Siga nossas redes

destaque

Aplicativos bancários podem ser porta de entrada para ataques virtuais

Elas são parte fundamental do funcionamento das movimentações financeiras e podem representar vulnerabilidades para ataques cibernéticos

 

É certo que cada vez mais a internet é utilizada em várias atividades diárias, e entre as facilidades que a tecnologia nos traz, os serviços bancários via aplicativos estão entre os mais acessados. Em janeiro, foram 15,488 milhões de downloads de aplicativos bancários, segundo o Bank of America, com base em dados da Sensor Tower, sendo o Nubank (2,862 milhões), C6 Bank (1,544 milhão), Inter (1,512 milhão), PicPay (1,501 milhão) e Mercado Pago (1,266 milhão) os mais baixados. Nos bancos tradicionais, foram 7,375 milhões no mesmo período: da Caixa (1,290 milhão), Caixa Tem (1,528 milhão), Bradesco (1,291 milhão), Itaú Unibanco (1,155 milhão), Santander Brasil (1,112 milhão) e Banco do Brasil (999 mil).

“Por trás dos aplicativos usados para acessar os bancos existem muitas informações confidenciais e por isso a ação dos cibercriminosos pode ir além da invasão para roubo. Caso eles acessem dados pessoais, podem inclusive sequestrá-los e exigir pagamento por eles, além de uma série de outras complicações, em especial para empresas”, explica Ubiratan Menezes, executivo de Soluções para Cibersegurança da VIVA Security, empresa especializada em desenvolver soluções para segurança.

Ele explica que para que as tecnologias de diferentes instituições financeiras conversem entre si, ou seja, para que possam, por exemplo, mandar dinheiro de uma instituição para outra, são utilizadas APIs para essa comunicação, compartilhando informações pessoais dos usuários, entre outros dados. Chamadas de Open Banking, elas permitem a outros desenvolvedores (empresas em geral) a criação de aplicações e serviços para uma instituição financeira. E é aí que mora o perigo. Qualquer vulnerabilidade em uma dessas interfaces de programação pode levar ao vazamento de milhões de dados pessoais, gerando prejuízos imensuráveis.

Os invasores que visam APIs de serviços financeiros são normalmente motivados por objetivos variados. Entre eles está, objetivamente, o controle de conta, ao direcionar as APIs de autenticação para locais de controle dos criminosos, permitindo que os invasores assumam as contas dos clientes e drenem fundos.

Além das maneiras mais tradicionais utilizadas como vetores de ataque iniciais pelos criminosos – phishing, engenharia social e outras táticas que “ludibriam” os usuários para extrair informações de acesso ou obter acesso a dispositivos –, agora os atacantes encontram nas APIs portas de entrada para realizar os ataques, muito mais silenciosos e que ocorrem por dias, semanas ou meses sem serem detectados pelas soluções tradicionais.

Por isso tudo, soluções direcionadas à proteção de APIs se tornam fundamentais para as instituições financeiras. “Um dos desafios para os defensores é saber onde as APIs expõem dados confidenciais ou onde possuem fragilidades que podem ser meticulosamente exploradas”, ressalta Ubiratan Menezes. Esses ataques são superespecializados e realizados por atacantes que aprendem e usam a própria lógica do código das aplicações – por isso não são detectados por soluções tradicionais como WAFs e Gateways de APIs, entre outros.

A boa notícia é que já existe no mercado uma tecnologia que, diferente de todas as demais, monitora o tráfego de forma abrangente, contínua e cria uma base de contexto na linha do tempo, trata-se do SALT. O que o diferencia é a sua capacidade de analisar o tráfego de APIs ao longo de dias, semanas e até meses, aplicando escala de nuvem e algoritmos maduros ao tráfego da API.

Ele procura um padrão de atividade suspeita, consolida as atividades em uma única linha do tempo do invasor e reduz os falsos positivos, eliminando 96% dos falsos alertas.

Mais ainda: de forma 100% automática, 100% em nuvem, sem agentes, sem configurações ou necessidade de mudança de infraestruturas ou aplicações, traz visibilidade sobre quais APIs estão em uso, identifica e classifica quais dados estão sendo expostos, quais falhas de lógicas estão presentes por design e interrompe os ataques ou envia as descobertas para os times de segurança e desenvolvimento.

