segunda-feira, 10 de abril de 2017

Hackers conseguiram roubar toda a operação online de um banco brasileiro


Um grande banco brasileiro teve sua operação, literalmente, roubada, mostra a Kaspersky Lab. A operação aconteceu no dia 22 de outubro do ano passado e teve pouca repercussão (uma nota do portal G1 mostra que o banco afetado foi o Banrisul), mas só agora toda a extensão começa a ser descoberta, segundo publicação do conteúdo.startse.com.br, neste domingo. .

Hackers conseguiram “sequestrar” o site do banco, alterando a URL deles através do regulador de domínios nacional. Eles até conseguiram emitir um certificado de segurança em nome do banco, fazendo com que, para o usuário comum, ficasse tudo com cara de que foi a própria instituição tivesse feito.

No total, eles conseguiram controlar o site do banco por cinco horas de um sábado. E usaram esse tempo para conseguir dados cadastrais dos clientes, número de cartão de crédito e outras informações confidenciais, além de pedir para que os usuários baixassem um programa malicioso em nome da segurança.

Tudo isso pode acabar custando caro – principalmente quando os clientes reportarem perdas. “Entendo que o usuário poderá acionar o banco caso sofra algum dano em decorrência desta ação, pois o banco tem responsabilidade com relação à segurança das informações processadas e geridas”, explica Felipe Veiga, sócio do escritório Barreto Veiga e Associados.

Foi uma falha gravíssima para uma instituição de tanto renome. “Os bancos de varejo investem muito em segurança da informação. Mas, na minha opinião, ainda que um banco utilize os mais altos padrões técnicos de segurança, uma falha de cinco horas e tão abrangente não poderia ter levado tanto tempo para ter seus impactos diminuídos”, destaca.

Aí eu gostaria de ressaltar um ponto que eu acredito bastante: empresas tradicionais quando vem para o digital podem acabar cometendo erros. Não apenas de segurança. De mentalidade, mesmo. Por isso, trabalhar com startups é fundamental. Elas entendem esse novo mundo como ninguém.

Temos um e-book inteiro gratuito para tratar do tema de inovação corporativa e como companhias podem trabalhar com startups. Isso pode ser fundamental para baixar custos das companhias e aumentar sua “natividade” digital, como em questões de segurança.

Infelizmente, é possível que o banco tenha falhado com seu consumidor ao não prestar atenção a falhas potenciais. Só saberemos disso se a Kaspersky divulgar toda a investigação futuramente. “É possível que tenha havido uma negligência pontual do banco com relação a seus sistemas de segurança e os motivos para isso acontecer são inúmeros: falhas humanas, falhas de sistema, etc. Tudo ainda precisa ser apurado”, afirma.

Embora o banco referido tenha afirmado publicamente o que ocorreu na época, é importante que ele busque os clientes para minimizar os efeitos sobre quem foi afetado. “Em casos como este, é fundamental que o banco comunique seus clientes diretamente afetados pelo golpe para que estes, no mínimo, pudessem estar cientes do problema para tomar medidas de prevenção, como a simples mudança de senha, o que já diminuiria consideravelmente as chances de dano destas pessoas”, salienta o advogado.

Afinal, é natural que a atividade bancária seja uma das mais passíveis de ataques e, portanto, é uma das que precisa da maior quantidade de cuidados. “A atividade bancária de varejo é muito sensível do ponto de vista de segurança da informação, sobretudo pelo nível de detalhamento das informações detidas pelos bancos”, alerta.

Mas, pior que isso, muitos dados das pessoas são guardados pelos bancos. “Estas informações são detidas pelos bancos pois são necessárias à sua própria atividade. O cliente pede um financiamento? Sem problemas, pois o banco já tem todos os dados necessários (rendimentos do cliente, se está negativado, scoring no banco, informações pessoais, etc.) para aprová-lo ou não”, explica Veiga.

E isso é tão importante quanto a custódia do dinheiro, em vários casos – dados agregados podem fazer um estrago na vida do usuário, já que os hackers podem fazer, por exemplo, contas digitais em seu nome. “O banco é um HUB de informações sobre nós e possui responsabilidade sobre as informações processadas e geridas, sendo a segurança uma das características de sua relação contratual com os clientes. Hoje em dia nós não confiamos apenas dinheiro (moeda) ao banco. O banco tem o dever de guarda sobre estes dados, assim como possui sobre nosso dinheiro”, destaca.
Outros casos
A sorte que esse tipo de caso é raro. Os últimos casos tem sido, principalmente, de vazamento de informações. “Tivemos alguns casos de grande repercussão nos últimos anos e, nos últimos meses, aqui no Brasil, tivemos o caso de um ataque à XP Investimentos que também repercutiu bastante na imprensa”, conta.
Este ainda é o pior tipo de ataque que se tem notícia – mas talvez não permaneça nesta posição por muito tempoi, conforme os hackers continuem melhorando suas operações. “Mas não se compara com a audácia deste ataque, que chegou a ter desdobramentos nas configurações de perfil do banco e seus domínios junto ao NIC.br. Ou seja, até o sistema de um ente regulador foi envolvido na fraude para lhe conferir aparência legítima. Isso demonstra que as fraudes estão se sofisticando, o que deveria gerar um movimento de preocupação em todos aqueles que operam com informações de terceiro em ambientes eletrônicos”, explica.

Esse ataque ainda tem resultados desconhecidos, mas é uma lição clara para que o banco afetado mude sua operação e melhore sua presença digital, eliminando as falhas que foram usadas pelos hackers. “Ainda é cedo para se mensurar as consequências deste ataque, mas é a hora certa para o banco sofisticar sua segurança, sob pena de prejudicar sua própria imagem – este sim o maior prejuízo”, termina o advogado. 

auonline

Nenhum comentário:

Postar um comentário