290 likes | 478 Vues
PAYPAL, LA SICUREZZA NEL PAGAMENTO. Di Paolo Piersanti e Francesco Leccese. Prof. Stefano Bistarelli. CHE COSA E’ PAYPAL. Paypal è un servizio di trasferimento di denaro nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori.
E N D
PAYPAL, LA SICUREZZA NEL PAGAMENTO Di Paolo Piersanti e Francesco Leccese Prof. Stefano Bistarelli
CHE COSA E’ PAYPAL • Paypal è un servizio di trasferimento di denaro nato proprio per rendere più sicure le transazioni online sia per i compratori, sia per i venditori. • E’ possibile spedire e ricevere denaro in tutta sicurezza non fornendo i numeri della carta di credito ma solamente l’indirizzo e mail.
LE POLICY DI PAYPAL • PRIVACY POLICY • ACCETTABLE USE POLICY • DELIVERY POLICY
Privacy Policy Per usufruire del servizio, Paypal ci obbliga a fornire i nostri dati personali quali: • Informazionidicontatto – nome, indirizzo, telefono, email, Skype ID e simili • Informazionifinanziarie – contocorrente e/o inumeridelle carte dicreditochefannoriferimentoall’accoutpaypal
Utilizzo dei Cookies Paypal fa uso dei cookies al fine di: • Riconoscere l’utente come un paypalcustomer • Collezionare informazioni sulla macchina dell’utente per mitigare il rischio, prevenire le frodi e promuovere fiducia e sicurezza
AccettableUse Policy L’utilizzo di Paypal è vietato per le attività che: • infrangono qualsiasi legge o mettono a rischio la sicurezza del consumatore • Implicano transazioni illegali (trasferimenti offshore, marketing piramidale, ecc.) • Implicano la vendita di prodotti considerati fraudolenti dalle agenzie governative • Violano le leggi vigenti sulla vendita di farmaci e tabacco • Coinvolgono il gioco d’azzardo
Utilizzo delle informazioni personali • Fornire i servizi efficientemente • Elaborare le transazioni e le notifiche relative • Risolvere controversie • Prevenzione da azioni che sono vietate dalla AccettableUse Policy • Comparazione con terze parti per verifica dell’autenticità
Delivery Policy • Il sistema comunica attraverso il sito o attraverso l’e-mail dell’utente • Vengono comunicatici tutti i movimenti (pagamenti effettuati, ricevuti, bilancio annuo) • Per usufruire del servizio di consegna è necessaria una connessione internet e una crittografia a 128 bit • L’utente ha la responsabilità di aggiornare i propri recapiti per mantenere attiva la comunicazione col servizio
SISTEMA MESSAGGISTICO IPN (INSTANT PAYMENT NOTIFICATION) • Cos’è IPN è un message system che in Paypal è utilizzato per notificare ogni tipo di evento che interviene in una transazione • Pagamento Istantaneo • Notifiche di spedizione • Controversie
A cosa serve • IPN ha il compito di accelerare ed ottimizzare l’invio di messaggi tra utenti e il server PayPal • Usa un listener (detto anche handler), cioè uno script modificabile dall’utente che auto-gestisce le notifiche, le liste dei clienti, ecc.
FRAUD MANAGEMENT FILTERS I Filitri mitigano i tentativi antifrode • Free Filters • AdvancedFilters L’attività si articola in tre step: • Configurazione Manuale • Revisione • Trasferimento (o Negazione)
Step di funzionamento dei FMF Configurazione Manuale Revisione Trasferimento / Negazione
Tipi di Filtri • Maximumtransactionamountfilter • Country monitor filter • Card security code mismatchfilter • Minimum transactionamountfilter
MaximumTransactionamountFilter • Entra in azione se l’importo è molto maggiore delle cifre che riguardano le transazioni di un dato venditore Esempio: Se il volume medio delle mie transazioni è di 100 $ e mi viene proposta una transazione da 1000 $ allora il filtro entra in funzione Usato da solo non è molto affidabile perché, se il venditore considera affidabile la fonte, può accettare la transazione
Country Monitor Filter • Consente la creazione di una Blacklist di Paesi ritenuti poco affidabili Se il Paese che origina il pagamento fa parte di questa lista allora il pagamento viene automaticamente annullato senza dover chiedere il consenso all’utente
Minimum AmountTransactionFilter • Serve ad ottimizzare l’azione del sistema FMF. Deve essere impostata una soglia minima.Se il pagamento è minore o uguale del valore soglia allora vi è l’immediata accettazione senza dover passare per i restanti tre filtri. • Esempio: Se la soglia minima è di 10 $ e devo ricevere un pagamento di 10 $, il filtro convalida la transazione senza passare per gli altri tre. Se invece dovrei ricevere un pagamento di 20 $ allora entrano in azione anche gli altri filtri.
