[ad_1]

Une critique que j’ai entendue à propos de mes histoires de petites entreprises qui perdent leur chemise à cause d’une fraude bancaire en ligne est que je ne souligne pas assez souvent ce que les banques et les clients devraient faire différemment pour réduire le risque de subir l’un de ces incidents. Il se trouve qu’une de mes sources était récemment à une conférence où l’un des principaux orateurs était un haut fonctionnaire du Bureau du contrôleur de la monnaiel’un des principaux régulateurs du secteur bancaire.

Le responsable avait été invité à parler des mesures que les banques et les entreprises peuvent prendre pour endiguer la vague de fraudes bancaires en ligne contre les petites et moyennes entreprises. L’orateur essayait de faire comprendre aux institutions financières les types de mesures de sécurité que les examinateurs bancaires rechercheront lors des inspections à venir. Mais les faits saillants de son discours offrent également des conseils judicieux aux entreprises et donnent aux propriétaires d’entreprise des idées sur les questions clés à poser lorsqu’ils recherchent une banque qui prend au sérieux la sécurité de ses clients.

Selon ma source, le responsable de l’OCC a insisté sur les points suivants :

  • L’authentification (y compris les générateurs de mots de passe basés sur des jetons/à usage unique) est uniquement une couche de contrôle. La vérification hors bande (également appelée 3e facteur) telle que les rappels, les télécopies, etc. est toujours fortement recommandée.
  • Les entreprises et les banques devraient exiger un double contrôle.
  • Établir et surveiller les limites d’exposition. Vous voudrez peut-être envisager 2 limites – des limites inférieures pour l’authentification uniquement, une limite supérieure avec une vérification hors bande.
  • Configurez des alertes pour vos clients afin qu’ils sachent quand une transaction a été initiée.
  • Avoir une limite relativement basse (moins de 9K) pour les rapports quotidiens.
  • Surveillez l’activité de « money mule », caractérisée par la présence d’un ou plusieurs des éléments suivants :
    • Nouveaux comptes ouverts par un client avec un petit dépôt, suivis peu de temps après par un ou plusieurs dépôts importants par crédit ACH ou virement bancaire.
    • Un compte existant avec une augmentation soudaine du nombre et des montants en dollars des dépôts par crédit ACH ou virement bancaire.
    • Un titulaire de compte nouveau ou existant qui retire une grande quantité d’argent peu de temps après un dépôt important (souvent 5 % à 10 % de moins que le dépôt).
  • Les examinateurs seront attentifs à cela lors de votre prochain examen : ils rechercheront une combinaison de contrôles ; authentification, vérification, limites, gestion et surveillance des risques.
  • Éduquez vos clients, mais ne comptez pas sur les contrôles des clients.
  • Recommandez au client de configurer un ordinateur à usage unique spécifiquement pour les services bancaires en ligne et rien d’autre.
  • Ne laissez pas le marketing « sur-promesse » et « sous-livrer ». Par exemple, « Les services bancaires aux entreprises en ligne, n’importe où, n’importe quand au simple toucher d’une touche » incitent les clients à ne pas se soucier de la sécurité (c.-à-d. se connecter à des réseaux sans fil non sécurisés).
  • Ayez un plan de réponse aux incidents spécifiquement pour les situations de ce type.
  • Le FBI est intéressé. Il y a actuellement plus de 250 enquêtes en cours. Si votre banque/client subit une attaque ACH, contactez le cyber-superviseur du bureau local du FBI. Ils ont reçu des conseils sur la façon de réagir et de signaler.

Aditionellement, Gartner analyste fraude Aviva Litan dit les banques devraient adopter une ou plusieurs des mesures suivantes pour contrer les attaques actuelles contre les clients des services bancaires en ligne :

-Détection de fraude qui surveille le comportement d’accès des utilisateurs et alerte les clients en cas d’activité qui s’écarte considérablement de leur activité bancaire en ligne normale, comme des valeurs de transaction anormalement élevées.

-Vérification des transactions utilisateur hors bande, telle que l’envoi au client d’un code d’accès à usage unique via un message texte de téléphone mobile (SMS).

Finalement, le Département américain de la justicela Centre de renseignement de l’État de New Yorkla Police de l’État de New Yorkla Services secrets américains et d’autres ont publié le mois dernier une alerte conjointe intitulée Informations et recommandations concernant les virements électroniques non autorisés liés aux cyberréseaux compromisqui contient de nombreuses informations utiles et des conseils de sécurité.

Lecture complémentaire :

Des voleurs en ligne prennent 205 000 $ dans le cabinet dentaire du Missouri
Des escrocs organisés frappent NJ Town, Ark. Utility
Victime du eBanking ? Prenez un numéro.
Les cyber-escrocs laissent les voleurs de banque traditionnels dans la poussière
Les escrocs augmentent le volume des attaques de banque en ligne
La victime demande à Capital One : « Qui est dans votre portefeuille ? »
Les régulateurs revisitent les directives de sécurité des services bancaires en ligne
Une entreprise de New York fait face à la faillite suite à une perte de 164 000 $ dans les services bancaires en ligne
Une entreprise informatique perd 100 000 $ à cause d’une fraude bancaire en ligne
Comerica Phish a déjoué la protection à 2 facteurs
Des pirates tentent de voler 150 000 $ à Centraide
L’histoire de deux victimes
Texas Bank poursuit un client touché par un cyber-casse de 800 000 $
Les cyber-escrocs ont cuisiné les livres à la bibliothèque de Floride
Money Mules a aidé à Rob W. Va. Bank
Le FBI enquête sur le vol de 500 000 $ du district scolaire de New York
Panneaux d’avertissement enterrés

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.