O anúncio do WhatsApp Pay gerou muita discussão e a segurança deste serviço foi um dos temas abordados.
Existe um dito entre profissionais de segurança no Brasil de que qualquer tecnologia só será madura no combate ou na prevenção à fraude se ela passar no teste do cibercrime brasileiro, que é extremamente especializado em golpes financeiros. Por isso, a notícia de uma nova forma de pagamento digital gerou reações alarmadas.
Neste contexto, gostaríamos de detalhar os pontos técnicos que geram mais preocupações em uma possível adoção desta tecnologia e indicar possíveis soluções.
1. Ataques descontrolados de roubo de conta (account takeover): em 2019 a Kaspersky já havia alertado sobre os golpes de SIM SWAP e roubo do WhatsApp via engenharia social – além de reportar diversas mensagens de phishing na plataforma. Inclusive, os especialistas identificaram recentemente golpes de account takeover utilizando contas do Instagram para obter o código de ativação do WhatsApp.
2. Potencial de extorsão com ataques de força brura: os pesquisados de malware da Kaspersky já identificaram um ataque na Argentina em que o criminoso chantageia a vítima para que ela o adicione em grupos em que ela é administradora. Caso ela não aceite, o criminoso força diversas instalações do WhatsApp em outros dispositivos (ataque de força bruta) para impedir o acesso da vítima à conta.
3. Incertezas sobre o impacto da instalação do app em multidispositivos: esse recurso pode facilitar o roubo de contas ou dificultar, dependendo da forma como for implementado. Se houver brechas, seguramente isso pode ser usado por criminosos para sequestrar contas no serviço.
Além das incertezas com relação à tecnologia, o país ainda está combatendo uma pandemia que mudou os hábitos do consumidor. De acordo com o relatório da Kaspersky.
“Como o Covid-19 mudou a forma das pessoas trabalharem“, 46% dos brasileiros aumentaram a frequência com que compram online e 47% passaram a realizar mais pagamentos online utilizando cartões de crédito ou débito.
Para que um serviço de carteira digital tenho sucesso no combate à fraude e possa ser adotado com segurança, os especialistas da Kaspersky recomendam:
•Desenvolvimento seguro desde o início: o termo “experiência do usuário” virou moda e esta é a principal diretriz na criação de um novo produto ou serviço, só que ela deixa a segurança para depois. Do mesmo jeito que não é possível incluir um sistema de airbag em um carro pronto, a segurança não pode ser pensada nos estágios finais, pois ela deixa de ser eficaz.
•Benchmarkiting com casos de sucesso: alguns players utilizam dupla autenticação sem ser via SMS e isto já reduz as fraudes, especialmente ataques de engenharia social e SIM swap. Os serviços de mobile banking que já oferecem a dupla autenticação no próprio app é um ótimo exemplo.
• Uso de métodos mais confiáveis de autenticação: isto inclui o abandono do número do celular e da autenticação via SMS como credenciais.
Pagamento via WhatsApp é suspenso pelo Banco Central
CIAB Live 2020: Inclusão financeira marcará retomada da economia
Pesquisa FEBRABAN aponta crescimento de 48% nos investimento do setor em tecnologia
Apresente suas soluções e serviços no Crypto ID!
Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!