Siga o Olhar Digital no Google Discover
Ataques cibernéticos recentes contra estruturas financeiras demonstram que os criminosos possuem conhecimento avançado sobre a operação, a organização e os processos do sistema nacional financeiro (SFN), incluindo aspectos específicos da arquitetura das instituições atacadas. O alerta foi feito pelo Banco Central (BC) no Relatório de Estabilidade Financeira (REF) referente ao primeiro semestre de 2025.
Entre janeiro e agosto deste ano, o BC registrou 53 casos de risco cibernético, ante 59 em todo o ano de 2024. Os incidentes geraram perdas financeiras em alguns casos, demonstraram fragilidades relacionadas a controles essenciais em instituições e seus provedores de serviços e mostraram que grupos criminosos cooptam colaboradores ou prestadores de serviço contratados pelas instituições financeiras.
O BC consultou 606 instituições para saber como tem sido feita a gestão do risco de terceiros. Desse total, 453 informaram dispor de procedimentos para relacionamento com terceiros; 317 reportaram que esse processo é avaliado pela segunda linha (compliance, por exemplo); e 319 informaram que o tema é abordado em auditoria interna. “O percentual demonstra que é necessário aprimorar esse processo”, diz o relatório.
Vulnerabilidades
O BC também observou um crescente número de incidentes em que colaboradores cooptados pelo crime facilitam a instalação de dispositivos físicos no ambiente computacional das instituições, viabilizando a conexão à rede corporativa para subtrair informações ou mesmo proporcionar acesso remoto a sistemas corporativos.
“Isso torna essencial investir em práticas de higiene cibernética (por exemplo, aplicação de correções de vulnerabilidades, controle de acesso, observância de padrões de configuração segura de ativos de TI etc.), para reduzir a superfície de ataque”, recomenda o relatório.
Além disso, a automação dos ataques foi um fator que ampliou a complexidade das atividades criminosas. Serviços providos via API estão cada vez mais disseminados no SFN e têm conferido agilidade aos produtos financeiros.
No entanto, essa facilidade também vem sendo explorada por criminosos para ações fraudulentas, com a abertura automatizada de contas usadas na pulverização de recursos, dificultando seu rastreio.
Serviços oferecidos por API são aqueles que utilizam uma interface de programação de aplicações, substituindo sites, por exemplo. Verificação de saldo, transferência ou extratos dependem da conexão entre o aplicativo e uma API para mostrar os dados em tempo real.
Leia mais:
- Google processa quadrilha de hackers chineses por golpes de phishing com SMS
- Como a IA pode te enganar na Black Friday (e como se proteger)
- Meta Business é usado para aplicar golpes no Facebook
Sem controle
Um conjunto razoável de participantes do sistema financeiro nacional não dispõe de mecanismos adequados para proteger serviços providos via API e para lidar com incidentes como os recentemente ocorridos, segundo o documento. Das 440 instituições que dispõem de soluções de TI para APIs, apenas 128 realizam avaliação periódica dos riscos associados a esse tipo de tecnologia.
O BC identificou deficiências principalmente na validação robusta de dados de APIs, no desempenho e comportamento de serviços providos por meio de APIs e nas ferramentas que poderiam detectar e inibir tentativas de uso indevido, manipulação e extração de dados. “Sem esses mecanismos, é praticamente inviável detectar as tentativas de pulverização de recursos e a realização de transferências fraudulentas associadas a ataques cibernéticos.”
Com base nos ataques recentes, o BC elaborou um conjunto de normas que buscam minimizar riscos e perdas financeiras no SFN. Entre elas, a revisão de critérios para autorizar instituições de pagamento (como carteiras digitais e maquininhas de cartão) e dispositivos que rejeitam transações em caso de suspeita de fraude.
Tags: