Empresas, instituições financeiras e clientes ficaram mais vulneráveis a golpes cibernéticos desde que a pandemia promoveu um aumento expressivo na digitalização das atividades do dia a dia. Dados do setor de segurança da informação apontam que 11 milhões de phishings bancários foram detectados somente neste ano. Velha conhecida, a fraude queridinha dos criminosos caracteriza-se pela tentativa de roubar informações confidenciais dos usuários, ou seja, a identidade online. De posse dos dados alheios, o golpista pode acessar contas, transferir dinheiro e fazer compras, por exemplo. O salto desse tipo de ocorrência envolvendo instituições financeiras tem alertado especialistas do setor para as ameaças que devem se intensificar com a chegada do PIX, o sistema de pagamentos instantâneos.
Com entrada em vigor prevista para novembro, a novidade tende a modernizar e baratear as operações financeiras, possibilitando que transferências e pagamentos possam ser realizados a qualquer dia do ano, sem limite de horário e com o recurso imediatamente disponível ao destinatário. Desta forma, transformará processos antes físicos em virtuais, aumentando a atividade online e, consequentemente, a possibilidade de exploração de vulnerabilidades, colocando em risco dados, processos e clientes.
De acordo com a Kryptus, fabricante do hardware security module e especializada em criptografia e segurança da informação, algumas ameaças têm potencial para prejudicar a estratégia de proteção das transações do novo sistema de pagamentos. Uma delas é o roubo das chaves privadas da instituição financeira, que podem permitir que um invasor se passe pela instituição e autorize débitos, por exemplo, via exploração de alguma vulnerabilidade que permita acesso ao sistema e às chaves privadas.
Outro risco, segundo a empresa, é a fraude que invade o ambiente, escala privilégios, e altera o código de geração de um QR Code, possibilitando a criação de uma versão fraudulenta. Assim, o golpista pode desviar o dinheiro que seria remetido para uma loja, por exemplo. Já a invasão de um dispositivo móvel, seja ele um celular ou tablet, tem por objetivo usar as credenciais e efetuar transações em nome da vítima, acessando aplicativos de instituições financeiras para fazer operações.
Roberto Gallo, CEO da Kryptus, afirma que a solução de melhor custo-benefício para as instituições financeiras em busca de adequação para o PIX são os módulos criptográficos (HSM) capazes de atender múltiplas normas e legislações simultaneamente. Além disso, as soluções de alta disponibilidade devem estar no radar das empresas em busca de segurança e performance para reduzir riscos e custos.
Na visão do executivo, é preciso apostar em HSMs com certificações internacionais e nacionais, como o FIPS e aICP-Brasil. “Desta forma, a instituição não só fica em compliance com o Manual de Segurança do Banco Central, mas também com PCI, LGPD e GDPR”, destaca.
Nas aplicações financeiras, de acordo com Gallo, “o HSM pode ser utilizado, por exemplo, como cofre digital, gerenciamento de credenciais, Autoridade Certificadora interna, adequação a leis de proteção de dados pessoais como LGPD e GDPR e nos processos de PCI e segurança das chaves para o Sistema Público de Pagamento para adquirentes de cartões de crédito. Além disso, HSMs que possuem funções de virtualização possibilitam uma redução de investimentos (CAPEX) e custos operacionais (OPEX)”.
