O setor financeiro no Brasil sempre foi considerado em diversos artigos e reportagens como um dos mais seguros do mundo, mas é importante lembrar que ser um dos mais seguros do mundo, não significa ser 100% seguro.
Embora muitas instituições financeiras como bancos façam publicidade garantindo possuir ambiente 100% seguro, como já disse uma das instituições na qual fui cliente, a verdade é que todas estão sujeitas a falharem em algum aspecto que permeie a segurança de suas informações. Esse setor sempre foi alvo de inúmeras ameaças, mas o que se percebe agora é uma evolução nos métodos de ataque, logo no momento em que o mercado financeiro avança na oferta de produtos e serviços totalmente digitais, ainda mais com a entrada de novos players no mercado, aumentando a competitividade e a busca de novos clientes.
Para ilustrar esse cenário, vou citar dois recentes exemplos de como os criminosos estão audaciosos em suas investidas, que não tem outro objetivo a não ser a obtenção de ganhos financeiros.
– Roubo de dados e extorsão na XP Investimentos
Obviamente, não podemos deixar de citar o mais atual exemplo de como um ataque de hackers pode comprometer a solidez e a imagem de uma instituição que lida diretamente com dinheiro. Essa semana veio a público um grave incidente de segurança envolvendo dados cadastrais de quase 30 mil clientes da corretora XP Investimentos, que com certeza você já deve ter ouvido falar após iniciada uma enorme campanha de marketing nas rádios e canais de TV trazendo o ator Murilo Benício como garoto propaganda, o mesmo ator que fez papel de um “hacker” na novela da TV Globo chamada Geração Brasil, em 2014, mas isso só a título de curiosidade. Para se ter uma ideia do investimento, uma reportagem do portal especializado Meio & Mensagem cita investimentos na ordem de R$ 50 milhões para essa campanha.
De acordo com a reportagem da Folha de SP, o incidente está ocorrendo há algum tempo, entre 2013 e 2014, mas somente agora em Dezembro de 2016 os criminosos resolveram extorquir os responsáveis pela empresa, exigindo o pagamento de R$ 22,5 milhões para não divulgarem as informações coletadas durante as invasões. Os valores deveriam ser pagos em Bitcoins utilizando diferentes carteiras num prazo de 30 dias, mas como a empresa não cedeu, os criminosos começaram a entrar em contato com diversos clientes da corretora, provando que detinham ao menos os dados cadastrais. Porém na mesma época da invasão a reportagem cita a ocorrência de fraudes com 3 clientes que causaram prejuízos de R$ 500 mil.
A XP Investimentos em nota informa que somente dados básicos de parte de seus clientes foram afetados e que os valores investidos estão protegidos. No caso das 3 fraudes citadas, a corretora afirma que os clientes foram ressarcidos e que desde então iniciou um processo de investigação interna para apurar os fatos, além de reforçar a segurança de suas informações com investimentos em infraestrutura, processos e softwares de TI.
A Polícia Federal, o Ministério Público e o Banco Central estão envolvidos nas investigações desse grave incidente, que ocorre em um momento em que a corretora buscava abrir capital na Bolsa para atrair novos investidores.
– Sequestro de DNS do Banco Banrisul
Em Outubro de 2016, clientes que tentavam acessar a página do Banco Banrisul (Banco do Estado do Rio Grande do Sul) durante um final de semana eram redirecionados para uma página falsa, embora muito similar à original, com a diferença que esta solicitava a instalação de um arquivo que seria um programa para proteger o acesso dos correntistas, só que não. Tratava-se na verdade de um código malicioso com objetivo de coletar informações das vítimas.
(Fonte: @assolini)
De acordo com a reportagem do G1, os criminosos alteraram as informações de acesso no Registro.br, serviço responsável pela manutenção de domínios no Brasil. Dessa forma, todos os usuários que digitassem ou clicassem no endereço oficial do banco, eram redirecionados para a página falsa contendo o Cavalo de Troia.
O banco não informou sobre outras consequências deste ataque e quantos clientes foram afetados e o caso acabou não tendo muita repercussão, mesmo na imprensa especializada em tecnologia, mas isso não diminui a gravidade do incidente e mostra como os criminosos estão diversificando seus ataques.
Se instituições como essas que necessitam seguir uma série de procedimentos e normas, muitas delas de caráter obrigatório, que possuem um grande aporte para investimentos em tecnologia e segurança, acabam se tornando vítimas dos mais variados ataques, imaginem a fragilidade de outras organizações que não possuem os mesmos recursos. Por isso é importante não se deixar levar por soluções mágicas que vendam a ideia de proteção 100%, pois se tratando de segurança, nunca estaremos plenamente seguros. O que fazemos é reduzir riscos.
Fontes consultadas: Folha de SP / G1 / Twitter @ssolini
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec
