Estima-se que, no Brasil, o setor financeiro registre uma tentativa de fraude cibernética a cada 6 segundos, de acordo com dados da Serasa Experian de 2023. A vertical continua entre os três principais focos de cibercriminosos, especialmente como alvos de ransomware e de ataques DDoS. Além disso, fraudes envolvendo clientes e colaboradores dessas instituições são cada vez mais frequentes, envolvendo estratégias avançadas. Ameaças que não só acarretam prejuízos diretos para clientes e organizações, mas também desencadeiam crises sistêmicas de larga escala, impactando a estabilidade econômica de uma região. Reconhecer a gravidade das consequências associadas à exploração de vulnerabilidades é o primeiro passo para proteger sua organização e seus clientes contra esses ataques.
Este artigo analisa as principais ameaças enfrentadas pelo setor bancário e propõe medidas proativas para mitigá-las e proteger os dados sensíveis e a integridade das instituições financeiras.
Principais ameaças no setor bancário
Vulnerabilidades de software
Representam uma das principais ameaças ao setor bancário e englobam falhas no código-fonte de aplicativos bancários, sistemas operacionais e em bibliotecas de terceiros utilizadas pelos bancos.
Essas brechas podem ser exploradas por hackers para obter acesso não autorizado a sistemas bancários, comprometendo a integridade e a confidencialidade dos dados dos clientes. Exemplos comuns incluem a exploração de vulnerabilidades de segurança em aplicativos móveis de bancos, em plataformas de internet banking e em sistemas de processamento de transações.
Engenharia social
Essa é uma técnica utilizada por hackers para persuadir indivíduos a revelarem informações confidenciais ou a realizarem ações prejudiciais. No contexto bancário, isso pode envolver a manipulação de funcionários ou clientes para divulgar senhas, números de conta bancária ou outras informações sensíveis.
Os ataques de engenharia social podem assumir diversas formas, incluindo e-mails de phishing convincentes, chamadas telefônicas fraudulentas se passando por representantes bancários, ou até mesmo a instalação de dispositivos de skimming em caixas eletrônicos para capturar informações de cartões bancários.
Malwares
Hackers desenvolvem uma variedade de técnicas para explorar sistemas bancários e clientes. O ransomware é um tipo de malware que pode infectar os sistemas bancários, criptografando dados críticos e exigindo pagamento de resgate para restaurar o acesso. Outros tipos de malware são os trojans bancários, projetados especificamente para roubar informações financeiras, como credenciais de login e números de cartão de crédito, diretamente dos dispositivos dos clientes.
O roubo e vazamento de dados através de malwares podem gerar consequências devastadoras nas instituições bancárias, além de afetar os clientes. Portanto, é crucial que os bancos adotem medidas proativas para mitigar essas ameaças, incluindo a implementação de políticas de segurança cibernética robustas, o monitoramento contínuo de sistemas e transações, e a educação tanto de funcionários quanto de clientes sobre as melhores práticas de segurança.
Vulnerabilidades na web mais exploradas
Conheça as vulnerabilidades que podem ser exploradas no seu ambiente e saiba como corrigi-las. Fazemos testes controlados e oferecemos uma visão da segurança cibernética da sua empresa pela perspectiva do invasor. Fale com um especialista e conheça nossa solução de Pentest.
Cross-Site Scripting (XSS)
Essa é uma vulnerabilidade que permite que um atacante injete scripts maliciosos em páginas da web visualizadas por outros usuários. No contexto bancário, isso pode ocorrer em áreas como formulários de login, painéis de controle de contas ou mensagens de suporte ao cliente.
Um ataque XSS bem-sucedido pode resultar em roubo de sessão, redirecionamento para sites maliciosos de phishing, ou até mesmo execução de transações não autorizadas. Um exemplo notável foi o ataque ao Banco do Brasil em 2018, em que clientes foram redirecionados para páginas falsas de login por meio de scripts XSS injetados em mensagens de phishing.
Injection Attacks e LDAP
Essas são duas formas comuns de ataques de injeção que exploram a falta de validação de entrada em formulários da web. Isso permite que um invasor injete comandos maliciosos diretamente em consultas SQL ou em conexões LDAP.
Em instituições bancárias, esses ataques podem ser utilizados para obter acesso não autorizado a dados confidenciais, como informações de conta, senhas e detalhes de transações. Um exemplo histórico é o ataque ao Citibank em 2005, em que hackers acessaram dados de cartões de crédito de mais de 330.000 clientes através de uma vulnerabilidade de injeção de SQL.
Cross-Site Request Forgery (CSRF)
Ocorre quando um invasor persuade um usuário autenticado a executar ações não intencionais em um site vulnerável, aproveitando a confiança do navegador do usuário.
No contexto bancário, um ataque CSRF pode levar um usuário logado a realizar transações financeiras não autorizadas sem o seu conhecimento, simplesmente visitando uma página web maliciosa. Essa ameaça representa uma ameaça significativa devido ao potencial de impacto financeiro direto.
Broken Authentication
Permite que um invasor obtenha acesso não autorizado a contas bancárias por meio de técnicas como força bruta, ataques de dicionário ou reutilização de credenciais vazadas.
Em instituições financeiras, isso pode resultar em comprometimento de dados sensíveis do cliente, acesso não autorizado a contas e realização de transações fraudulentas. Um exemplo recente foi o ataque à plataforma de investimento Robinhood em 2020, quando invasores exploraram uma falha de autenticação para acessar contas de usuários e realizar transações não autorizadas.
