O setor de serviços financeiros na Ásia é um dos setores mais fortemente regulamentados, e a conformidade é frequentemente apresentada como uma forma de garantia de segurança. No entanto, a conformidade é apenas um aspecto da segurança. Várias regulamentações abrangem uma ampla gama de questões, mas simplesmente implementar soluções ou dispositivos para lidar com a conformidade não é suficiente.
A crescente difusão de dispositivos móveis na Ásia-Pacífico e o consequente crescimento dos serviços bancários pela Internet resultaram em ameaças de segurança cibernética cada vez mais sofisticadas. No entanto, de acordo com o Estudo de Identidade Móvel da Telstra , 62% dos executivos de serviços financeiros observaram que não investiram o suficiente em identidade e segurança. Menos da metade dos consumidores também ficou satisfeita com o desempenho de segurança de sua instituição financeira, já que mais de um terço já sofreu roubo de identidade.
Com casos de roubo de identidade como a violação do JP Morgan e bancos sul-coreanos atingidos por grandes violações de cartão de crédito no ano passado, além de fraude de identidade resultando em US$ 16 bilhões roubados de vítimas em 2014, o roubo de identidade está rapidamente se tornando uma ameaça mais forte, mas ainda subestimada, para o setor de serviços financeiros.
Aumento da superfície de ataque e sofisticação
O roubo de identidade se tornou comum entre criminosos cibernéticos devido à crescente superfície de ataque e à sofisticação das ferramentas de ataque. Hoje em dia, os ataques cibernéticos acontecem por meio de uma gama maior de vetores. Por exemplo, como muitas organizações de serviços financeiros estão permitindo que os dispositivos pessoais dos funcionários acessem as redes corporativas, o Bring Your Own Device (BYOD) permite que os dispositivos móveis se tornem um canal para os criminosos cibernéticos esconderem, espalharem e roubarem informações, aproveitando as credenciais do funcionário de uma organização.
Outro vetor pode ser aplicativos web públicos inseguros que levam ao roubo rápido de identidades. Isso inclui vulnerabilidades de dia zero que ganharam as manchetes no ano passado, como Shellshock e Heartbleed . Tudo o que é necessário é que uma organização seja lenta em corrigir uma vulnerabilidade ou não tenha a tecnologia certa para proteger seus aplicativos web. Uma vez que os cibercriminosos ganham o controle, eles podem fazer o que quiserem – desde roubar dados até usar os servidores para lançar ataques de botnet.
Esse "playground" expandido significa que os criminosos cibernéticos têm mais opções quando se trata de como roubar credenciais de login e não precisam mais depender de software de keylogging ou violações de banco de dados, mas simplesmente usar injeções na web.
Por exemplo, quando um usuário faz login na sua conta bancária na Internet, ele pode inserir um campo adicional que parece legítimo na página da web com o seu PIN do caixa eletrônico (número de identificação pessoal do caixa eletrônico) para enganar usuários de serviços bancários pela Internet, tanto os mais experientes quanto os menos experientes em tecnologia. Enquanto isso acontece, um malware pode executar um ataque ‘man-in-the-browser’ em segundo plano, que é invisível para o aplicativo web host.
Além de aumentar os vetores de ataque, hoje em dia, malware e cavalos de Troia têm a capacidade de roubar credenciais de login por meio de aplicativos bancários móveis para acessar fundos em bancos e outras instituições de serviços financeiros. Os cibercriminosos podem simplesmente criar um aplicativo móvel semelhante a um aplicativo bancário e usar spear-phishing para roubar credenciais de login. Alguns malwares, como Dyre ou Dyreza, têm como alvo direto contas bancárias corporativas e já roubaram com sucesso mais de um milhão de dólares de empresas desavisadas.
Enfrente ameaças com defesa em camadas, proatividade e políticas móveis fortes
Com ameaças internas sendo responsáveis pela maioria das violações no primeiro semestre de 2015 , é mais pertinente do que nunca que as organizações acompanhem o ritmo dos atuais criminosos cibernéticos em rápida evolução. As empresas devem implementar as medidas necessárias para proteger seus aplicativos voltados para a Internet. Isso deve estar no topo da lista de prioridades deles, pois é um canal natural para criminosos cibernéticos, que estão sempre procurando oportunidades para se infiltrar em uma rede. É importante ressaltar que dispositivos de jailbreak também devem ser desencorajados, pois eles geralmente representam outro meio para os criminosos cibernéticos acessarem as redes.
Primeiro, uma estratégia de defesa aprofundada com o uso das tecnologias certas é um imperativo. Um equívoco comum entre muitos é que usar tecnologia como um firewall é suficiente para proteger as redes de uma organização, mas isso não é mais verdade hoje em dia. As organizações devem analisar outras tecnologias, como firewalls de aplicativos da web. Os ataques a aplicativos da Web geralmente são ajustados e criados para um aplicativo específico e não são detectados pelas medidas de segurança tradicionais.
Embora a correção – consertar as coisas após uma violação – desempenhe seu papel, vale ainda mais a pena ser proativo na proteção de suas redes. Um cenário de remediação é reativo por natureza e a equipe forense rastreia a causa da violação, fornece um relatório e remedia após o incidente. Por outro lado, proteger sua organização de forma proativa pode não capturar 100% de todos os ataques, mas conseguir reduzir esse número de 100% para uma porcentagem menor ainda deve ser considerado uma vitória.
Por fim, também é preciso lutar contra a complacência e abandonar a atitude de “isso não vai acontecer comigo”, onde vemos os vizinhos sendo atacados, mas esperamos continuar tendo sorte.
As organizações devem estabelecer políticas de segurança de dispositivos móveis que definam diretrizes, princípios e práticas sobre como os dispositivos móveis são tratados, independentemente de serem emitidos pela empresa ou de propriedade de indivíduos. Essas políticas devem abranger áreas como funções e responsabilidades, segurança de infraestrutura, segurança de dispositivos e avaliações de segurança.
Ao estabelecer políticas de segurança, as organizações podem criar uma estrutura para aplicar práticas, ferramentas e treinamento para ajudar a dar suporte à segurança de redes sem fio. Treinar funcionários sobre suas políticas de segurança móvel também pode ajudar as organizações a garantir que os dispositivos móveis sejam configurados, operados e usados de forma segura e apropriada.