banner senha segura
senhasegura
pixabay robot api digitization 6399666 1280

Alta exponencial de ataques contra APIs de open banking

Enquanto apenas 4% das APIs de educação, varejo e governo são alvos de ataques, no setor financeiro 50% das APIs já foram atacadas
Da Redação
21/07/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O número de ataques contra APIs do mercado financeiro vem crescendo exponencialmente desde 2018, diz o relatório da pesquisa “Principais Incidentes de Segurança 2018-2020”, levantamento publicado em junho deste ano pelo F5 Labs a partir de incidentes mapeados entre os anos de 2018 e 2020. O estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking.

A pesquisa da F5 confirma que o ponto crítico de ataque aos sistemas de Open Banking está ligado ao uso de APIs (Application Program Interfaces), as interfaces por meio das quais é feita a troca de dados entre as aplicações das diversas instituições que formam esse ecossistema. Os especialistas analisaram incidentes ocorridos em sistemas de Open Banking que já estão operacionais na Europa (berço desse modelo, com destaque para o Reino Unido) e na Asia (com destaque à Austrália e a Singapura). Ao longo dos três anos pesquisados (2018, 2019, 2020), aumentou exponencialmente o número de ataques contra APIs do mercado financeiro – somente em 2020 ocorreram 55% dessas violações.

Veja isso
Ransomware MountLocker usa APIs do Windows para worm
F5 adquire plataforma edge-as-a-service Volterra por US$ 440 milhões

Enquanto apenas 4% das APIs em ecossistemas como varejo, governo, educação etc. são alvos de ataques, no setor financeiro, 50% das APIs já foram alvos de ataques.

Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America, observa que o estudo da F5 revela uma surpresa: o elevado número de ataques contra APIs que conectam aplicações de finanças em dispositivos móveis: “Aumenta a cada dia o uso do smartphone como ponto de acesso aos Apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis. Enquanto 56% da atividade criminosa focada em APIs de Apps móveis de finanças dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques de negação de serviços DoS”. 33% dos ataques, finalmente, são focados em ecossistemas de finanças baseados na arquitetura open source Open Financial Exchange (OFX).

Heterogeneidade de empresas e de ataques

Outra característica dos sistemas de Open Banking é a heterogeneidade, em termos de modelo de negócios e de maturidade digital, das empresas envolvidas nesse modelo. O estudo da F5 mostra que as gangues digitais compreendem e exploram essa realidade. “56% dos ataques direcionados, por exemplo, às empresas processadoras de pagamentos, são DoS (Denial of Service). O objetivo desse tipo de ataque é derrubar os serviços dessa empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação”. No caso das fintechs, empresas que já nasceram digitalizadas e na nuvem, os ataques tomam outra feição. “Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, detalha Vieira.

Essa configuração faz com que as fintechs sejam alvo de todos os tipos de ataques, revela o estudo da F5. 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DoS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações.

O desafio de proteger o ecossistema de Open Banking

A segunda etapa de implementação do Open Banking brasileiro iniciou-se em julho, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema. A implementação completa do Open Banking no Brasil só deve ser concluída no dia 30 de setembro de 2022. “É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Vieira.

Em sua visão, uma forma de reforçar a segurança de um ecossistema tão heterogêneo quanto o Open Banking brasileiro é utilizar plataformas de WAF (Web Application Firewall) que empregam inteligência artificial e machine learning para proteger aplicações e APIs contra invasões. “É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”.

Sediado em Seattle, EUA, o F5 Labs é uma divisão da F5 Networks que atua 24×7 para identificar ameaças que atingem empresas do mundo todo; o conhecimento construído pelos experts do F5 Labs é disponibilizado gratuitamente no portal f5labs.

Com informações da assessoria de imprensa

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório