Por Pedro Fortuna
Há uma verdadeira revolução tecnológica no mercado financeiro. E um dos mais novos filhos dessa revolução é o PIX, que representa a desburocratização dos meios de pagamento no mercado e, em conjunto com os conceitos de Open Banking e Finanças Descentralizadas (DeFi), tem a missão de revolucionar a forma como os brasileiros movimentam o seu dinheiro.
Ao mesmo tempo que a inovação acontece, observamos uma série de vazamentos de dados e o surgimento de novas formas de ataques cibernéticos. Além disso, acompanhamos os esforços do governo e das instituições reguladoras para o avanço da LGPD e outros controles de segurança e privacidade de dados. Todo esse esforço é empreendido para garantir que a confidencialidade, integridade e disponibilidade dos dados caminhem em conjunto com a inovação.
É possível desenvolver uma solução inovadora e ao mesmo tempo segura? Buscamos cada vez mais entender a relação entre as novas tecnologias de pagamento com os eventos de fraudes e exposição de dados.
E o PIX, como novo representante da inovação em pagamentos digitais, está recebendo gradualmente mais atenção dos criminosos cibernéticos e dos brasileiros com relação à segurança do serviço.
O novo sistema de pagamentos do Banco Central do Brasil (Bacen), que entrou em operação em 16 de novembro de 2020, permite fazer pagamentos ou transferir dinheiro para outra pessoa ou empresa de maneira instantânea (em menos de 10 segundos) e independentemente de qual seja a instituição de recebimento.
Diferente de outras operações, o PIX funciona 24 horas por dia, inclusive aos finais de semana e feriados. Tudo isso de forma gratuita (para as pessoas físicas) e ao alcance do seu smartphone. Mas, se por um lado os custos baixos e a praticidade do novo sistema são grandes atrativos para o uso do PIX, ainda existem questionamentos recorrentes no que diz respeito à segurança e proteção desse meio.
Como funciona a segurança do PIX
Em tal quesito, o PIX conta com os mesmos protocolos do Sistema Financeiro Nacional que já usufruímos hoje, que também servem para TEDs e DOCs. Além disso, as transações contam, ainda, com as camadas de segurança oferecidas pelas próprias instituições financeiras por meio dos celulares — a exemplo de biometria, reconhecimento facial e outras medidas.
Na prática, as transações e os dados dos usuários devem ser protegidos por duas medidas de segurança principais: a criptografia e a autenticação, que obrigatoriamente devem fazer parte dos procedimentos adotados pelos agentes financeiros participantes do PIX, a fim de evitar fraudes, prejuízos financeiros e outros danos aos usuários.
Como camada adicional de proteção, o PIX conta com motores antifraudes responsáveis pela identificação (caso aconteça) de transações atípicas que não condizem com o perfil do usuário. Esses motores fazem o bloqueio das transações suspeitas durante o dia por até 30 minutos e, no caso das transações feitas à noite, por 60 minutos. As transações que não se comprovem seguras são rejeitadas.
Todos esses procedimentos acontecem de maneira invisível para o usuário e dentro do período máximo de 10 segundos, de acordo com as regras do BC. O PIX, portanto, oferece um significativo grau de segurança nas transações. O Banco Central e outras instituições financeiras que colaboraram com o desenvolvimento do PIX realizaram um notável trabalho em implementar os protocolos de segurança já existentes e apresentar uma solução segura e descomplicada.
Como ocorre tipicamente nos sistemas das instituições financeiras e fintechs, esses seguem rígidas regras de segurança, que são testadas e aprimoradas constantemente, o que dificulta sobremaneira uma invasão ou dano diretamente aos seus servidores e ambiente tecnológico dessas organizações.
De olho no lance: o papel das chaves
As chaves são a forma de identificar a conta dentro do ecossistema PIX. Elas funcionam como o endereço da conta e podem ser o e-mail, CPF/CNPJ, celular ou uma chave gerada de forma aleatória.
Ao mesmo tempo que a chave pode substituir várias informações e dar rapidez à transação, ela é um dado facilmente acessado — afinal, a grande maioria dos brasileiros já informou o CPF ou e-mail em algum cadastro, ou até mesmo o número do celular, ao comprar alguma mercadoria.
Por isso, os cibercriminosos podem se aproveitar dessa facilidade para enganar as pessoas. Logo, é preciso tomar cuidado ao compartilhar as suas chaves PIX, assim como outros dados bancários.
Entendemos, assim, que uma abordagem mais produtiva em relação à discussão sobre a segurança do PIX é nos voltarmos para o outro lado da ponta do ecossistema: a segurança do usuário. Como já mencionado, o sistema foi projetado para oferecer grande segurança em suas transações, porém, o que fazer para que os usuários não sejam enganados por cibercriminosos?
Os desafios acarretados
Logo na primeira semana de funcionamento do PIX, a Kaspersky identificou mais de 100 novos domínios maliciosos e duas grandes campanhas de disseminação de phishing (fraudes eletrônicas para roubos de dados pessoais e financeiros).
Apesar de o PIX apresentar uma nova tecnologia, os problemas de fraudes são antigos e muitas vezes permanecem sem tratamento adequado, com o argumento da vulnerabilidade estar do lado do cliente e além do perímetro de segurança digital das instituições financeiras.
A mesma situação pode vir a impactar aplicativos web/mobile que disponibilizam o uso do PIX aos seus clientes, caso os devidos controles não sejam implementados.
Entre os riscos que os dispositivos do cliente podem oferecer, um que merece especial atenção é o chamado tampering (adulteração) de client-side, pois afeta a funcionalidade e visualização de aplicações bancárias, e-commerces ou demais sites e sistemas, através da substituição ou inclusão de elementos visuais e funcionais fraudulentos.
