Elas são parte
fundamental do funcionamento das movimentações financeiras e podem representar
vulnerabilidades para ataques cibernéticosFreepik
É certo que cada vez mais a internet é
utilizada em várias atividades diárias, e entre as facilidades que a tecnologia
nos traz, os serviços bancários via aplicativos estão entre os mais acessados.
Em janeiro, foram 15,488 milhões de downloads de aplicativos bancários, segundo
o Bank of America, com base em dados da Sensor Tower, sendo o Nubank (2,862
milhões), C6 Bank (1,544 milhão), Inter (1,512 milhão), PicPay (1,501 milhão) e
Mercado Pago (1,266 milhão) os mais baixados. Nos bancos tradicionais, foram
7,375 milhões no mesmo período: da Caixa (1,290 milhão), Caixa Tem (1,528
milhão), Bradesco (1,291 milhão), Itaú Unibanco (1,155 milhão), Santander
Brasil (1,112 milhão) e Banco do Brasil (999 mil).
“Por trás dos aplicativos usados para
acessar os bancos existem muitas informações confidenciais e por isso a ação
dos cibercriminosos pode ir além da invasão para roubo. Caso eles acessem dados
pessoais, podem inclusive sequestrá-los e exigir pagamento por eles, além de
uma série de outras complicações, em especial para empresas”, explica Ubiratan
Menezes, executivo de Soluções para Cibersegurança da VIVA Security, empresa
especializada em desenvolver soluções para segurança.
Ele explica que para que as tecnologias
de diferentes instituições financeiras conversem entre si, ou seja, para que
possam, por exemplo, mandar dinheiro de uma instituição para outra, são
utilizadas APIs para essa comunicação, compartilhando informações pessoais dos
usuários, entre outros dados. Chamadas de Open Banking, elas permitem a outros
desenvolvedores (empresas em geral) a criação de aplicações e serviços para uma
instituição financeira. E é aí que mora o perigo. Qualquer vulnerabilidade em
uma dessas interfaces de programação pode levar ao vazamento de milhões de
dados pessoais, gerando prejuízos imensuráveis.
Os invasores que visam APIs de serviços
financeiros são normalmente motivados por objetivos variados. Entre eles está,
objetivamente, o controle de conta, ao direcionar as APIs de autenticação para
locais de controle dos criminosos, permitindo que os invasores assumam as
contas dos clientes e drenem fundos.
Além das maneiras mais tradicionais
utilizadas como vetores de ataque iniciais pelos criminosos – phishing,
engenharia social e outras táticas que “ludibriam” os usuários para extrair
informações de acesso ou obter acesso a dispositivos –, agora os atacantes
encontram nas APIs portas de entrada para realizar os ataques, muito mais
silenciosos e que ocorrem por dias, semanas ou meses sem serem detectados pelas
soluções tradicionais.
Por isso tudo, soluções direcionadas à
proteção de APIs se tornam fundamentais para as instituições financeiras. “Um
dos desafios para os defensores é saber onde as APIs expõem dados confidenciais
ou onde possuem fragilidades que podem ser meticulosamente exploradas”,
ressalta Ubiratan Menezes. Esses ataques são superespecializados e realizados
por atacantes que aprendem e usam a própria lógica do código das aplicações –
por isso não são detectados por soluções tradicionais como WAFs e Gateways de
APIs, entre outros.
A boa notícia é que já existe no
mercado uma tecnologia que, diferente de todas as demais, monitora o tráfego de
forma abrangente, contínua e cria uma base de contexto na linha do tempo,
trata-se do SALT. O que o diferencia é a sua capacidade de analisar o tráfego
de APIs ao longo de dias, semanas e até meses, aplicando escala de nuvem e
algoritmos maduros ao tráfego da API.
Ele procura um padrão de atividade
suspeita, consolida as atividades em uma única linha do tempo do invasor e
reduz os falsos positivos, eliminando 96% dos falsos alertas.
Mais ainda: de forma 100% automática,
100% em nuvem, sem agentes, sem configurações ou necessidade de mudança de
infraestruturas ou aplicações, traz visibilidade sobre quais APIs estão em uso,
identifica e classifica quais dados estão sendo expostos, quais falhas de
lógicas estão presentes por design e interrompe os ataques ou envia as
descobertas para os times de segurança e desenvolvimento.
O SALT é uma verdadeira revolução no
modelo de proteção e por isso vem sendo sucesso como motor de segurança de
iniciativas como Open Banking e agora também para o Open
Insurance. “Nossos clientes estão muito satisfeitos com os
resultados”, reforça o executivo de Soluções para Cibersegurança.
Nenhum comentário:
Postar um comentário