Um breve guia para segurança fintech

O que os desenvolvedores e operadores de plataforma de negociação precisam ter em mente?

Em 2019, o mercado global de ações cresceu US$ 17 trilhões e, apesar dos mercados mundiais terem sido lesados – para dizer o mínimo – pela pandemia, o interesse em investimentos não desapareceu. Desde o início de 2020, o número de usuários de aplicativos comerciais só aumentou.

Por outro lado, os ativos e dados pessoais dos e-traders são presas atraentes para os cibercriminosos e, em caso de incidente, são os operadores da plataforma de negociação que têm de lidar com as
consequências. Neste post, comentamos sobre as principais ameaças que as empresas enfrentam e como derrotá-las.

Vulnerabilidades de aplicativos

Como qualquer software, as plataformas de negociação têm vulnerabilidades. Em 2018, o especialista em cibersegurança Alejandro Hernandez encontrou falhas em 79 desses aplicativos, incluindo o não uso de criptografia para armazenar ou transmitir dados (qualquer pessoa pode ver ou alterá-los) e não desconectar os usuários após um período de inatividade. As falhas no nível do projeto incluem a permissão de senhas fracas.

Um ano depois, analistas da ImmuniWeb realizaram pesquisas semelhantes e chegaram a uma conclusão igualmente negativa: dos 100 desenvolvimentos de fintech que testaram, todos eram
vulneráveis até certo ponto. Problemas foram encontrados em aplicativos da Web e móveis, com muitos bugs herdados de desenvolvimentos de terceiros e ferramentas usadas pelos
programadores. Para algumas das vulnerabilidades, os patches já existiam há muito tempo, mas não haviam sido aplicados. Um desses patches foi lançado em 2012, mas os autores do aplicativo fintech
nunca tiveram tempo de instalá-lo.

Um ano depois, tão certo quanto a noite segue o dia, se um produto tiver problemas de segurança, eles se tornarão conhecidos, potencialmente prejudicando a reputação das empresas e assustando
os clientes. E se, como resultado de um bug em um aplicativo, os usuários sofrerem um vazamento de dados ou perda financeira, o desenvolvedor poderá enfrentar uma grande multa ou ser forçado a
pagar uma indenização.

Às vezes, o criador de uma plataforma é a única vítima. Por exemplo, os autores do aplicativo de negociação Robinhood não conseguiram detectar um bug que permitia aos usuários premium emprestar fundos ilimitados da plataforma para negociar títulos – e um usuário emprestou U$ 1 milhão contra um depósito de apenas U$ 4 mil. Os comerciantes o apelidaram de “código de trapaça do dinheiro infinito”.

Para evitar perdas associadas a bugs e vulnerabilidades, os codificadores da plataforma de negociação precisam considerar a segurança no estágio de desenvolvimento, pensando com antecedência sobre coisas como logout automático do usuário, criptografia e proibição de senhas fracas. Eles também devem revisar regularmente o código em busca de erros e corrigi-los imediatamente.

Ataques à cadeia de suprimentos

Para economizar tempo e dinheiro, a maioria das empresas não apenas escreve seu próprio código, mas também emprega melhorias, frameworks e serviços de terceiros. Se a infraestrutura de um
provedor for comprometida, as empresas que a utilizam também podem sofrer.

Foi o que aconteceu, por exemplo, com a corretora de moedas Pepperstone. Em agosto de 2020, cibercriminosos infectaram os computadores de uma empresa contratada, obtendo acesso a sua
conta no sistema CRM da Pepperstone. Embora a invasão tenha sido rapidamente neutralizada, os invasores ainda conseguiram roubar alguns dados dos clientes. A corretora diz que seus sistemas
financeiro e comercial não foram afetados. Ao mesmo tempo, lembre-se de que o vazamento de dados pode ser muito caro para as empresas, mesmo que a culpa seja de códigos de terceiros.

Para evitar possíveis problemas, sempre escolha parceiros confiáveis e preocupados com a segurança e nunca confie apenas em seus mecanismos de proteção. Qualquer empresa na área de finanças deve adotar uma política de segurança rigorosa.

Spear-phishing

Em julho do ano passado, pesquisadores de cibersegurança conectaram uma série de ataques a instituições fintech na UE, Reino Unido, Canadá e Austrália ao grupo Evilnum. Os
cibercriminosos enviaram e-mails aos funcionários da empresa com um link para um arquivo ZIP hospedado em um legítimo serviço de nuvem. As mensagens foram disfarçadas como correspondência comercial e o conteúdo do arquivo como documentos ou imagens.

Embora o documento ou imagem prometido aparecesse na tela, abri-lo ativou a cadeia de infecção. Às vezes, os invasores invadem contas de e-mail corporativas, o que torna o phishing ainda mais convincente. Em agosto deste ano, um ataque desses atingiu a empresa comercial Virtu. De acordo com representantes da empresa, os cibercriminosos entraram na caixa de correio de um alto gerente e passaram as duas semanas seguintes enviando e-mails ao departamento de contabilidade
com instruções para transferir grandes somas de dinheiro para a China. A confiança cega custou à empresa cerca de US$ 11 milhões.

Para repelir esses ataques, a equipe de segurança cibernética precisa de treinamento adequado.

Compile uma lista de alertas de phishing em e-mails e use-a para planejar um curso de ação no caso de um colega, parceiro ou cliente pedir (ou parecer estar pedindo) para enviar alguns milhões – ou
mesmo um pouco menos do que isso – para desconhecidos.

Problemas do cliente

Às vezes, os usuários perdem dinheiro não por culpa da sua empresa ou aplicativo – mas sim, baixando malware, inserindo senhas em sites de phishing ou agindo de forma irresponsável. Aqui também, infelizmente, eles podem fazer reivindicações contra a plataforma de negociação. Em alguns países, as empresas são legalmente obrigadas a pelo menos descobrir o que aconteceu, portanto, vale a pena, de vez em quando, alertar os usuários sobre os perigos potenciais e encorajá-los a se protegerem (e, por extensão, a você).

Também é uma boa ideia lembrar periodicamente os clientes de que qualquer software de terceiros, especialmente se pirateado ou obtido de fontes duvidosas, pode representar uma ameaça. Por exemplo, ele pode roubar senhas, incluindo as de contas de negociação.

Como proteger seu dinheiro e reputação

Administrar dinheiro envolve grande responsabilidade e negligenciar a segurança pode custar muito às empresas de fintech. Portanto:

  • Monitore a segurança de seus aplicativos e programas. Faça uma varredura em busca de vulnerabilidades e mostre tolerância zero para bugs e erros.
  • Instale uma solução de segurança confiável nos dispositivos de trabalho, de preferência uma que seja baseada na nuvem e gerenciada por meio de um único painel de controle.
  • Treine os funcionários [KASAP placeholder] nos fundamentos de cibersegurança [/KASAP
    placeholder], para que eles não cometam erros que custem a você, e aos seus clientes, dinheiro e estresse.
  • Use a política de segurança mais estrita possível para funcionários e fornecedores terceirizados.
  • Lembre aos clientes que a segurança de seu dinheiro depende muito deles. Recomende que instalem uma solução de segurança nos dispositivos que usam para negociar e que mantenham esses dispositivos livre de lixo eletrônico.
  • Implemente mecanismos de segurança em seus desenvolvimentos desde o início. Isso significa começar com a proibição de senhas fracas, criptografia e logout automático de usuários inativos, no mínimo.
Dicas