book_icon

Open Banking, um dos alvos das gangues digitais, conforme pesquisa da F5

Estudo realizado pelos experts em segurança da F5 a partir de dados coletados entre 2018 e 2020 analisa os ataques disparados contra bancos, fintechs, processadoras de pagamentos e corretoras de valores de todo o mundo; AP Ataques contra APIs crescem continuamente – somente no ano passado ocorreram 55% das violações mapeadas em 2018, 2019 e 2020

Open Banking, um dos alvos das gangues digitais, conforme pesquisa da F5

A F5 Networks, empresa que atua em soluções que garantem a segurança e a entrega de aplicações corporativas, anuncia os resultados da pesquisa Principais incidentes de segurança 2018 – 2020 , levantamento produzido em junho deste ano pelo F5 Labs a partir de incidentes mapeados entre os anos de 2018 e 2020. Sediado em Seattle, EUA, o F5 Labs é uma divisão da F5 Networks que atua 24×7 para identificar ameaças que atingem empresas do mundo todo; o conhecimento construído pelos experts do F5 Labs é disponibilizado gratuitamente no portal.

Embora tenha coberto incidentes que atingiram todas as verticais da economia, o relatório ressalta que o setor financeiro continua sendo o principal alvo das gangues digitais. O novo estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking.

Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à Nuvem e contam com uma miríade de endereços IP para serem atacados 

A pesquisa da F5 confirma que o ponto crítico de ataque aos sistemas de Open Banking está ligado ao consumo de APIs (Application Programming Interfaces), linguagens que realizam a troca de dados entre as aplicações das diversas instituições que formam esse ecossistema. Os experts analisaram incidentes ocorridos em sistemas de Open Banking que já estão operacionais na Europa (berço desse modelo, com destaque para o Reino Unido) e na Asia (com destaque à Austrália e a Singapura). Ao longo dos três anos pesquisados (2018, 2019, 2020), aumentou exponencialmente o número de ataques contra APIs do mercado financeiro – somente em 2020 ocorreram 55% dessas violações.

50% das APIs usadas no setor financeiro já foram alvo de ataques
Em relação às APIs consumidas em outras verticais, o setor financeiro também se destaca. Apenas 4% de APIs em ecossistemas como varejo, governo, educação etc. são alvos de ataques. No setor financeiro, 50% das APIs já foram alvos de ataques.

Para Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America, o estudo da F5 revela uma surpresa: o alto número de ataques que exploram APIs que conectam aplicações de finanças utilizadas em dispositivos móveis. “Aumenta a cada dia o uso do smartphone como ponto de acesso aos Apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis”. Isso é o que mostra a pesquisa realizada pelo time do F5 Labs. “Enquanto 56% da atividade criminosa focada em APIs de Apps móveis de finanças dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques de negação de serviços DoS”. 33% dos ataques, finalmente, são focados em ecossistemas de finanças baseados na arquitetura open source Open Financial Exchange (OFX).

Heterogeneidade de empresas e de ataques
Outra característica dos sistemas de Open Banking é a heterogeneidade, em termos de modelo de negócios e de maturidade digital, das empresas envolvidas nesse modelo. O estudo da F5 mostra que as gangues digitais compreendem e exploram essa realidade. “56% dos ataques direcionados, por exemplo, às empresas processadoras de pagamentos, são DoS (Denial of Service). O objetivo desse tipo de ataque é derrubar os serviços dessa empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação”. No caso das fintechs, empresas que já nasceram digitalizadas e na Nuvem, os ataques tomam outra feição. “Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à Nuvem e contam com uma miríade de endereços IP para serem atacados”, ensina Vieira.

Essa configuração faz com que as fintechs sejam alvo de todos os tipos de ataques, revela o estudo da F5. 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DoS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações.

O desafio de proteger o ecossistema de Open Banking
A segunda etapa de implementação do Open Banking brasileiro iniciou-se em julho, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema. A implementação completa do Open Banking no Brasil só deve ser concluída no dia 30 de setembro de 2022. “É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Vieira.

Em sua visão, uma forma de reforçar a segurança de um ecossistema tão heterogêneo quanto o Open Banking brasileiro é utilizar plataformas de WAF (Web Application Firewall) que empregam Inteligência Artificial e Machine Learning para proteger aplicações e APIs contra invasões. “É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”.

Serviço
www.f5.com/labs

 

APIs (Application Programming Interfaces)

Ewerton Vieira

F5 Labs

F5 Networks

gangues digitais

Machine Learning

Open Banking

Open Financial Exchange (OFX)

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TENDÊNCIAS

Tecnologias imersivas ganham impulso nos negócios

Leia nessa edição sobre carreira

INDÚSTRIA 4.0

Fábrica conectada

Leia nessa edição sobre setorial | saúde

SERVIÇOS

Trunfos dos menores

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

TENDÊNCIAS

A casa também foi para a Nuvem

Julho| 2021 | #48 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento