As pessoas ao redor do mundo todo usam, cada vez mais, a internet para realizar diversas atividades diárias. Dentre uma das principais atividades estão os serviços bancários via aplicativos. Porém, ao mesmo tempo que a tecnologia proporciona a praticidade, alguns cuidados precisam ser tomados.
Aplicativos de bancos
Mais de 15 milhões de downloads de aplicativos bancários foram feitos apenas em janeiro deste ano, de acordo com o Bank of America, baseado em dados da Sensor Tower.
Dos bancos brasileiros, a relação ficou assim:
- Nubank: 2,862 milhões de downloads;
- C6 Bank: 1,544 milhão de downloads;
- Caixa Tem: 1,528 milhão de downloads;
- Inter: 1,512 milhão de downloads;
- PicPay: 1,501 milhão de downloads;
- Bradesco: 1,291 milhão de downloads;
- Caixa: 1,290 milhão de downloads;
- Mercado Pago: 1,266 milhão de downloads;
- Itaú Unibanco: 1,155 milhão de downloads;
- Santander Brasil: 1,112 milhão de downloads;
- Banco do Brasil: 999 mil de downloads.
Aplicativos de bancos são seguros?
Ubiratan Menezes, executivo de Soluções para Cibersegurança da VIVA Security, empresa especializada em desenvolver soluções para segurança, explica que por trás dos aplicativos usados para acessar os bancos existem muitas informações confidenciais e por isso a ação dos cibercriminosos pode ir além da invasão para roubo. “Caso eles acessem dados pessoais, podem inclusive sequestrá-los e exigir pagamento por eles, além de uma série de outras complicações, em especial para empresas”, comenta Menezes.
O especialista ainda explica que para que as tecnologias de diferentes instituições financeiras conversem entre si, ou seja, para que possam, por exemplo, mandar dinheiro de uma instituição para outra, são utilizadas as chamadas APIs para essa comunicação, compartilhando informações pessoais dos usuários, entre outros dados.
Estas APIs permitem que outros desenvolvedores criem aplicações e serviços para uma instituição financeira. E é justamente aí que mora o perigo: qualquer vulnerabilidade em uma dessas interfaces de programação pode levar ao vazamento de milhões de dados pessoais, gerando prejuízos imensuráveis.
Os invasores que visam estas APIs são normalmente motivados por objetivos variados. Entre eles está, objetivamente, o controle de conta, ao direcionar as APIs de autenticação para locais de controle dos criminosos, permitindo que os invasores assumam as contas dos clientes e drenem fundos.
E claro, há uma outra maneira já muito conhecida utilizada por criminosos: o phishing. A ideia é usar táticas que “ludibriam” os usuários para extrair informações de acesso ou obter acesso a dispositivos
Para resolver isso, soluções direcionadas à proteção de APIs se tornam fundamentais para as instituições financeiras. O SALT, por exemplo, tem como grande diferencial a capacidade de analisar o tráfego de APIs ao longo de dias, semanas e até meses, aplicando escala de nuvem e algoritmos maduros.
