Estudo: cibercriminosos miram APIs utilizadas no open banking

As APIs (Application Programming Interfaces) utilizadas para a troca de dados entre as aplicações das instituições financeiras que integram o open banking são grandes alvos de cibercriminosos. Um estudo da F5 indica que os ataques contra APIs crescem de forma acelerada no mundo: somente no ano passado foram registradas 55% das violações mapeadas em 2018, 2019 e 2020. A pesquisa analisou violações ocorridas em sistemas de Open Banking em operação na Europa e Ásia.

Cerca de 50% das APIs usadas no setor financeiro já foram alvo de ataques, segundo o mapeamento. Assim, o setor financeiro desponta entre as violações. Somente 4% de APIs em ecossistemas como varejo, governo, educação e outros são alvos de ataques.

Leia mais: Duas em três PMEs brasileiras ainda são imaturas digitalmente

Segundo a F5, 56% da atividade criminosa focada em APIs de apps móveis de finanças é utilizada roubo de credenciais, enquanto 11% exploram as APIs para gerar ataques de negação de serviços DoS. Já 33% dos ataques são focados em ecossistemas de finanças baseados na arquitetura open source Open Financial Exchange (OFX).

Open banking 

Atualmente, o Brasil avança para a segunda fase de implementação do open banking, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema. Tendo em vista que a conclusão desse processo está prevista para o fim de setembro, é crucial que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. “Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Ewerton Vieira.

O alto índice de ataques contra APIs que conectam aplicações de finanças utilizadas em dispositivos móveis também serve como um ponto de alerta. “Aumenta a cada dia o uso do smartphone como ponto de acesso aos apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis”, avalia.

Para o especialista, uma forma de proteger o ecossistema de open banking é utilizar plataformas de WAF (Web Application Firewall) que empregam inteligência artificial e machine learning para proteger aplicações e APIs contra invasões.  “É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”.

Fintechs

Além disso, mais da metade dos ataques direcionados às empresas processadoras de pagamentos são DoS (Denial of Service). Essas violações buscam derrubar os serviços de uma empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação, explica o especialista.

Já as fintechs, por serem nativas digitais e na nuvem, são alvo de todos os tipos de ataques. Cerca de 38% deles correspondem a tentativas de roubos de credenciais, 25% a ataques volumétricos DoS, 13% a ataques contra aplicações web e, por fim, 25% são outros tipos de violações.

“Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, detalha Vieira.