Quais são os maiores riscos de segurança do open banking?

Por Márcio Padrão | Editado por Claudio Yuge | 21 de Julho de 2021 às 19h00

Quanto mais dinheiro você guarda, mais você é alvo de crimes. Portanto, não é uma grande surpresa a constatação de que o setor financeiro é o mais visado pelos invasores digitais. Isso pode ser preocupante também no open banking, um conjunto de regras do Banco Central que dá aos clientes o poder de seus próprios dados financeiros. Assim, eles podem autorizar a transferência deles para o banco que quiser, quando quiser.

Ele é vantajoso para as instituições financeiras, pois elas podem acessar o histórico de clientes em outras empresas, o que ajuda a bolar produtos e serviços personalizados para cada um deles. O público também pode se dar bem, pois isso estimula a competição entre bancos para fornecer taxas mais baixas e assim tirar o cliente do banco concorrente.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Atualmente no Brasil o open banking está na fase 1 de implantação, com os bancos trocando informações padronizadas sobre canais de atendimento, mas nenhum dado pessoal de cliente ainda. Isso acontecerá a partir de 13 de agosto. Mas um relatório da F5, empresa de cibersegurança corporativa, coletou dados entre 2018 e 2020 e levantou os maiores riscos cibernéticos desse conceito. Veja abaixo os destaques.

API, essas letrinhas delicadas

Segundo o relatório, um ponto crítico é o consumo de APIs (sigla em inglês para interfaces de programação de aplicações), um tipo de ligação para que programas diferentes "conversem" entre si. Foi visto um aumento de incidentes nas APIs de open banking na Europa (Reino Unido) e na Ásia (Austrália e Singapura). Somente em 2020 ocorreram 55% dessas violações.

Há ainda uma atenção especial para APIs de finanças em aparelhos móveis (celulares e tablets). "Enquanto 56% da atividade criminosa em apps dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques DDoS", diz Ewerton Vieira, diretor de soluções de engenharia da F5 na América Latina. DDoS (sigla em inglês para as ofensivas digitais de negação de serviços) é um tipo de incidente onde os invasores sobrecarregam servidores com excesso de acessos a ele, fazendo com que um serviço ou página web sejam "derrubados".

Imagem: Elements/twenty20photos

Tem empresa de todo tipo, mas ataque também

O levantamento também destaca que a heterogeneidade dos sistemas de open banking também vem levando a uma variedade de ciberataques. Como exemplos, as empresas processadoras de pagamentos estão sofrendo mais com os DDoS, citados acima. O objetivo é derrubar os serviços dessa empresa para que o consumidor, por exemplo, desista de usar essa bandeira de cartão para completar uma compra.

Já as fintechs, que têm mais serviços em nuvem, contam com muitos endereços IP para serem atacados, tornando-as mais vulneráveis. Daí podem ser vítimas de tentativas de roubos de credenciais (logins e senhas), DDoS e ataques contra aplicações web.

O que fazer então?

Para proteger o open banking brasileiro, que é bastante heterogêneo, a sugestão do relatório é usar plataformas de WAF (Firewall para aplicações web, em inglês) que empregam inteligência artificial e aprendizado de máquina para proteger aplicações e APIs. "É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de 'micro WAF' que atua de forma defensiva em todas as instâncias onde dados financeiros são processados", reforça Vieira.

A implementação completa do Open Banking no Brasil deve ser concluída em de setembro de 2022. "É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio", recomenda Vieira.

Do lado dos clientes de banco que usam ou usarão sistemas de open banking, vale seguir várias das dicas de sempre, como:

  • Nunca utilize dados pessoais como senha (datas de aniversário, placa de carro etc.) nem números repetidos ou sequenciais (111111 ou 123456);
  • Nunca compartilhe senhas, códigos de segurança ou tokens em ligações, mensagens de texto pela internet ou sites;
  • Nunca clique em links que peçam atualização, manutenção de app, cadastro ou token;
  • Nunca permita que acessem remotamente o seu computador ou celular, nem aceite fazer procedimentos de segurança durante ligações telefônicas;
  • Nunca acredite em promoções muito vantajosas que ofereçam grandes descontos, ganhos em dobro ou benefícios. Podem se tratar de phishing e golpes;
  • Nunca entregue seu cartão, celular, chip de celular ou equipamentos como notebook, tablet entre outros, para terceiros (Ex: um suposto motoboy ou funcionário da instituição);
  • Sempre utilize os canais oficiais da sua instituição para confirmar uma solicitação

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.