Últimas notícias

Fique informado

Pesquisa da F5 revela os riscos do Open Banking

21 de julho de 2021

Spotlight

O que é o open banking e como ele funciona

Saiba o que vai mudar na vida dos brasileiros com

14 de julho de 2021

Incidente na Kaseya chama a atenção para atrativa maneira em propagar de ataques

O incidente na Kaseya resultou na indisponibilização de ativos de mais de mil empresas no início deste mês.

14 de julho de 2021

Marcelo Fernandes da FICO fala sobre a segunda fase do open banking

Em 15 de julho, os bancos passam a operar com sistemas abertos e clientes terão mais acesso aos serviços financeiros.

8 de julho de 2021

Novo serviço desenvolvido pelo ITI permite consultar certificados digitais emitidos pela ICP-Brasil

Os usuários de Certificados digitais da ICP – Brasil agora contam com mais um serviço, o Meu Certificado, com intuito de facilitar seu o uso

25 de junho de 2021


APIs, linguagem para troca de dados entre os integrantes do Open Banking, são um grande alvo das gangues digitais


 A F5 Networks, Inc. (NASDAQ: FFIV), empresa líder em soluções que garantem a segurança e a entrega de aplicações corporativas, anuncia os resultados da pesquisa Principais incidentes de segurança 2018 – 2020 , levantamento produzido em junho deste ano pelo F5 Labs a partir de incidentes mapeados entre os anos de 2018 e 2020.

Sediado em Seattle, EUA, o F5 Labs é uma divisão da F5 Networks que atua 24×7 para identificar ameaças que atingem empresas do mundo todo; o conhecimento construído pelos experts do F5 Labs é disponibilizado gratuitamente no portal f5labs.

Embora tenha coberto incidentes que atingiram todas as verticais da economia, o relatório ressalta que o setor financeiro continua sendo o principal alvo das gangues digitais.

O novo estudo mapeou os ataques contra bancos, seguradoras, fintechs, processadoras de pagamentos, corretoras de valores e fundos de investimentos de todo o mundo, apontando os riscos escondidos nos ecossistemas de Open Banking. 

A pesquisa da F5 confirma que o ponto crítico de ataque aos sistemas de Open Banking está ligado ao consumo de APIs (Application Programming Interfaces), linguagens que realizam a troca de dados entre as aplicações das diversas instituições que formam esse ecossistema.

Os experts analisaram incidentes ocorridos em sistemas de Open Banking que já estão operacionais na Europa (berço desse modelo, com destaque para o Reino Unido) e na Asia (com destaque à Austrália e a Singapura).

Ao longo dos três anos pesquisados (2018, 2019, 2020), aumentou exponencialmente o número de ataques contra APIs do mercado financeiro – somente em 2020 ocorreram 55% dessas violações. 

50% das APIs usadas no setor financeiro já foram alvo de ataques 

Em relação às APIs consumidas em outras verticais, o setor financeiro também se destaca. Apenas 4% de APIs em ecossistemas como varejo, governo, educação etc. são alvos de ataques. No setor financeiro, 50% das APIs já foram alvos de ataques. 

Para Ewerton Vieira, diretor de soluções de engenharia da F5 Latin America, o estudo da F5 revela uma surpresa: o alto número de ataques que exploram APIs que conectam aplicações de finanças utilizadas em dispositivos móveis.

“Aumenta a cada dia o uso do smartphone como ponto de acesso aos Apps de bancos, fintechs e corretoras – é natural que, a partir daí, as gangues digitais explorem as fragilidades das APIs que promovem as trocas de dados entre essas aplicações móveis”.

Isso é o que mostra a pesquisa realizada pelo time do F5 Labs. “Enquanto 56% da atividade criminosa focada em APIs de Apps móveis de finanças dedica-se a roubo de credenciais, outros 11% exploram as APIs para gerar ataques de negação de serviços DoS”. 33% dos ataques, finalmente, são focados em ecossistemas de finanças baseados na arquitetura open source Open Financial Exchange (OFX).

Heterogeneidade de empresas e de ataques 

Outra característica dos sistemas de Open Banking é a heterogeneidade, em termos de modelo de negócios e de maturidade digital, das empresas envolvidas nesse modelo.

O estudo da F5 mostra que as gangues digitais compreendem e exploram essa realidade.

56% dos ataques direcionados, por exemplo, às empresas processadoras de pagamentos, são DoS (Denial of Service). O objetivo desse tipo de ataque é derrubar os serviços dessa empresa, levando o consumidor que tenta pagar uma conta com um cartão de crédito a desistir de usar essa bandeira para completar a transação”.

No caso das fintechs, empresas que já nasceram digitalizadas e na nuvem, os ataques tomam outra feição.

“Enquanto a estrutura digital da processadora de pagamentos é tipicamente privada e com um número de endereços IP mais limitado, as fintechs são mais aderentes à nuvem e contam com uma miríade de endereços IP para serem atacados”, ensina Vieira. 

Essa configuração faz com que as fintechs sejam alvo de todos os tipos de ataques, revela o estudo da F5. 38% são tentativas de roubos de credenciais, 25% são ataques volumétricos DoS, 13% são ataques contra aplicações Web e, finalmente, 25% são outros tipos de violações. 

O desafio de proteger o ecossistema de Open Banking 

A segunda etapa de implementação do Open Banking brasileiro iniciou-se em julho, com a inclusão de serviços de transferência de valores via PIX entre as instituições já cadastradas nesse ecossistema.

A implementação completa do Open Banking no Brasil só deve ser concluída no dia 30 de setembro de 2022.

“É fundamental que as empresas se organizem para buscar de forma contínua a conformidade às regulamentações do Banco Central. Isso inclui fazer levantamentos constantes do nível de segurança de cada negócio”, recomenda Vieira. 

Em sua visão, uma forma de reforçar a segurança de um ecossistema tão heterogêneo quanto o Open Banking brasileiro é utilizar plataformas de WAF (Web Application Firewall) que empregam inteligência artificial e machine learning para proteger aplicações e APIs contra invasões.

“É estratégico somar, ao WAF, o uso de soluções nativas da nuvem como a plataforma NGINX, uma espécie de “micro WAF” que atua de forma defensiva em todas as instâncias onde dados financeiros são processados”

Sobre a F5

A F5 (NASDAQ: FFIV) oferece às empresas mais importantes do mundo, provedores de serviços, governos e marcas voltadas para o consumo a liberdade de fornecerem todas as aplicações de maneira segura, em qualquer lugar, e com a confiança de que precisam.

A F5 cria uma camada de serviços para as aplicações que inclui criptografia e segurança e permiteque as organizações adotem a infraestrutura de sua escolha sem sacrificar a velocidade e o controle.

Pesquisa mostra que as arquiteturas nativas em Nuvem estão quebrando as abordagens tradicionais de segurança de aplicações

Pesquisa Digio aponta que 81% dos clientes já utilizam cartão virtual em compras online

Pesquisa da Arcserve aponta falhas na segurança das empresas