Especialistas apontaram principais ciberameaças e soluções em segurança de pagamentos e dados pessoais durante debate em São Paulo
Somente 30% das empresas têm planos para incidentes de vazamento de dados e violações. Prevenção de ataques a pontos de venda, evolução do cibercrime e a tendência ApplePay foram discutidos por gestores de segurança em São Paulo, durante o Thales Hardware Security Module Fórum, evento realizado pela First Tech.
A segurança da informação vem sendo fortemente testada com o aumento dos ataques cibernéticos, gerando grandes prejuízos às organizações. De acordo com estudos sobre o setor apenas 30% das empresas têm planos para incidentes de vazamento de dados e violações. Com o consumidor não é diferente. O último levantamento da Serasa apontou que, a cada 14 segundos, um brasileiro é alvo de golpes, um recorde de 183 mil tentativas de fraudes somente no mês de março. Diante da necessidade de rever estratégias para conter o avanço das ciberameaças, a 7ª edição do Thales Hardware Security Module Fórum, que aconteceu, dia 13, em São Paulo, reuniu especialistas que alertaram sobre os novos riscos e apresentaram soluções para garantir a segurança de pagamentos e dados pessoais.
O primeiro grande incidente de violação de dados no varejo divulgado, causado pela instalação de um malware nos pontos de venda da Target, nos EUA, resultou em mais de US$ 250 milhões em multas, pelos danos a clientes, bandeiras e emissores de cartão. De acordo com José Diaz, vice-presidente da Thales e-Security e autor da apresentação “Tendências do mercado de pagamentos”, durante o evento, embora já exista tecnologia de defesa, esses problemas continuam a ocorrer.
No caso da Target, Diaz explicou que tudo começa com um malware nos computadores aos quais são conectados os leitores de cartão (POS). “O terminal de pagamentos não criptografava os dados, que eram passados de forma aberta ao computador. Se houvesse criptografia de ponta a ponta, desde o leitor de cartão até a transação chegar à processadora, resolveria”, resumiu.
Em relação a pagamentos móveis, Diaz distinguiu duas situações: em que o celular é usado para captura do pagamento (por exemplo, em táxis ou vendas a domicílio), ou como meio de pagamento. “Com a conexão wireless, é ainda mais importante a criptografia no ponto de captura”, enfatizou.
Quando o celular é utilizado como forma de pagamento ou como alternativa ao cartão de plástico, surgem outros riscos, que implicam abordagens mais inovadoras de segurança. “Antes, lidávamos com um grupo fechado de adquirentes – que captura a transação no POS, dos emissores – que colocam o chip no cartão, e das bandeiras – que certificam esse ambiente. Agora coloca-se o aplicativo de pagamentos em um dispositivo sem segurança”, comparou Diaz.
No ano passado, marcado pelo lançamento do ApplePay e outros serviços de pagamentos móveis, o mercado consolidou a abordagem de “tokenização” para mitigar riscos em pagamentos móveis. Na prática, o token é um código criado a partir de operações matemáticas com o número real do cartão e, devido à complexidade do algoritmo, só a bandeira consegue identificar a correlação. Diaz explica que “o token é associado ao dispositivo e só pode ser usado por determinado aparelho. Portanto, se um hacker intercepta o token, não consegue utilizar em outro contexto. Caso o portador perca o celular, é só comunicar, que se invalida o token, sem a necessidade de substituir o cartão”.
Alessandro Rabelo, diretor de produtos da Visa, observou durante o evento promovido pela First Tech que a técnica de tokenização e restrição de domínio, que amarra o pagamento a determinado contexto, não se limita aos serviços móveis. “Se o número do meu cartão for comprometido, mas tenho uma viagem marcada e não posso aguardar para receber outro plástico, o emissor pode restringir o uso a transações presenciais, com leitura do chip, de forma que o fraudador não consiga utilizar o número em compras online”, exemplificou.
