Proteção em primeiro lugar: saiba como realizamos testes de segurança em instituições financeiras

Imagem de capa do post Proteção em primeiro lugar: saiba como realizamos testes de segurança em instituições financeiras

Com o início da pandemia e o lockdown houve uma grande demanda no ambiente virtual, de forma que muitas empresas precisaram se adaptar, sobretudo os clientes de empréstimos bancários, onde principalmente os idosos foram os mais afetados pois tem pouco ou nenhum conhecimento do meio virtual. Em 2021 as fraudes no empréstimo consignado cresceram em 165% devido à urgência da adaptação à nova realidade. Os criminosos se aproveitaram dessa situação e começaram a se passar pelas instituições financeiras oferecendo empréstimos consignados com excelentes condições, conseguindo assim todos os dados das vítimas e realizando então os empréstimos em instituições verdadeiras, com os dados roubados.

De acordo com o site da NBC News, os Estados Unidos da América tiveram um roubo de até 400 bilhões de dólares do plano de auxílio-desemprego em meio a pandemia da covid (Paycheck Protection Program, ou PPP). O plano contava com um total de 900 bilhões de dólares para o auxílio. O funcionário encarregado do PPP disse a Lester Holt, da NBC News, que programas como este foram estruturados de maneira que eram "um convite" para os fraudadores.

Entre os fraudadores, temos os cibercriminosos, que geram outro grande problema mundial: o vazamento de dados, onde o alvo principal são clientes com pouco conhecimento tecnológico e instituições que lidam com grandes quantidades de informações de pessoas. Os vazamentos ocorrem principalmente por utilização de senhas fracas ou já vazadas anteriormente e também através de códigos maliciosos que exploram as vulnerabilidades dos sistemas, por meio de roubo de colaboradores mal-intencionados, furto de equipamentos e até mesmo do descarte de equipamentos antigos sem os devidos cuidados.

No Brasil além de ataques cibernéticos temos diversos golpes sendo aplicados em instituições financeiras e com os clientes que as buscam. Abaixo citamos alguns dos mais conhecidos:

Fraudes com contracheques falsos: É uma prática bem comum, pois uma simples ferramenta de edição já é possível a alteração do valor no documento. 

Falsos funcionários: Criminosos se passam pela instituição financeira oferecendo empréstimos com ótimos valores e condições muito abaixo do mercado, e caso a vítima goste já realizam o procedimento pela ligação, onde conseguem todos os dados.

Falsificação de documento: Bem comum ocorrer logo após golpes onde os criminosos se passaram por falsos funcionários, pois após conseguirem todos os dados, conseguem realizar empréstimos em instituições verdadeiras com eles.

Pagamento antecipado para liberação do valor: Nesse caso os golpistas informam que é necessário pagar um seguro para liberação.

Roubo de senhas de banco: A tentativa de roubo de senhas é bem comum, visto que os criminosos por perceberem as dificuldades das vítimas acabam “perguntando” se não querem que eles mesmos preencham os dados, assim oferecendo um falso auxílio para agilizar o processo.

Fraudes pelo WhatsApp: Este golpe consiste em se passar por uma instituição real oferecendo um empréstimo da mesma forma que o golpe em que se passam por funcionários. Para passar maior credibilidade, apresentam um site falso ou até mesmo o real junto ao contato do “consultor” que está aplicando o golpe.

Kit fraude: O Fantástico (programa de televisão)  disponibilizou uma matéria sobre como os criminosos estão conseguindo os dados das vítimas, onde não é mais preciso realizar ligações ou criar golpes elaborados para conseguirem. Eles apenas entram em um mercado clandestino onde conseguem comprar dados de clientes para realização de fraudes.

Testes de Segurança

Para conseguirmos proporcionar e manter a segurança dos clientes e da instituição, realizamos procedimentos para averiguar a conformidade e confiabilidade dos sistemas. Seguem abaixo alguns pontos validados pelos nossos testes e demais ações aplicadas:

  • Verificamos se são passados os documentos enviados pelo cliente por uma análise manual ou automatizada para assim, assegurar que não foram forjados ou alterados. Em caso de contracheques adulterados, podemos evitar esse risco com uma simples ligação ao empregador, o que parece uma solução óbvia, a menos que ele já tenha combinado com o empregado. Então uma consulta das suas contribuições com PIS/PASEP consegue ser mais seguro.  Existem API’s que realizam esse tipo de consulta, automatizando esse trabalho e gerando uma segurança maior para o negócio.

  • Verificamos se existem informativos para os clientes nos sites da instituição informando que não serão pedidas senhas de acessos pelos atendentes ao entrarem em contato, além de informativos dos golpes conhecidos para que os usuários fiquem atentos. 

  • Ajudamos a organizar treinamentos para conscientização dos colaboradores da instituição para que os clientes estejam cientes dos perigos. 

  • Para empréstimos online, solicitamos documentos com fotos e usamos ferramentas de verificação facial aplicando testes para que a mesma não permita foto de foto (posicionar uma foto na frente da câmera) ou de vídeo e que a plataforma exija uma movimentação aleatória para aumentar a segurança e dificultar o acesso dos fraudadores. 

  • Analisamos a funcionalidade dos mecanismos que salvam logs para futuras auditorias e juntamente confirmar como estão os meios de alertar os clientes caso as contas tenham sido acessadas por outras pessoas. 

  • Avaliamos os acessos para identificar se há meios de um usuário mal-intencionado acessar alguma tela administrativa ou pular determinada validação durante a etapa de contratação dos produtos. Juntamente à equipe de arquitetura, realizamos testes nos sistemas de backup para garantir que em casos de falha ocorra uma restauração imediata. O backup será fundamental no caso de um ataque de ransomware.

  • Em sites web verificamos se o código está ofuscado no lado cliente para impedir uma engenharia reversa testando a eficácia das ferramentas desse tipo, pois elas acabam dificultando e até mesmo impossibilitando ações de cibercriminosos. Junto das ferramentas de ofuscação também são verificadas as de anti-depuração e anti-tampering. É necessário dificultar ao máximo a leitura do seu código no lado do cliente e não permitir que ele possa ser alterado para manter a integridade do negócio e os clientes seguros.

  • Testamos os código externos como chatbots e serviços de analytics pois eles criam pontos cegos na segurança além de poderem facilitar no vazamento de dados.

Atualmente não é possível eliminar totalmente o risco de fraudes ou ataques a instituições financeiras. Por isso, em conjunto com o time de desenvolvimento, devemos contar com uma equipe de testes para garantir que todos os processos e funcionalidades estejam em conformidade. Com isso é possível mitigar as possibilidades de criminosos se aproveitarem de brechas nas aplicações.

Para finalizarmos, além de todos esses controles, é essencial possuir uma política de segurança cibernética na instituição, planos de ações e respostas a incidentes, gestão e controle de vulnerabilidades, além de implementação de processos e conscientização das equipes sobre esse importante tema.

Deseja obter confiabilidade nas suas aplicações? Entre em contato com a gente e descubra como podemos te ajudar.

Compartilhar:
0 Comentários

Deixe seu comentário

Fale AGORA com um de nossos consultores

Comentário adicionado com sucesso