativos até que seja o usuário também é enganado por páginas falsas que impedem que a solução seja carregada.

Certificado Digital

Certificados tipo A1 são exportados e utilizados remotamente. Certificados tipo A3 são utilizados enquanto o usuário está com uma sessão aberta.

Monitoração de Transações

Malwares criam perfis de usuário que permitem “imitar” o comportamento do usuário.

SMS

O fraudador altera os dados de cadastro do usuário e informa outro número de celular.

Biometria

Devido ser uma técnica estatística de correlação de padrão, sempre está sujeita a “falso” positivo e negativo, levando os bancos a implementarem um desvio programado que permite a transação sem a confirmação biométrica.

O leitor certamente identifica pelo menos um mecanismo tecnológico que o seu próprio banco utiliza para se relacionar com os clientes ou que ele próprio utiliza para manipular a sua conta bancária. Pois bem, todos estes mecanismos estão sujeitos às fraudes, com maior ou menor nível de fragilidade.

Em alguns bancos europeus, já está em uso uma nova tendência para desenvolvimento de tecnologia bancária que tem se mostrado efetiva no combate à fraude. A tecnologia se baseia na adoção de um modelo com um protocolo de assinatura da transação bancária, com abordagem fora de banda, e uso de um segundo fator de autenticação.

No Brasil, um grande banco já faz uso desta estratégia, que tem se confirmado como ferramenta eficaz no combate à fraude, sendo capaz de garantir 100% das transações.Em alguns bancos europeus, já está em uso uma nova tendência para desenvolvimento de tecnologia bancária que tem se mostrado efetiva no combate à fraude. A tecnologia se baseia na adoção de um modelo com um protocolo de assinatura da transação bancária, com abordagem fora de banda, e uso de um segundo fator de autenticação.

Seguindo esta tendência e como oferta para o setor bancário, a Z Tecnologia desenvolveu um dispositivo físico (smart token), de baixo custo, grande usabilidade, com capacidade de ler QR Codes criptografados, adequado para realizar a função de segundo fator de autenticação para o usuário bancário, com a vantagem adicional de operar “off-line”. Com esta tecnologia, o banco tem condições de identificar e autenticar o usuário, com garantia de não repudio, recurso necessário para que ele possa se livrar de situações de auto-fraude.

 Smart Token ZTec

smat tokkenTambém foi desenvolvido um protocolo de assinatura de transações que utiliza algoritmos criptográficos de comprovada eficiência (Curve25519, AES-GCM) e resistente contra-ataques adaptativos de criptograma escolhido (IND-CCA2). A oferta se completa com o suporte à implantação da tecnologia no back-end e sistema de internet banking dos bancos.

Esta tecnologia estará em exposição durante a maior feira do setor bancário brasileiro, CIAB 2015, de 16 à 18 de junho, no Stand I-17, da CIS Eletrônica. A Z Tecnologia e a CIS Eletrônica firmaram parceria para levar esta tecnologia ao setor bancário brasileiro.

A Z Tecnologia (www.ztec.com.br) é uma empresa brasileira, pioneira no desenvolvimento de tecnologia de proteção da informação, tendo desenvolvido os principais projetos de proteção de comunicações no setor militar brasileiro. Em 2014 a ZTec foi reconhecida como Empresa Estratégica de Defesa, pelo Ministério da Defesa.

CIS Eletrônica (www.cis.com.br) é uma indústria com 30 anos de atuação nos mercados de produtos de automação bancária e comercial. Seus principais produtos são smart tokens, leitores de código de barras e cheques, impressoras para bancos, leitores biométricos, leitores de cartões magnéticos e sem contato, scanners de cheques e sensores óticos.

raimundo

* Raimundo Saraiva

Diretor Z Tecnologia – ZTec  Pesquisador na UnB

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

Apenas usuários registrados podem comentar.