O sistema de transferências e pagamentos instantâneos, realizados a qualquer dia do ano, sem limite de horário e com o recurso imediatamente disponível ao destinatário, passa a vigorar em novembro. No entanto, essas alternativas vão exigir que as instituições financeiras façam investimentos e adaptações em segurança, a fim de proteger dados, processos e clientes.
O alerta é da Kryptus, fabricante do hardware security module e especializada em criptografia e segurança da informação, que acompanha o aumento expressivo de golpes cibernéticos globais desde que a quarentena intensificou as atividades online. Projetando uma conjuntura parecida com o início das operações do PIX, que igualmente vai transformar um grande volume de processos físicos tradicionais em virtuais, a companhia mapeou três ameaças com potencial para prejudicar a estratégia de proteção das transações do novo sistema de pagamentos:
Roubo das chaves privadas da instituição financeira: a ação permite que um invasor se passe pela instituição e autorize débitos, por exemplo. É necessário que o atacante explore alguma vulnerabilidade, tenha acesso ao sistema, escale privilégios e acesse as chaves privadas, dependendo de onde elas estejam armazenadas. Também pode acontecer que algum serviço mal configurado possibilite acessar as chaves de maneira simples.
Golpe do QR Code: a fraude consiste em invadir o ambiente e escalar privilégios, alterar o código de geração do QR Code e criar uma versão fraudulenta, desviando o dinheiro que seria remetido para uma loja, por exemplo, para o golpista;
Invasão do aparelho celular: pode ocorrer com o roubo do telefone ou de qualquer outro dispositivo do cliente. A iniciativa tem por objetivo usar as credenciais e efetuar transações em nome da vítima, acessando aplicativos de instituições financeiras para fazer operações.
“Analisando esses três pontos, basta um atacante obter acesso ao sistema em questão, por exemplo, subindo uma aplicação maliciosa que permite a escalação de privilégio para o nível de administrador. Assim, ele obtém controle de todo o sistema, podendo alterar o QR Code, no caso do lojista, invadir a conta bancária do usuário no aparelho celular, ou mesmo entrar no sistema de uma instituição financeira”, aponta Roberto Gallo, CEO da Kryptus.
Gallo ressalta que além de focar nas potenciais ameaças é fundamental que as instituições estejam em compliance com as normas e regras do mercado e do próprio Banco Central, além fazer uma escolha cuidadosa das tecnologias adequadas. Nesse contexto, ele avalia como a solução de melhor custo-benefício para as instituições financeiras em busca de adequação para o PIX são os módulos criptográficos (HSM) que possam atender múltiplas normas e legislações simultaneamente.(Com assessoria de imprensa)