Card Security Code MismatchFilter • Entra in azione quando l’emettitore del pagamento fornisce un codice di sicurezza della carta di credito differente. Se vi è incongruenza, questa viene segnalata e spetterà all’utente la decisione se accettare o meno il pagamento.
Sicurezza dei dati e Crittografia • Paypal codifica automaticamente i dati trasferiti dal computer dell’utente attraverso il protocollo SSL (SecureSocketLayer) con una crittografia a 128 bit, la migliore in commercio. • Vengono usati AVS e CVV2 per controllare gli indirizzi di accredito
Struttura del SSL SSL Handshake, permette al server e all’utente di autenticarsi a vicenda. Consente inoltre di stabilire un algoritmo di crittografia e le relative chiavi prima che il livello di applicazione trasmetta o riceva il suo primo byte. SSL Record, è basato su di un protocollo di trasporto affidabile come il TCP. È usato per l'incapsulamento dei dati provenienti dai protocolli superiori.
Struttura del SSL TransmissionControlProtocol: E' un protocollo di trasporto di tipo connection-oriented per la trasmissione dati tra due host, cioè offre un servizio orientato alla connessione garantendo la consegna e l'ordinamento corretto dei dati grazie all'utilizzo di sequencenumber e conferme di consegna. Gli host impegnati comunicano attraverso un canale che consente lo scambio interattivo delle informazioni (full-duplex). TCP segmenta e invia i dati ai protocolli superiori come un'unica sequenza (byte-stream).
Struttura del SSL Internet Protocol: fornisce un metodo di indirizzamento logico e di gestione frammentazione/riassemblaggio per la trasmissione dati tra gli host di una rete. L'IP protocol definisce una tecnica di trasmissione dati non orientata alla connessione (connectionless) e senza riscontro (non c'è garanzia che i pacchetti giungano a destinazione e nella sequenza corretta). Esso prevede che le informazioni vengano strutturate in unità chiamate datagrammi IP (IPdatagram), di lunghezza massima 65535 byte, suddivise in due aree: il campo dati (data) che contiene il messaggio da inviare e l'intestazione (header) che contiene le informazioni necessarie per instradare il pacchetto.
Obiettivi del SSL • Confidenzialità: I dati coinvolti in una comunicazione vengono protetti utilizzando algoritmi di crittografia a chiave simmetrica • Autenticazione: L'autenticazione dell'identità (sia degli utenti che del server) nelle connessioni è eseguita usando la crittografia a chiave pubblica (RSA). • Integrità: Con un apposito MAC (MessageAuthentication Code), che utilizza funzioni hash, i dati vengono controllati e protetti da eventuali modifiche esterne.
Vantaggi dell’SSL • SSL è indipendente dal protocollo di applicazione, in tal modo un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente; • Cifratura a 128 bit nella trasmissione dati tra il Browser ed il Server; • È un protocollo con bassissimi costi di manutenzione (cosa non da poco)
Testimonianza di una truffa subita con Paypal Un ragazzo vuole vendere il suo perosnaggio di World ofWarcraft per 280 $ ad un certo utente chiamato BROWN. BROWN paga con Paypal e ottiene tramite MSN user e password dell’account. Dopo 15 minuti BROWN apre una constestazione e chiede un rimborso dell’intera cifra. Il venditore cerca di far valere le sue ragioni dimostrando di aver spedito i dati anche tramite raccomandata. Paypal rimborsa BROWN