Pesquisa revela que 50% das APIs usadas no setor financeiro já foram alvo de ataques

Levantamento mostra ainda que 56% de tentativas de roubo de credenciais foram focadas em APIs que conectam apps de finanças rodando em dispositivos móveis

Compartilhar:

A F5 Networks anuncia os resultados da pesquisa Principais incidentes de segurança 2018 – 2020 , levantamento produzido em junho deste ano pelo F5 Labs a partir de incidentes mapeados entre os anos de 2018 e 2020.

 

Embora tenha coberto incidentes que atingiram todas as verticais da economia, o relatório ressalta que o setor financeiro continua sendo o principal alvo das gangues digitais. O novo estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking.

 

A pesquisa da F5 confirma que o ponto crítico de ataque aos sistemas de Open Banking está ligado ao consumo de APIs (Application Programming Interfaces), linguagens que realizam a troca de dados entre as aplicações das diversas instituições que formam esse ecossistema.  Os experts analisaram incidentes ocorridos em sistemas de Open Banking que já estão operacionais na Europa (berço desse modelo, com destaque para o Reino Unido) e na Asia (com destaque à Austrália e a Singapura). Ao longo dos três anos pesquisados (2018, 2019, 2020), aumentou exponencialmente o número de ataques contra APIs do mercado financeiro – somente em 2020 ocorreram 55% dessas violações.

 

50% das APIs usadas no setor financeiro já foram alvo de ataques

 

Em relação às APIs consumidas em outras verticais, o setor financeiro também se destaca. Apenas 4% de APIs em ecossistemas como varejo, governo, educação etc. são alvos de ataques. No setor financeiro, 50% das APIs já foram alvos de ataques.

 

Para Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America, o estudo da F5 revela uma surpresa: o alto número de ataques que exploram APIs que conectam aplicações de finanças utilizadas em dispositivos móveis. “Aumenta a cada dia o uso do smartphone como ponto de acesso aos Apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis”. Isso é o que mostra a pesquisa realizada pelo time do F5 Labs. “Enquanto 56% da atividade criminosa focada em APIs de Apps móveis de finanças dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques de negação de serviços DoS”.  33% dos ataques, finalmente, são focados em ecossistemas de finanças baseados na arquitetura open sourceOpen Financial Exchange (OFX).

 

Heterogeneidade de empresas e de ataques

 

Outra característica dos sistemas de Open Banking é a heterogeneidade, em termos de modelo de negócios e de maturidade digital, das empresas envolvidas nesse modelo. O estudo da F5 mostra que as gangues digitais compreendem e exploram essa realidade. “56% dos ataques direcionados, por exemplo, às empresas processadoras de pagamentos, são DoS (Denial of Service).

 

O objetivo desse tipo de ataque é derrubar os serviços dessa empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação”. No caso das fintechs, empresas que já nasceram digitalizadas e na nuvem, os ataques tomam outra feição. “Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, ensina Vieira.

 

Essa configuração faz com que as fintechs sejam alvo de todos os tipos de ataques, revela o estudo da F5. 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DoS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações.

 

O desafio de proteger o ecossistema de Open Banking

 

A segunda etapa de implementação do Open Banking brasileiro iniciou-se em julho, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema. A implementação completa do Open Banking no Brasil só deve ser concluída no dia 30 de setembro de 2022. “É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Vieira.

 

Em sua visão, uma forma de reforçar a segurança de um ecossistema tão heterogêneo quanto o Open Banking brasileiro é utilizar plataformas de WAF (Web Application Firewall) que empregam inteligência artificial e machine learning para proteger aplicações e APIs contra invasões.  “É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...