O SALT é uma verdadeira revolução no modelo de proteção e por isso vem sendo sucesso como motor de segurança de iniciativas como Open Banking e agora também para o Open Insurance. “Nossos clientes estão muito satisfeitos com os resultados”, reforça o executivo de Soluções para Cibersegurança.

Click to comment

Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Advertisement
Brasil5 dias ago

Dorival crê na evolução do Brasil: ‘Não estou feliz, poderíamos estar muito melhores’

Paraíba5 dias ago

Xand Avião compra égua avaliada em R$ 17 milhões em leilão de Wesley Safadão na Paraíba

Política5 dias ago

João Azevêdo reassume Governo da Paraíba e diz que estado terá ‘muitas novidades’ nos próximos dias

destaque6 dias ago

Inscrições concurso da UFPB com mais de 100 vagas e salários de R$ 4,5 mil começam nesta segunda-feira

Mundo6 dias ago

Rússia lança 120 mísseis e 90 drones contra a Ucrânia

Mundo6 dias ago

Após ofensa de Janja a Musk, Lula diz que “não temos que xingar ninguém” em evento

Brasil2 semanas ago

Banco Central vai leiloar US$ 4 bi de reservas internacionais para segurar dólar

Justiça2 semanas ago

Homem vai participar de audiência e acaba preso no Sertão da Paraíba

Brasil2 semanas ago

É falsa suposta promoção de suplementos Growth para quem responder quiz

Brasil2 semanas ago

Inédito no Brasil, inscrições para alistamento militar feminino terá início em 2025

Paraíba2 semanas ago

TCE detecta caso de nepotismo e contratação de funcionário fantasma da prefeitura de Nova Olinda e multa prefeito em mais de R$ 3 mil

Justiça2 semanas ago

Gaeco deflagra operação para apurar desvio de finalidade na Defensoria Pública em João Pessoa, Guarabira e Assunção

destaque2 semanas ago

Brasília, Santa Catarina e Minas Gerais são a maioria entre turistas na Paraíba para o fim de ano

Paraíba2 semanas ago

Assembleia decreta estado de calamidade em áreas afetadas pela erosão costeira no município de Baía da Traição

Paraíba2 semanas ago

Clilson Júnior revela ranking das cidades paraibanas que têm 90% da população vivendo abaixo na linha de pobreza

Cultura & Arte4 semanas ago

Calcinha Preta anuncia Festival Atemporal em João Pessoa; saiba qual data

Cultura & Arte4 semanas ago

Cidade na Paraíba com 19 mil habitantes desembolsa R$ 120 mil com show de Japãozin

destaque4 semanas ago

Em entrevista à Folha de São Paulo, André Penazzi comenta a força do mercado imobiliário no Nordeste

concurso publico3 semanas ago

UFPB lança hoje edital de concurso com mais de 100 vagas para técnicos administrativos

destaque3 semanas ago

Marcha Para Jesus em João Pessoa terá comboio de motociclistas e grupo de tambores; confira programação

Cultura & Arte3 semanas ago

Henry Freitas, Simone Mendes e Matuê são confirmados no Verão Lovina 2025; confira programação completa

Metrópole3 semanas ago

Elevador despenca em loja de João Pessoa e três pessoas ficam feridas no acidente

destaque4 semanas ago

Registro de Candidaturas para Eleições Sindicais do Sindicato dos Empregados do Comércio Hoteleiro da Paraíba é Publicado; Confira os Detalhes

destaque3 semanas ago

Primeiro suspeito preso por envolvimento em roubo de cobre da Cagepa é mecânico e atuou no transporte do material

destaque3 semanas ago

Diego Tavares retorna à secretaria de gestão governamental em João Pessoa

destaque3 semanas ago

Cagepa anuncia que água deve voltar às torneiras a partir de amanhã em Conde, Cabedelo e João Pessoa

Justiça2 semanas ago

Homem vai participar de audiência e acaba preso no Sertão da Paraíba

Paraíba2 semanas ago

Assembleia decreta estado de calamidade em áreas afetadas pela erosão costeira no município de Baía da Traição

Paraíba2 semanas ago

Clilson Júnior revela ranking das cidades paraibanas que têm 90% da população vivendo abaixo na linha de pobreza

Paraíba2 semanas ago

TCE detecta caso de nepotismo e contratação de funcionário fantasma da prefeitura de Nova Olinda e multa prefeito em mais de R$ 3 mil

Advertisement
Sair da versão mobile