O tampering é baseado na manipulação de parâmetros trocados entre cliente e servidor para modificar os dados da aplicação, como credenciais e permissões do usuário, preço, quantidade de produtos, formas de pagamento, entre outros. Normalmente essas informações são armazenadas em cookies, campos dos formulários ou requisições de URLs.
A fragilidade do código JavaScript
Esse tipo de ataque é facilitado pelo fato de os aplicativos web/mobile, em sua maioria, serem desenvolvidos em código JavaScript, uma linguagem de programação que apresenta vantagens como agilidade para desenvolvimento e atualizações, mas que, por outro lado, tem como inconveniente expor o código-fonte no browser, permitindo que tal código seja facilmente copiado por um atacante ou alterado diretamente na máquina do cliente, sem que este o perceba, passando longe dos servidores e dos controles das empresas.
Assim, não só as instituições financeiras, mas como qualquer empresa que disponibiliza aplicativos web/mobile em JavaScript, devem se preocupar com as possibilidades de ataques cibernéticos, devido à facilidade de realizar engenharia reversa no código-fonte exibido pelo navegador. Inclusive, tanto a Open Source Foundation for Application Security (OWASP), uma das maiores referências de boas práticas em segurança para aplicações web, quanto a ISO/IEC 27.001 chamam atenção para a necessidade de proteção ao código-fonte, ao dizer que o código-fonte do programa pode ser vulnerável a ataques se não for protegido de forma adequada, assim como pode fornecer ao invasor um bom meio de comprometer os sistemas de maneira frequentemente encoberta.
Através de tais falhas de segurança muitas fraudes já foram cometidas, e alguns velhos casos podem ganhar roupagem nova com o PIX — como a tão conhecida adulteração de boleto, substituindo a visualização dele na tela do cliente por uma versão fraudulenta, fazendo com que este inadvertidamente pague ao fraudador, e não ao emissor.
Com o PIX, por exemplo, tal método também pode vir a ocorrer no ato da geração do QR Code de pagamentos, caso a implementação não seja adequadamente realizada.
Além disso, em aplicativos web e móveis, as informações são armazenadas na memória antes de ser enviadas ao servidor (do banco/app/etc.) e, algumas vezes, tais dados podem ser acessados e alterados enquanto o aplicativo está sendo utilizado (uma equipe de engenheiros de segurança do Google, aliás, demonstrou recentemente esse tipo de ataque usando a vulnerabilidade Spectre para vazar dados em memória).
Por fim, embora não recomendado, é sabido que muitos usuários realizam o root (Android) ou executam o jailbreak (iOS), procurando ter mais liberdade com seus celulares. Esses aparelhos, porém, se tornam mais suscetíveis a ataques como os de exfiltração de dados. Daí a importância do emprego de ferramentas que possam detectar esses dispositivos e tomar automaticamente medidas de proteção, como o bloqueio de algumas das features da aplicação.
Mãos à obra
Tudo isso posto, quais medidas podem ser realizadas para a proteção dos usuários além do perímetro de segurança dos servidores das empresas? Como assegurar que o usuário está visualizando e utilizando uma versão íntegra dos aplicativos, da forma como projetados, e não com inclusões e adulterações realizadas por um cibercriminoso?
Felizmente, existem formas de ofuscar o código JavaScript, para evitar que ele seja lido e seu funcionamento, desvendado e revertido por hackers. Bem como é possível monitorar a aplicação no client-side, por meio da implementação de códigos “observadores”, que permitem entender se algo foi alterado na página em comparação com a versão oficial disponibilizada — e até mesmo eliminar tal código malicioso automaticamente, ou, em casos graves, bloquear a utilização da aplicação temporariamente para aquele usuário.
É possível ainda cifrar dados críticos em memória a partir de algoritmos de criptografia, medida particularmente útil não somente nos aplicativos financeiros, mas também naqueles voltados para o setor de saúde ou governo, por exemplo.
Para prevenir a extração de dados é possível, por exemplo, bloquear o uso de API em redes onde se tenha detectado qualquer tipo de ataque ou atividade suspeita, bem como restringir o comportamento de cada script que corre na aplicação.
Resultados no processo
O PIX, enquanto inovação para o mercado brasileiro de meios de pagamento, ainda não é capaz de erradicar os riscos dos cibercrimes e fraudes, porém isso não significa que o mercado deve voltar às soluções proprietárias de Internet Banking como instalações de módulos de segurança, uso de um navegador próprio ou qualquer outro recurso que exija do usuário algo diferente de sua rotina para realizar uma simples transferência bancária.
É importante que as empresas entendam os problemas de fraudes e cibercrimes como um desafio compartilhado, considerando que elas mesmas utilizam JavaScript (e seus frameworks) em seus aplicativos para ganhar tempo em desenvolvimento e, portanto, devem considerar os riscos que essa linguagem oferece aos usuários finais e buscar saídas para remediá-los. Ao fazer isso, essas empresas têm a oportunidade de oferecer um produto com maior segurança ao usuário e reduzir custos em atendimento de chamados e processos de chargebacks.
Tais métodos de controle são os princípios de segurança básicos para o futuro das aplicações web/mobile, tanto bancárias quanto e-commerces e demais serviços que envolvem dados ou transações, bem como demonstram maior comprometimento por parte das empresas que o adotam, ao oferecer um nível adicional de segurança ao cuidar não apenas dos controles em servidor, mas também sobre o que acontece com a sua aplicação quando chega aos dispositivos do usuário final.
*Pedro Fortuna, CTO e Cofundador da Jscrambler
