Criminosos exploram APIs em novos golpes. (IAM-photography/Getty Images)
Bússola
Publicado em 30 de junho de 2022 às 18h00.
Sendo o Brasil um dos principais sistemas financeiros do mundo, não é de se espantar que o setor financeiro seja alvo de ataques cibernéticos no país. Segundo uma pesquisa realizada pela Febraban, somente no primeiro semestre de 2021 houve um crescimento de 165% nos golpes de criminosos virtuais que usam engenharia social, em comparação ao segundo semestre de 2020.
E, com a chegada do Open Banking, os criminosos têm se aproveitado do cenário para aplicar novos golpes, explorando as APIs, programas que possibilitam a interface que permite a troca de dados entre as organizações financeiras. Somente em 2020, 50% das APIs usadas no Open Banking foram alvos dos atacantes, conforme relatório Proteção de Aplicativos divulgado pela empresa norte-americana de softwares F5 Networks.
Mas quais são os desafios que precisam ser enfrentados? A pedido da Bússola, Josemando Sobral, CEO da Unxpose, startup de cibersegurança especializada na proteção digital para startups e PMEs, listou alguns dos pontos vulneráveis e como as empresas devem se comportar em cada caso.
Um novo reino para o phishing
Os criminosos e golpistas terão um novo reino para atacar. Têm surgido falsos formulários e aplicativos que usam o nome do Open Banking para solicitar dados das vítimas e roubar seus consentimentos.
“Nesse caso, para ter mais segurança é preciso trabalhar na educação e conscientização do usuário final, ensinando sempre as boas práticas e alertando contra possíveis ameaças. Além disso, será importante a construção de uma lista das instituições financeiras seguras para que fique mais fácil explicar para os clientes quando uma operação será realizada com empresas com grau de confiança menor”, declara Sobral.
Fintechs como o elo mais fraco e presa fácil
Enquanto bancos são instituições bem estabelecidas com um longo histórico e resiliência em segurança, muitas fintechs não possuem time nem orçamento para investir em segurança desde o dia zero, e assim podem se tornar alvos para atacantes.
“Aqui, é essencial que essas instituições reforcem o seu time de segurança. Caso isso não seja possível, uma saída é investir em soluções que automatizam a proteção da infraestrutura. Além disso, é importante reforçar também a importância de criptografar os dados dos clientes para reduzir a chance de possíveis vazamentos de informações sensíveis.”
Ataques à API entrarão em ascensão
As instituições aderentes ao Open Banking se comunicarão usando APIs com especificações padronizadas para a realização da troca de dados. No entanto, cada empresa terá que criar suas próprias implementações desses padrões, o que pode abrir brechas para que atacantes explorem os mesmos comportamentos imprevistos em companhias diferentes.
"Quando estamos discutindo APIs, estamos falando de superfícies de exposição menores que aplicações tradicionais, como sites de internet banking ou apps para smartphones. Assim, as empresas podem gastar mais energia com implementação de medidas de segurança, começando com o catálogo dos ativos de infraestrutura que estão expostos na internet."
Aplicativos e plataformas sob estresse
Já que o Open Banking transforma os aplicativos e plataformas em uma verdadeira "extensão" do acesso ao banco, é muito comum o surgimento de aplicativos maléficos e fraudulentos criados por criminosos interessados no roubo de dados dos clientes. Porém, mesmo em aplicativos oficiais ficará comum ataques do tipo de força bruta em aplicativos e plataformas oficiais.
“Nesse caso, a saída é aplicar os conceitos de segurança e privacidade desde o início dos processos de desenvolvimento desses aplicativos e plataformas. Outra dica é garantir uma gestão muito bem controlada do consentimento dos clientes, com atenção à sua revogação.”
Siga a Bússola nas redes: Instagram | Linkedin | Twitter | Facebook | Youtube
Veja também