Na palestra “Contribuições da Visa no mercado de pagamentos, ApplePay e SamsungPay”, Rabelo explicou como a bandeira trabalhou com os provedores de plataformas móveis, como Apple, Google e Samsung, e descreveu como os emissores podem se beneficiar da plataforma de tokenização para habilitar meios alternativos de pagamentos. O executivo ressaltou que a Visa já trabalha há mais de 10 anos nessa linha de desenvolvimento. “Em 2005, o Google abriu o emulador de NFC (pagamento por aproximação) no smartphone. Nos últimos dois anos vimos vários lançamentos, como o ApplePay e, mais recentemente, o SamsungPay”, lembrou.
Para os provedores de meios de pagamento, a tokenização viabiliza a oferta de “carteira digital”, em que, além de suportar múltiplos instrumentos, como cartão de débito, crédito e pré-pagos, em um só dispositivo, usa o conceito de “restrição de domínio” para implementação de políticas de controle de risco e segurança. “No Google Wallet o mesmo cartão de crédito pode ter dois tokens: um para NFC e outro para compras online”, explicou Rabelo.
Além de restringir os riscos de fraude, a plataforma Visa Token Services permite que os emissores definam regras para cada tipo de transação, como por exemplo, limites de valores para pagamentos com NFC.
Em 2014 a EMV, grupo de bandeiras que define as normas de segurança, padronizou a solução de tokenização. Algumas versões do iPhone e de smartphones da Samsung contam com um “elemento” seguro, uma implementação semelhante à do chip no cartão. No entanto, a tokenização é uma alternativa para mitigar riscos, mesmo que o meio de pagamento não tenha funcionalidades embarcadas de segurança.
A tokenização não se aplica apenas a m-Commerce ou e-Commerce. Um estabelecimento que tenha que armazenar dados de pagamento, como uma editora que salva o número de cartão para renovação automática de assinaturas de revista, não precisaria gravar informações de alto risco. “Se um fraudador invade a base de dados, basta bloquear os tokens. Os consumidores não são atingidos e o emissor não tem custo para substituir os cartões”, esclareceu Rabelo.
O executivo da Visa afirmou que o Brasil tem hoje uma das maiores bases de POSs habilitados para NFC. “Ainda há pouca emissão de cartões contactless. Temos muitos cartões com chip que levarão um tempo para serem substituídos e o custo do contactless é maior. Mas o celular com NFC embutido vai ajudar muito a disseminação”, avaliou.
Indústria do crime
Mesmo sem qualquer conhecimento técnico, os fraudadores contam hoje com verdadeiros market places de armas cibernéticas. “Há venda de páginas falsas para phisinhing, ‘serviços’ de DDoS (derrubada de sites) e um cibercriminoso brasileiro já fez um aplicativo de venda de números de cartão”, mencionou Edmar Siqueira, gerente de segurança da informação da First Tech.
Os ataques a usuários de internet banking e mobile banking continuam a se proliferar, como é o caso de aplicativos falsos dos grandes bancos do governo no Google Play. “As lojas também viraram alvo. Antes eram vítimas de ataques de skiming (o chupa-cabra, que no Brasil foi mitigado com os cartões com chip). Hoje os ladrões usam malware específico para atacar os POSs”, disse Siqueira.
Outro tipo de ataque que torna-se mais comum é o “ransonware”, em que o hacker bloqueia o acesso do usuário a seu próprio dispositivo e cobra um “resgate”. Siqueira acrescentou que a Internet das Coisas abre mais brechas. “No ano passado, acelerou-se a proliferação de botnets, em que um dos elos pode ser a geladeira conectada. Alguns pesquisadores descobriram que não é difícil tomar o controle de um carro automatizado. Isso ocorre porque quem desenvolve essas aplicações não conta com um guia de segurança”, justificou Siqueira.
Somente 30% das empresas da amostra têm planos para incidentes de vazamento de dados e violações. Desses 30%, apenas 57% revisam periodicamente esses planos. Atualmente a maior parte dos orçamentos (80%) de segurança é gasta em prevenção. Investe-se pouco (15%) em monitoração e menos ainda (5%) nas respostas.
O Thales Hardware Security Module Fórum é realizado pela First Tech, líder do mercado de soluções de segurança para transações financeiras (HSM) e referência em soluções para cibercrime e proteção de dados. A companhia é responsável por mais de 80% das transações de crédito e débito realizadas no Brasil, sob as bandeiras Mastercard, Visa, Elo e AMEX.