A F5 Networks anuncia os resultados da pesquisa Principais incidentes de segurança 2018 – 2020, levantamento produzido em junho deste ano pelo F5 Labs a partir de incidentes mapeados entre os anos de 2018 e 2020. O F5 Labs é uma divisão da F5 Networks.
Embora tenha coberto incidentes que atingiram todas as verticais da economia, o relatório ressalta que o setor financeiro continua sendo o principal alvo das gangues digitais. O novo estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking.
A pesquisa da F5 confirma que o ponto crítico de ataque aos sistemas de Open Banking está ligado ao consumo de APIs (Application Programming Interfaces), linguagens que realizam a troca de dados entre as aplicações das diversas instituições que formam esse ecossistema. Os experts analisaram incidentes ocorridos em sistemas de Open Banking que já estão operacionais na Europa (berço desse modelo, com destaque para o Reino Unido) e na Asia (com destaque à Austrália e a Singapura). Ao longo dos três anos pesquisados (2018, 2019, 2020), aumentou exponencialmente o número de ataques contra APIs do mercado financeiro – somente em 2020 ocorreram 55% dessas violações.
50% das APIs usadas no setor financeiro já foram alvo de ataques
Em relação às APIs consumidas em outras verticais, o setor financeiro também se destaca. Apenas 4% de APIs em ecossistemas como varejo, governo, educação etc. são alvos de ataques. No setor financeiro, 50% das APIs já foram alvos de ataques.
Para Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America, o estudo da F5 revela uma surpresa: o alto número de ataques que exploram APIs que conectam aplicações de finanças utilizadas em dispositivos móveis. “Aumenta a cada dia o uso do smartphone como ponto de acesso aos Apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis”. Isso é o que mostra a pesquisa realizada pelo time do F5 Labs. “Enquanto 56% da atividade criminosa focada em APIs de Apps móveis de finanças dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques de negação de serviços DoS”. 33% dos ataques, finalmente, são focados em ecossistemas de finanças baseados na arquitetura open source Open Financial Exchange (OFX).
Heterogeneidade de empresas e de ataques
Outra característica dos sistemas de Open Banking é a heterogeneidade, em termos de modelo de negócios e de maturidade digital, das empresas envolvidas nesse modelo. O estudo da F5 mostra que as gangues digitais compreendem e exploram essa realidade. “56% dos ataques direcionados, por exemplo, às empresas processadoras de pagamentos, são DoS (Denial of Service). O objetivo desse tipo de ataque é derrubar os serviços dessa empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação”.
No caso das fintechs, empresas que já nasceram digitalizadas e na nuvem, os ataques tomam outra feição. “Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, ensina Vieira.
Essa configuração faz com que as fintechs sejam alvo de todos os tipos de ataques, revela o estudo da F5. 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DoS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações.
O desafio de proteger o ecossistema de Open Banking
A segunda etapa de implementação do Open Banking brasileiro iniciou-se em julho, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema. A implementação completa do Open Banking no Brasil só deve ser concluída no dia 30 de setembro de 2022. “É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Vieira.
Em sua visão, uma forma de reforçar a segurança de um ecossistema tão heterogêneo quanto o Open Banking brasileiro é utilizar plataformas de WAF (Web Application Firewall) que empregam inteligência artificial e machine learning para proteger aplicações e APIs contra invasões. “É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”.
