No panorama mundial dos vazamentos de dados, o setor financeiro atrai uma preocupante predileção dos cibercriminosos. De acordo com relatório da empresa de segurança digital Flashpoint, instituições governamentais como alvo de vazamentos em 2022.
Mundialmente, 254 milhões de consumidores tiveram suas informações expostas dessa forma no ano, de acordo com o levantamento.
Nesse contexto, o Brasil concentra, atrás apenas de Estados Unidos e Argentina, a maioria dos ataques do gênero. Outra empresa de cibersegurança, Apura, estimou em levantamento um incremento de 141% na quantidade de ataques hackers ao setor financeiro em 2021 no Brasil em relação ao ano anterior.
Já o relatório Device Fraude Scan 2022, da plataforma Allow Me, baseou-se em ações de criminosos no país para chegar a algumas conclusões sobre o comportamento de fraudadores. No setor financeiro, as ameaças de vazamentos de dados deram-se principalmente nos nichos de programas de fidelidade, fintechs, sistemas de avaliação online e criptomoedas, com 63,7% dos ataques ocorrendo no momento do login em algum serviço virtual.
Grandes vazamentos financeiros no Brasil
Vazamentos de dados podem ocorrer tanto por ação criminosa sobre consumidores finais quanto sobre instituições financeiras e um dos maiores casos recentes dessa segunda categoria no âmbito nacional teve relação com o célebre sistema de pagamentos PIX.
Em janeiro de 2022, o Banco Central do Brasil anunciou publicamente um vazamento ocorrido no mês anterior, que expôs dados pessoais vinculados a chaves PIX sob a responsabilidade da empresa Acesso Soluçōes de Pagamento. Apesar de não expor dados sensíveis, o incidente revelou potencialmente 160.147 chaves PIX.
Em maio do mesmo ano, foi a vez de clientes de uma das maiores instituições bancárias privadas do país serem alvo de um ataque desse tipo, sendo potencialmente prejudicados num episódio grave.
A subsidiária Bradesco Financiamentos, do banco homônimo, informou que um incidente de segurança pode ter levado à visualização não autorizada de dados contratuais de aproximadamente 53 mil clientes.
As consequências de vazamentos de dados
Vazamentos de dados podem assumir diferentes formas e implicar consequências de variados níveis de gravidade. Esquematicamente, dados pessoais podem ser diferenciados de dados sensíveis, por exemplo.
Na primeira categoria, podem ser enquadradas informações como números de documentos (como RG ou CPF), nomes de instituições bancárias usadas por um cliente, números de agência e conta corrente e nome completo.
Já os dados sensíveis incluem informações como senhas, extratos, dados contratuais e itens sob sigilo bancário.
De posse tanto de dados pessoais quanto sensíveis, cibercriminosos são capazes de infligir fraudes de identidade e golpes – fazendo se passar pelo cliente para atingir outras pessoas com ciberataques ou para gerar credenciais falsas para serviços virtuais, por exemplo.
Entretanto, o acesso a dados sensíveis proporciona açōes adicionais de dano potencial consideravelmente maior, como movimentações financeiras vultosas não autorizadas ou contrataçōes fraudulentas de crédito.
Além disso, o acesso a dados sensíveis também abre margem à extorsão virtual. O sequestro de dados (ransomware) é uma variante em plena ascensão desse tipo de prática na atualidade e tem motivado investimentos bancários em cibersegurança, com especial destaque na elaboração de estratégias de segurança e ações de inteligência.
Inteligência como precaução
Do ponto de vista de consumidores finais, as precauçōes com a navegação, acessos virtuais e com a privacidade de senhas e informações pessoais têm importância central como ações possíveis de segurança virtual.
Por outro lado, instituiçōes e empresas do ramo financeiro ou outros segmentos têm na Cyber Threat Intelligence [inteligência contra ameaças cibernéticas] uma das maneiras mais eficazes de prevenir incidentes de vazamentos de dados e outros ataques virtuais críticos.
As práticas de Cyber Threat Intelligence consistem em coletar, processar e analisar dados para desvendar procedimentos e métodos de cibercriminosos. Reunir esse tipo de conhecimento permite tomar decisões informadas e reduzir as ameaças virtuais antes mesmo que elas tenham a possibilidade de causar prejuízo.
A coleta de dados pode ser feita em diferentes fontes e o processo todo geralmente involve o intercâmbio de dados entre especialistas em cibersegurança internos e externos à organização, bem como com outras instituiçōes.
Compreender meios de ação ofensivas e detectar vulnerabilidades e lacunas para vazamentos de dados permite desenvolver soluçōes automazidas práticas contra ameaças. Também é providencial para desenvolver estratégias de segurança abrangentes, que levem em conta tendências globais. Nesse contexto, prevenir não é apenas melhor do que remediar: é também mais barato e fundamental para manter a integridade de instituiçōes financeiras inteiras e milhōes de clientes.
Nenhum comentário:
Postar um comentário