¿Cómo se protege un banco solo en línea contra el fraude? [cerrado]

Mucho de lo que está preguntando no será divulgado por obvias razones de seguridad, así que no se sorprenda cuando la gente del centro de llamadas diga que "no sabe". Es posible que en realidad no lo sepan, pero incluso si lo supieran, serían despedidos si dijeran algo. Nada podría ser un tema más delicado que la seguridad en línea para las instituciones financieras.

No conozco fuentes confiables para los datos que está preguntando, y no sé si los bancos u otras empresas los publicarían. Sería inusual que un banco hablara sobre sus índices de incidencia de fraude, porque ninguna de estas instituciones quiere parecer "menos segura" que sus competidores. Si hay alguna información, será bastante vaga. Ninguna de estas instituciones quiere que los "chicos malos" sepan cuál es su grado de éxito frente a un banco frente a cualquier otro. Espero que tenga sentido.

Los bancos más pequeños suelen aprovechar sus datos en las redes de las instituciones financieras más grandes, por lo que son tan seguros (como regla general) como las redes de los bancos más grandes en los que se ejecutan. Además, sus transacciones en sus tarjetas de crédito generalmente no son manejadas directamente por su banco de todos modos, a menos que sea uno de los grandes pesos pesados ​​como Chase o Bank of America. Todas las transacciones se ejecutan a través de procesadores comerciales, que actúan como intermediarios entre los comerciantes y los bancos, y esos tipos son bastante buenos en seguridad. He conocido a algunos de los programadores, y son impresionantes para mí (¡he sido programador durante 35 años y no puedo identificar a estos tipos!).

La mayoría de los bancos requieren que proporcione prueba de identidad al abrir una cuenta, y esa identificación debe cumplir con los estándares de la "Ley de identificación real de EE. UU.". Aquí hay un extracto del sitio web del Departamento de Seguridad Nacional sobre lo que es Real ID:

Aprobada por el Congreso en 2005, la Ley REAL ID promulgó la recomendación de la Comisión del 11 de septiembre de que el gobierno federal "estableciera estándares para la emisión de fuentes de identificación, como licencias de conducir". La Ley estableció normas mínimas de seguridad para las licencias de conducir y tarjetas de identificación emitidas por los estados y prohíbe que las agencias federales acepten para fines oficiales licencias y tarjetas de identificación de estados que no cumplan con estas normas. Los estados han hecho un progreso considerable en el cumplimiento de esta recomendación clave de la Comisión del 11 de septiembre y cada estado tiene una licencia de conducir más segura hoy que antes de la aprobación de la ley.

Para que los bancos califiquen para la protección de la FDIC, deben cumplir con los estándares de Real ID al abrir cuentas.

Al igual que con cualquier negocio (especialmente en línea), la forma más efectiva de minimizar el fraude es el monitoreo atento de los datos. Los bancos y otras entidades financieras en línea se han vuelto muy hábiles en el análisis de patrones y simplemente en saber dónde y qué buscar al tratar con sus clientes. Ciertamente, existen medidas sofisticadas que se mantienen cuidadosamente fuera de la vista del público para hacer esto, y obviamente son buenas en eso. Tienen que ser, ¿verdad?

No hay forma de eliminar por completo el fraude: existe demasiado incentivo para que los "chicos malos" no busquen constantemente nuevas formas de ejecutar sus esquemas, y los buenos siempre estarán en desventaja, porque no hay forma de anticipar todo lo que nadie. se le podría ocurrir. Solo mire los virus y malware en línea. Su software antivirus solo puede lidiar con lo que sabe, y los malos siempre están inventando alguna variante nueva que supera los filtros hasta que el fabricante del antivirus se entera y encuentra una forma de lidiar con eso.

Su pregunta es buena para reflexionar, y no me gustaría ser el jefe de seguridad de Internet de un banco o una institución en línea, porque me quedaría despierto por la noche pensando cuándo llegará la llamada que finalmente se quedó sin suerte. ! (sonrisa)

Espero que esto haya sido útil.

¡Buena suerte!

No veo por qué un banco solo en línea necesitaría hacer algo más contra el fraude que un banco que también tiene tiendas físicas. Por el contrario, necesitarían menos seguridad (física), ya que no tienen que proteger efectivo, cajas de seguridad y otros activos físicos.

Todos los bancos hoy en día tienen un negocio en línea, por lo que todos tienen los mismos riesgos de fraude en línea y todos necesitan el mismo nivel de protección.

@Daniel Anderson compartió ideas interesantes. En mi investigación aprendí algunas cosas.

Algunos datos interesantes sobre tendencias de fraude

Encuesta de Fraude y Control de Pagos AFP 2016

Como consumidor, al menos mejoraría la conciencia de

• LMA
• Autenticación multifactor
• 3d seguro
• Configuración de alertas móviles.

También aprendería sobre los tipos básicos de fraude.

• Phishing por correo electrónico o teléfono
• Malware: a través de ventanas emergentes, correo electrónico. Registradores de claves
• Robo de identidad: Alguien que abre una cuenta a su nombre
• Money Mule: Obtenga dinero de una fuente ilegítima, deposite en su cuenta. Transferir
• Ingeniería social: correo electrónico falso en nombre de alguien. Por ejemplo, es un afortunado ganador pero paga primero el costo de procesamiento o participa en un juego o paga en un sitio fraudulento.
• Descifrado de tarjetas: Diríjase a los adolescentes para obtener un rápido retorno de las inversiones.

Y para los expertos en tecnología, recomendaría aprender sobre seguridad en capas (no hay forma de que el servicio al cliente hable sobre esto)

Existen estándares de informes y seguridad cibernética que el proveedor de servicios financieros (bancos y servicios financieros donde los clientes depositan y/o realizan transacciones en moneda fiduciaria)

Puede encontrar una lista completa en Wikipedia bajo Estándares de seguridad cibernética

Dependiendo de la ubicación geográfica, puede haber requisitos del gobierno local, como problemas de informes, seguridad de datos, etc.

Respecto al punto 1. Hay que diferenciar entre un cliente fraudulento y un atacante de la infraestructura del banco.

Los clientes fraudulentos / clientes que han sido comprometidos por terceros se identifican con, entre otros, puntajes de crédito y bases de datos comerciales o datos de firmas especializadas en "Prevención de fraude".

Los atacantes (delincuentes que intentan robar, manipular o espiar datos) son identificados/prevenidos/registrados por, pero no limitados a, soluciones IDS y bases de datos de atacantes.

Para las empresas que obtienen compensación por parte de los seguros, lo más importante es cumplir con la ley y tener registros de todo, prefieren concentrarse en registrar datos para rastrear a los atacantes que en prevenir ataques.

Con respecto al punto 2. Para usted como cliente, la ley local y el seguro de depósito son las cosas más importantes. Los bancos están asegurados y normalmente indemnizan a los clientes por el robo de dinero. Los métodos de autenticación y PIN / TAN son los más cruciales pero estándar: estos métodos de autenticación consisten en una contraseña y una parte fuera de línea, como un TAN de una carta en papel o un generador RSA o un lector de tarjetas.

ENVOLVER:

Las instituciones financieras deben cumplir con las leyes locales y cumplir con los estándares internacionales. Los bancos utilizan sistemas de detección de intrusos y prevención de fraudes muy avanzados que, lógicamente, deben basarse en bases de datos. Para el cliente Joe promedio, rara vez existe un alto riesgo de perder depósitos, incluso si los atacantes obtienen acceso completo a la cuenta bancaria, pero esto depende mucho del país en el que reside.

En cuanto a los ataques dirigidos:

1. Ataques del lado del cliente a los empleados para acceder a la red.
2. Ataques a aplicaciones web.
3. Ataques del lado del servidor.