Medidas de segurança e prevenção
Criptografia e autenticação forte:
• TLS (Transport Layer Security): o TLS é um protocolo de criptografia usado para proteger a comunicação entre os clientes e os servidores bancários. Sua implementação garante que os dados transmitidos, como informações de login e transações financeiras, sejam criptografados e protegidos contra interceptação por terceiros.
• Uso de Content Security Policy (CSP): implementar uma política de segurança de conteúdo que restrinja a execução de scripts em uma página da web reduz a superfície de ataque para vulnerabilidades XSS.
• Autenticação de Dois Fatores (2FA): técnica que exige que os usuários forneçam duas formas de identificação para acessar suas contas bancárias. Além da senha tradicional, os clientes podem ser solicitados a fornecer um código de verificação enviado por mensagem de texto, gerado por um aplicativo de autenticação ou até mesmo uma impressão digital biométrica.
• Prepared Statements e Stored Procedures: técnicas seguras de acesso a banco de dados que podem ser utilizadas para garantir que todos os dados sejam tratados como dados e não como comandos SQL.
• Sanitização de dados: valide e sanitize todas as entradas de usuário antes de processá-las, removendo caracteres especiais que possam ser interpretados como comandos maliciosos.
• Token Anti-CSRF: implemente tokens anti-CSRF em formulários e solicitações que realizam ações sensíveis para garantir que cada solicitação seja acompanhada de um token exclusivo que valida sua autenticidade.
• Verificação de Origem (Origin Checking): para prevenir ataques CSRF, valide a origem de todas as solicitações recebidas e garanta que elas se originem de um domínio confiável.
Monitoramento de rede e dados
• Firewalls de próxima geração: esses firewalls oferecem recursos avançados de filtragem de tráfego de rede e inspeção profunda de pacotes para identificar e bloquear ameaças cibernéticas em tempo real. Eles podem detectar padrões de tráfego suspeitos, filtrar conteúdo malicioso e aplicar políticas de segurança granulares para proteger os sistemas bancários contra ataques.
• Análise de Comportamento de Usuários (UBA): uma técnica que utiliza algoritmos de aprendizado de máquina para identificar atividades incomuns ou suspeitas nos sistemas bancários. Por meio da análise de padrões de comportamento de usuários, a UBA pode detectar atividades anômalas, como tentativas de login não autorizadas ou transações financeiras suspeitas, e alertar os administradores de segurança para investigação.
Educação e conscientização
• Treinamento em segurança cibernética: instituições bancárias podem oferecer programas regulares e específicos de treinamento para funcionários em todos os níveis da organização, abordando temas como reconhecimento de phishing, boas práticas de senha, proteção de dispositivos móveis e procedimentos de resposta a incidentes.
• Campanhas de conscientização: garanta que os clientes estejam cientes dos riscos de segurança e saibam como proteger suas informações financeiras, com campanhas veiculadas por e-mail, mensagens de texto, mídias sociais e outros canais, que fornecem recursos educacionais, dicas e alertas sobre ameaças emergentes.
Parcerias e colaboração
• Compartilhamento de inteligência de ameaças: instituições bancárias podem participar de programas de compartilhamento de inteligência de ameaças para trocar informações sobre ameaças cibernéticas emergentes, padrões de ataque e técnicas de defesa. Essas parcerias permitem que os bancos se beneficiem do conhecimento coletivo da comunidade de segurança e fortaleçam suas defesas contra ameaças.
• Automação de resposta a incidentes: uma abordagem que utiliza ferramentas para detectar, investigar e responder a incidentes de forma rápida e eficiente. Ao automatizar tarefas repetitivas e demoradas, como triagem de alertas e isolamento de sistemas comprometidos, as instituições podem reduzir o tempo de resposta a incidentes e limitar o impacto das violações.
Quais impactos são evitados quando instituições financeiras se protegem contra ameaças?
Perda financeira
Quando hackers conseguem acesso não autorizado aos sistemas bancários, podem realizar transferências fraudulentas de fundos, manipular transações ou até mesmo desviar dinheiro diretamente das contas dos clientes. As instituições bancárias podem enfrentar custos significativos para investigar e remediar incidentes de segurança e para compensar os clientes afetados por fraudes.
Danos à reputação
Quando os clientes percebem que suas informações financeiras não estão seguras, é provável que percam a confiança na instituição bancária e busquem serviços em outros lugares. O dano à reputação pode levar a uma perda de clientes e a uma diminuição na receita, além de resultar em ações judiciais e multas regulatórias.
Risco de roubo de identidade
Quando dados pessoais e financeiros são comprometidos em violações de segurança, os hackers podem usar essas informações para abrir contas fraudulentas, obter crédito em nome dos clientes ou realizar outras atividades criminosas. O roubo de identidade pode ter sérias consequências para as vítimas, incluindo danos financeiros, problemas legais e impacto negativo na pontuação de crédito.
Impacto no mercado financeiro
Incidentes de segurança significativos podem levar a volatilidade nos mercados, desencadear vendas em massa de ações de instituições afetadas e prejudicar a confiança dos investidores. Isso pode ter ramificações em cascata para outras empresas e setores, resultando em instabilidade econômica mais ampla.
Sistemas financeiros precisam de proteção avançada para dados confidenciais, mitigação de ameaças antes do impacto e segurança no DNA de novos produtos.
Se a sua instituição financeira precisa de um parceiro para desenhar o plano de segurança cibernética ideal para o seu negócio, entre em contato com um de nossos consultores.
Klaus Polycarpo, consultor Pentester na Redbelt Security
