Nova regulamentação “Open Banking” pode expor dados de clientes que utilizam serviços financeiros digitais


A Trend Micro, líder global em soluções de cibersegurança, lançou uma pesquisa que demonstra que as novas grandes regras bancárias da Europa podem aumentar bastante a superfície de ataque cibernético para escritórios de serviços financeiros e seus clientes.

A nova pesquisa detalha o impacto da Revised Payment Services Directive (PSD2) da União Europeia, que foi criada para dar aos usuários mais controle de seus dados financeiros e a opção de compartilhá-los com a nova geração de empresas do setor financeiro, conhecidas como fintechs. As mesmas ideias estão se propagando mundialmente sob o termo “Open Banking”.

“O setor financeiro sempre foi um grande alvo para cibercriminosos e a PSD2 e Open Banking vão oferecer aos hackers ainda mais oportunidades de roubar informações pessoais e financeiras sensíveis”, afirma Ed Cabrera, chefe de cibersegurança da Trend Micro. “Nossa preocupação é que a indústria pode não estar completamente preparada para lidar com essa superfície de ataque super expandida. É por isso que queríamos entender os riscos antes que eles ocorram, para que possamos ajudar tanto fintechs, quanto companhias tradicionais, a se proteger”.

O relatório destaca diversos cenários possíveis de ataque no âmbito do novo regime regulamentar:

Ataques em APIs: APIs públicos estão no coração de Open Banking, permitindo que terceiros autorizados acessem os dados bancários dos usuários para fornecer novos serviços financeiros. Falhas na implementação desses APIs permitirá que atacantes explorem servidores para roubar dados.

Ataques a fintechs: os usuários serão forçados em um novo relacionamento de confiança com fornecedores que podem ter menos recursos que seus bancos e nenhum histórico de protecção de dados. Em uma pesquisa rápida de FinTechs Open Banking, a Trend Micro descobriu que elas têm, em média, 20 funcionários e nenhum profissional focado em segurança. Isso as torna alvos ideais para atacantes e suscita preocupações quanto às lacunas de segurança em seus aplicativos mobile, APIs, técnicas de compartilhamento de dados e módulos de segurança que poderiam ser implementados incorretamente.

Ataques em apps ou plataformas mobile: a maioria dos serviços Open Banking serão utilizados na forma de aplicativos mobile, tornando-os o alvo principal para os atacantes. Encontrar o usuário, senha ou chaves de encriptação dentro do app permitiria que um criminoso recuperasse dados bancários e se passasse pelo usuário. Mesmo que os aplicativos não tenham permissão para fazer pagamentos, eles poderiam conter dados de transações, permitindo que o atacante construísse um perfil muito preciso de suas vítimas.

Ataques contra o usuário: como os apps Open Banking se tornarão o principal meio para os usuários acessarem serviços e dados financeiros, ataques phishing poderiam gerar grandes recompensas para os atacantes.

Para se preparar para a mudança de cenário, a Trend Micro detalha como as instituições financeiras podem melhorar a sua resiliência cibernética, o que inclui garantir que a informação sensível nunca é contidas em caminhos de URL, priorizando protocolos seguros e eliminando práticas arriscadas.

Enquanto isso, desenvolvedores e proprietários de apps Open Banking devem adotar uma abordagem “secure-by-design”, incluindo auditorias regulares de software. Para saber mais sobre os riscos cibernéticos associados às novas regras Open Banking, leia o relatório Ready or Not for PSD2: The Risks of Open Banking aqui.