Setor bancário é dos mais protegidos mas também dos mais atacados

A indústria bancária é uma das mais protegidas, por manusearem grandes volumes de dados e informações críticos, pelo que investem bastante em proteção contra malware. Mas continuam a estar vulneráveis a ameaças. Moshe Sidon, da divisão europeia de serviços financeiros da Kaspersky Lab, falou com a B!T acerca dos perigos digitais enfrentados hoje pelos bancos, e até mesmo pelos próprios clientes finais.

B!T: Devido à natureza do seu negócio, os bancos são das organizações mais protegidas, mas são também das que estão mais em risco. Acha que estas ameaças estão a aumentar? Estas ameaças são mais frequentes, mais sofisticadas?

Moshe Sidon: Lidar com coisas valiosas (como são os dados), é sempre um risco. É preciso protegermo-nos. Esta indústria não é só atacada por concorrentes – o que também acontece noutros setores. Não é só atacada por razões comerciais. É pelo dinheiro. Dinheiro fácil. Qualquer um pode ir hoje à Internet e comprar um programa para tentar atacar o sistema informático de um banco. É o mais protegido mas também um dos mais ameaçados.

Quem é aqui o alvo? Serão os clientes, os utilizadores finais, ou o próprio banco?

Essa é outra questão. Uma conta bancária é atacada utilizando as credenciais de um utilizador final. Quem é que está a ser atacado? É o utilizador? É o banco? Não é claro. Basicamente, o que acontece é que o banco está a ser atacado através do cliente. Legalmente, os bancos são, com frequência, responsabilizados pela segurança dos seus clientes. Os tribunais tendem a decidir a favor do mais lesado.

Quais são os principais objectivos destes ataques? Extrair dinheiro ou roubar informação?

Acredito que sejam os dois. Mas, em última instância, o que se procura é fazer dinheiro. Seja através da venda de dados roubados, ou obter dinheiro diretamente, a finalidade é conseguir lucro. Estes ataques são muito organizados. Não são adolescentes nos seus quartos, nos seus computadores. São criminosos. E todas as fases de um ataque podem ser terceirizadas. Desde o desenvolvimento do programa até à recolha do dinheiro. Funciona quase como um mercado maduro, e o objetivo final é sempre fazer dinheiro, embora a forma de o fazer não passe obrigatoriamente pelo roubo direto de dinheiro.

Se eu fosse um hacker e quisesse roubar um banco, como é que deveria proceder? Qual seria a anatomia do ataque?

Depende muito do propósito do ataque. Teria de arranjar todas as ferramentas necessárias. Normalmente, os cibercriminosos vão atrás do utilizador final, o elo mais fraco. Nem sempre é preciso explorar falhas zero day. Vulnerabilidades conhecidas podem funcionar igualmente. É procurar um banco com defesas mais fracas, e um software que permita atingir o maior número de pessoas, e até vários outros bancos. Por exemplo, em França, um ataque criou sites de phinshing para todos os bancos em apenas um dia. Basicamente, adaptou o mecanismo a cada um deles. Foram criados webistes que imitavam os sites “verdadeiros” e todas as funcionalidades, roubando dados dos clientes para, mais tarde, utilizá-los. Phishing é uma boa estratégia. Não preciso roubar dinheiro diretamente. O mercado negro de dados pessoais está a crescer.

As ameaças ao setor bancário são cada vez mais numerosas?

Estão a crescer, porque mais e mais dinheiro flui por estes canais. Há dois anos já falava disso. Ladrões de bancos seguem o dinheiro, e o dinheiro agora está na Internet. É uma forma diferente de assaltar o banco. Antes fazia-se com armas. Hoje faz-se de uma maneira mais clean.

O que podem os bancos fazer para se protegerem?

Pessoas mais inteligentes que eu disseram que a boa segurança passa pela proteção em camadas. Nunca se está demasiado protegido. É preciso ter controlos de segurança disseminados e não concentrados. Se uma camada for superada, outra tentará impedir o ataque. E assim sucessivamente. Inteligência é um ponto crucial para a proteção. Mas os criminosos também fazem uso dela. Estudam funcionários através de LinkedIn ou Facebook, sabem os seus gostos. É preciso adotar sistemas que permitam detetar comportamentos suspeitos para evitar invasões informáticas. Adotar soluções de identificação através de assinatura, é uma boa opção.

Estão as empresas preparadas para enfrentar estas ameaças? Visto que o nível de sofisticação e frequência são cada vez maiores. São feitos investimentos suficientes?

Falando especificamente da área de fraude baseada em malware e phishing, a situação não é ainda gerida da melhor forma. Em vez de se lidar diretamente com o problema, tem-se se sobrecarregado o cliente final com autenticação dupla, e outras medidas do género. Existem algumas centenas de famílias de malwares conhecidos, e deveria começar-se pela adoção de soluções que nos possam dizer quando existe uma infeção. Mas os bancos ainda não lidam diretamente com as ameaças. Se o tivessem feito à partida, talvez não tivessem adquirido estas proporções, pelo menos para já. Os investimentos têm grandemente sido redirecionados para a deteção de anomalias transacionais. As soluções adotadas podem não ser as mais eficientes. Talvez as coisas venham a mudar.

Se pudesse reunir todo o setor bancário numa sala, que conselhos lhe daria, em termos de cibersegurança?

Arquitetura em camada; soluções que lidam com o “antes” do problema e não com as consequências; soluções que identifiquem malware. Não existe nenhuma “bala de prata”, não existe nenhuma solução mágica. É um processo. É preciso uma ferramenta que tenha uma base de dados em constante atualização, para que as defesas sejam adaptadas.