[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar

Contas fantasmas são o meio mais usado por hackers para invadir bancos

Um estudo da Federação Brasileira de Bancos (Febraban) revela que as instituições financeiras tiveram um aumento de 80% nos ataques através de e-mails de phishing neste ano. O Relatório de Riscos de Dados de Serviços Financeiros 2021, da empresa de segurança de dados Varonis, diz que o setor de serviços financeiros é, quase sempre, o destino preferido dos hackers devido à criticidade de suas informações.

A maior vulnerabilidade, segundo o estudo, é a grande quantidade de arquivos críticos abertos na rede, sem controle de acesso e configurações adequadas de segurança. O estudo ouviu cerca de 56 organizações financeiras de pequeno, médio e grande porte.

De acordo com a Varonis, nas grandes organizações financeiras, 20 milhões de arquivos não têm controle de acesso dos funcionários, ou seja, podem ser acessados por qualquer colaborador. Esse índice tem crescido ainda mais com o aumento do trabalho remoto desde o início da pandemia.

Além de pastas armazenadas no diretório sem a implantação de privilégios de acesso, outro problema revelado são as senhas que nunca expiram, a migração para ambientes em nuvem e o ingresso inseguro aos servidores corporativos por meio de VPNs, redes privadas virtuais construídas sobre uma rede pública de comunicação. A análise revela que 59% das instituições financeiras têm mais de 500 senhas que não são substituídas.

A maneira mais utilizada pelos hackers para acessar um servidor sem ser detectado é por meio de contas fantasmas, aquelas que estão inativas, porém, não foram desabilitadas. O estudo descobriu mais de 10 mil dos chamados ghost users em cerca de 40% das instituições financeiras.

Tais hábitos tornam os funcionários do setor alvos fáceis deste e outros tipos de ataques, como malware e ransomware. As equipes de TI trabalharam mais este ano para tentar bloquear acessos à distância e mitigar riscos de invasão. No entanto, as instituições financeiras continuam com cerca de 20 mil pastas expostas, sendo que 2% desses arquivos contêm informações de identificação pessoal (PII).

Sem uma solução de automação de segurança, o departamento de TI dessas instituições, seja ela de qualquer tamanho, levaria até 15 anos para corrigir as entradas manualmente, considerando que nenhuma pasta nova seja adicionada e que não haja paradas.

Veja isso
À venda na dark web RCE de banco latino com 99 milhões de clientes
GhostDNS coloca outra vez na mira os clientes de bancos brasileiros

O combo que une contas de usuário obsoletas, acessos privilegiados com senhas que nunca expiram e pastas sem restrição dá aos hackers uma janela que sempre está aberta, através da qual eles podem roubar dados ou causar interrupções sem serem impedidos.

De acordo com Carlos Rodrigues, vice-presidente da Varonis, muitas empresas, principalmente as menores, consideram não serem relevantes para os criminosos cibernéticos. “Mas essas são as que mais se descuidam e ficam na mira dos ataques, principalmente por raramente utilizarem ferramentas e tecnologias adequadas para proteger os dados”, frisa o executivo.

Custos da invasão

Se apenas um usuário clicar em um e-mail de phishing e produzir uma reação em cadeia, o tempo médio de resolução seria de oito meses, prazo mais que suficiente para prejudicar gravemente a reputação, a receita e a confiança do cliente. E, quanto mais tempo a resposta a incidentes leva, maior é o prejuízo financeiro decorrente da invasão. O custo médio de uma violação de dados está entre as mais altas de qualquer setor, em US$ 5,85 milhões.

Além dos prejuízos econômicos e de imagem, isso as colocaria em não-conformidade com regulamentos, como a GDPR (Regulamentação Europeia de Proteção de Dados), a LGPD (Lei Geral de Proteção de Dados) do Brasil, a Sarbannes-Oxley (SOX) e, ainda, Leis de Privacidade do Consumidor, como é o caso de algumas cidades americanas. As multas por descumprimento dessas regras são milionárias e podem alcançar 20 milhões de euros para a GDPR e R$ 50 milhões para a LGPD

Em média, 70% de todos os dados confidenciais estão obsoletos. Se esses elementos forem mantidos além de um período de retenção predeterminado, expõem as instituições a riscos desnecessários, além de serem candidatas às sanções previstas pela legislação.

“A indústria financeira melhorou bastante em relação à maturidade de segurança. Contudo, como continuam sendo prioridade no plano de ação dos hackers, os investimentos não são suficientes para mitigar e prevenir esses ataques. É urgente e importante que elas olhem para a automação como aliada nesse processo de conformidade com as novas leis de proteção de dados pessoais”, conclui Rodrigues.