Ataques de engenharia social na banca corporativa: Soluções PKI e WYSIWYS

Ataques recentes de engenharia social

Fraude de engenharia social na banca corporativa é o termo utilizado para designar uma vasta gama de manipulações maliciosas concebidas para realizar operações e transações digitais fraudulentas em domínios como a gestão de tesouraria e de crédito, a gestão de activos e a subscrição de pequenas e médias empresas e de grandes corporações.

O que torna os ataques de engenharia social (baseados em computador) especialmente perniciosos é o facto de explorarem o elemento humano propenso a erros como a má interpretação, a rotina... e demasiada confiança, em vez de vulnerabilidades do sistema.

Os recentes ataques de engenharia social a instituições financeiras no mundo digital incluem a tentativa de:

Fazer-se passar por titulares de contas e signatários mandatados para efetuar operações fraudulentas em seu nome,
Modificar o conteúdo ou a finalidade das operações quando estas são assinadas por estes utilizadores mandatados.

O Gemalto PKI Software Suite inclui soluções complementares para desenvolver capacidades mais defensivas para infraestruturas de PKI antigas.

Autenticar. Encriptar. Assinar. Em qualquer formato.

As soluções de PKI da Thales Gemalto mantêm os seus ativos corporativos seguros.

Estas soluções destinam-se à banca corporativa e complementam as soluções de segurança da banca digital desenvolvidas para clientes de banca de retalho.

Compreender o que está a assinar (UWYS, Understand What You Sign)

O Gemalto Swat é a nossa solução de ponta para a banca corporativa que deseja fornecer a melhor segurança da categoria aos seus clientes e subsidiárias para a Gestão Eletrónica de Contas Bancárias (eBAM, Eletronic Bank Account Management), as suas atividades da Câmara de Compensação Automatizada (ACH, Automated Clearing House), as suas transferências eletrónicas e pagamentos interbancários.

O leitor Gemalto Swat consiste num dispositivo de assinatura que pode ser integrado nos sistemas PKI existentes para fornecer controlo contextual e autenticação do dispositivo durante todas as operações de assinatura PKI.

A solução permite que as instituições financeiras associem qualquer operação sensível a uma descrição de contexto que garanta a integridade do conteúdo (ver: WYSIWYS) e o objetivo de uma operação (compreender: UWYS).

No caso abaixo: "Está a assinar um lote de 52 transações no valor de 350 USD".

Proporciona uma experiência UWYS (Understand-What-You-Sign) ao signatário, mitigando os ataques MitB (Man in the Browser) e de engenharia social mais avançados, privilegiando simultaneamente a facilidade de utilização e a mobilidade.

Leitor Gemalto Swat

Leitor Gemalto Swat

Este dispositivo de assinatura pode ser integrado nos sistemas PKI existentes para fornecer controlo contextual e autenticação do dispositivo durante todas as operações de assinatura PKI.

Autenticação de dispositivo de processamento de elementos seguros incorporados e assinatura de texto apresentada
Introdução segura do PIN
Ecrã de grandes dimensões com descrição do objetivo da assinatura
Ligação USB ou BLE
Suporte para PC, telemóvel e tablet

Gemalto eToken 5300

Uma solução ideal para uma empresa que pretende implementar a elevada segurança da PKI, mantendo uma solução cómoda para os funcionários.

USB compacto e inviolável com deteção de presença, que cria uma autenticação de terceiro fator (3FA)
Aplicações avançadas baseadas em certificados, tais como assinatura digital, encriptação de correio eletrónico e autenticação pré-inicialização
Acesso remoto seguro a VPN, portais Web e início de sessão seguro na rede
Dois tamanhos possíveis: Mini ou Micro

O Gemalto eToken 5300 é um token inteligente de autenticação de 3 fatores para melhorar os sistemas PKI antigos.

O que se vê é o que se assina (WYSIWYS, What You See Is What You Sign)

WYSIWYS refere-se a um método funcional que garante visivelmente a integridade dos documentos eletrónicos e das suas assinaturas digitais.

A verdade é que um signatário nunca vê realmente o que assina digitalmente.

O utilizador vê apenas uma representação do documento eletrónico e da assinatura eletrónica. Este processo deve-se à tecnologia subjacente às implementações das assinaturas digitais. Um documento e a sua assinatura são apenas um conjunto de bits.

Então, como pode um signatário ter a certeza de que a mensagem lida num browser é genuína e vem da fonte correta, e concordar com o conteúdo que apresenta?

Experiência completa de assinatura "ver e compreender".

Com o Gemalto Websigner, a nova tecnologia de extensão web promovida pelos principais fornecedores de navegadores, a solução Swat pode fornecer uma experiência completa de assinatura WYSWYS e UWYS baseada na web nos recentes navegadores Chrome, Firefox e Edge.

O dispositivo Swat possui um teclado PIN padrão que permite a entrada segura de PIN (SPE) e permite efetuar operações criptográficas habituais utilizando um cartão inteligente PKI.

Além disso, o dispositivo Swat permite ao signatário compreender exatamente o que lhe é pedido para assinar, a fim de atenuar ataques específicos de engenharia social.

Esta caraterística é o conceito UWYS que se baseia em três caraterísticas:

Código PIN seguro (contra malware e repetição do login do PIN)
Controlo WYSWYS dos detalhes da operação pelo signatário em sincronia com o controlo de assinaturas PKI do banco (contra MitB e MitM)
Controlo UWYS do contexto pelo signatário (contra a engenharia social e a injeção de HTML para enganar o utilizador).

Conformidade com as normas bancárias das empresas

As soluções apresentadas são também totalmente compatíveis com as principais normas exigidas pelas instituições financeiras, tais como

ISO 20022 para o intercâmbio eletrónico de dados, muito utilizado pelo eBAM e pela ACH,
XMLDsig e PKCS#7 para assinaturas digitais,
ou conformidade com a PSD2 para autenticação forte e ligação dinâmica de transações.

Fale com um especialista