APPS BANCÁRIOS SÃO OS PREFERIDOS PARA ATAQUES VIRTUAIS

O mês de janeiro computou 15,488 milhões de downloads de aplicativos bancários, segundo o Bank of America, com base em dados da Sensor Tower, sendo o Nubank (2,862 milhões), C6 Bank (1,544 milhão), Inter (1,512 milhão), PicPay (1,501 milhão) e Mercado Pago (1,266 milhão) os mais baixados. Nos bancos tradicionais, foram 7,375 milhões no mesmo período: da Caixa (1,290 milhão), Caixa Tem (1,528 milhão), Bradesco (1,291 milhão), Itaú Unibanco (1,155 milhão), Santander Brasil (1,112 milhão) e Banco do Brasil (999 mil).
“Por trás dos aplicativos usados para acessar os bancos existem muitas informações confidenciais e por isso a ação dos cibercriminosos pode ir além da invasão para roubo. Caso eles acessem dados pessoais, podem inclusive sequestrá-los e exigir pagamento por eles, além de uma série de outras complicações, em especial para empresas”, explica Ubiratan Menezes, executivo de Soluções para Cibersegurança da VIVA Security.
Ele explica que para que as tecnologias de diferentes instituições financeiras conversem entre si, ou seja, para que possam, por exemplo, mandar dinheiro de uma instituição para outra, são utilizadas APIs para essa comunicação, compartilhando informações pessoais dos usuários, entre outros dados. Chamadas de Open Banking, elas permitem a outros desenvolvedores (empresas em geral) a criação de aplicações e serviços para uma instituição financeira. E é aí que mora o perigo. Qualquer vulnerabilidade em uma dessas interfaces de programação pode levar ao vazamento de milhões de dados pessoais, gerando prejuízos imensuráveis.
Os invasores que visam às APIs de serviços financeiros são normalmente motivados por objetivos variados. Entre eles está, objetivamente, o controle de conta, ao direcionar as APIs de autenticação para locais de controle dos criminosos, permitindo que os invasores assumam as contas dos clientes e drenem fundos.
Além das maneiras mais tradicionais utilizadas como vetores de ataque iniciais pelos criminosos – phishing, engenharia social e outras táticas -, agora os atacantes encontram nas APIs portas de entrada para realizar os ataques, muito mais silenciosos e que ocorrem por dias, semanas ou meses sem serem detectados pelas soluções tradicionais.
Quando uma tentativa de ataque cibernético a uma empresa de capital aberto é bem-sucedida e vem a público, o preço das ações da companhia cai vertiginosamente, não importa se a tendência anterior era de alta ou de baixa, e a queda média chega a 7,5% do valor, juntamente com uma perda média de capitalização de mercado que chega a US$ 5,4 bilhões, segundo estudo publicado pela Harvard Business Review em maio deste ano.
Levantamento deste mês, reunindo dados recentes de vários estudos internacionais, feito pelo Security Design Lab (SDL) destaca que a maior queda nas ações ocorre não no primeiro ou segundo dia, mas geralmente no 59º dia após o ataque, segundo publicou em outubro de 2022 o Morningstar Sustainalytics e, um ano depois, sete entre cada 10 empresas nessa situação ainda têm dificuldades em se recuperar e alcançar os níveis dos seus respectivos setores de atuação.
Segundo o estudo do SDL, em média, o declínio máximo de empresas com baixo nível de conformidade chega a ser 62% maior em comparação ao grupo de empresas com altos índices de conformidade. Os dados mostram que as empresas que sofrem um incidente significativo de violação de dados apresentam desempenho inferior ao índice Nasdaq em 8,6% após um ano do incidente, sendo que essa diferença pode aumentar para 11,9% após dois anos. Em outubro de 2022, o ataque cibernético sofrido pela Medibank na Austrália resultou na suspensão da venda das ações por uma semana e, na retomada ao mercado, o preço despencou 15% e permanece bem abaixo do preço pré-ataque até hoje.
No Brasil, o Grupo Fleury foi alvo de dois ataques, em 2021 e em maio de 2023, reportando queda de 12% no lucro líquido no quarto trimestre de 2022. Horas após o incidente de 2021, os papéis apresentaram queda de 2,34%. No mesmo ano, as Lojas Renner também foram alvos de ataques cibernéticos e queda logo depois do anúncio de 1,5%.
De acordo com o último Relatório de Custo da Violação de Dados da IBM Security, em 2022, o custo médio global de uma violação atingiu US$ 4,35 milhões e continua aumentando. Essas despesas podem incluir desde pagamentos de resgate e perda de receitas até tempo de inatividade da empresa, honorários advocatícios, sem considerar os custos intangíveis, como reputação. A falta de segurança cibernética também pode resultar em rebaixamento da classificação de crédito, afetando a capacidade e o custo de uma empresa para garantir financiamento. Em 2018, a Moody’s anunciou que avaliaria as práticas de segurança cibernética das empresas ao atribuir classificações de crédito.

FONTE: 23/06/2023 – MONITORMERCANTIL

Tag(s):