Aplicativos de banco se tornam alvos preferenciais de ataques virtuais

É certo que cada vez mais a internet é utilizada em várias atividades diárias, e entre as facilidades que a tecnologia nos traz, os serviços bancários via aplicativos estão entre os mais acessados. Em janeiro de 2023, foram 15,48 milhões de downloads de aplicativos bancários, segundo o Bank of America, com base em dados da Sensor Tower, sendo o Nubank (2,86 milhões), C6 Bank (1,54 milhão), Inter (1,51 milhão), PicPay (1,5 milhão) e Mercado Pago (1,26 milhão) os mais baixados.

Dos bancos tradicionais, foram 7,37 milhões no mesmo período: da Caixa (1,29 milhão), Caixa Tem (1,52 milhão), Bradesco (1,29 milhão), Itaú Unibanco (1,15 milhão), Santander Brasil (1,11 milhão) e Banco do Brasil (999 mil).

"Por trás dos aplicativos usados para acessar os bancos existem muitas informações confidenciais e, por isso, a ação dos cibercriminosos pode ir além da invasão para roubo. Caso eles acessem dados pessoais, podem inclusive sequestrá-los e exigir pagamento por eles, além de uma série de outras complicações, em especial para empresas", explica Ubiratan Menezes, executivo de soluções para cibersegurança da VIVA Security.

Aplicativos de banco se tornam alvos preferenciais de ataques virtuais: eles são parte fundamental do funcionamento das movimentações financeiras, mas podem representar vulnerabilidades para ataques cibernéticos — **Aplicativos** são parte fundamental do funcionamento das **movimentações financeiras**, mas podem representar **vulnerabilidades** para **ataques cibernéticos**

Sora Shimazaki/Pexels

Ele explica que, para que as tecnologias de diferentes instituições financeiras conversem entre si - ou seja, para que possam, por exemplo, mandar dinheiro de uma instituição para outra -, são utilizadas APIs para essa comunicação, compartilhando informações pessoais dos usuários, entre outros dados. Chamadas de open banking, elas permitem a outros desenvolvedores (empresas em geral) a criação de aplicações e serviços para uma instituição financeira. E é aí que mora o perigo. Qualquer vulnerabilidade em uma dessas interfaces de programação pode levar ao vazamento de milhões de dados pessoais, criando prejuízos imensuráveis.

Os invasores que visam APIs de serviços financeiros são normalmente motivados por objetivos variados. Entre eles está, objetivamente, o controle de conta, ao direcionar as APIs de autenticação para locais de controle dos criminosos, permitindo que os invasores assumam as contas dos clientes e drenem fundos.

Além das maneiras mais tradicionais utilizadas como vetores de ataque iniciais pelos criminosos - phishing, engenharia social e outras táticas que 'ludibriam' os usuários para extrair informações de acesso ou obter acesso a dispositivos -, agora os atacantes encontram nas APIs portas de entrada para realizar os ataques, muito mais silenciosos e que ocorrem por dias, semanas ou meses sem serem detectados pelas soluções tradicionais.

Por isso, soluções direcionadas à proteção de APIs se tornam fundamentais para as instituições financeiras. "Um dos desafios para os defensores é saber onde as APIs expõem dados confidenciais ou onde possuem fragilidades que podem ser meticulosamente exploradas", ressalta Ubiratan Menezes. Esses ataques são superespecializados e realizados por atacantes que aprendem e usam a própria lógica do código das aplicações - por isso não são detectados por soluções tradicionais como WAFs e gateways de APIs, entre outros.

A empresa desenvolveu uma tecnologia, automática e em nuvem, capaz de analisar o tráfego de APIs ao longo de dias, semanas e até meses, aplicando escala de nuvem e algoritmos maduros ao tráfego da API; buscando um padrão de atividade suspeita, consolidando as atividades em uma única linha do tempo do invasor e reduz os falsos positivos, e eliminando 96% dos falsos alertas.

Security/Engenharia de Comunicação