A cada dia as ameaças cibernéticas aumentam não só em número, mas também em sofisticação e complexidade. O mundo dos ataques evoluiu e tornou-se ainda mais elaborado em tempos da web 2.0. Neste ambiente, a velocidade das novas aplicações e serviços online são colocadas em produção para atender oportunidades de negócios, superam o esforço de dimensionar uma estratégia de segurança adequada para estes novos serviços e criam condições vulneráveis a ataques.
De acordo com o relatório X-Force, produzido pela equipe de pesquisadores da área de segurança da IBM, que trabalha para detectar vulnerabilidades e ameaças de ataques iminentes em todo o mundo, mais de 50% das brechas de segurança estão relacionadas com aplicações de servidores da Internet. Ou seja, estamos todos, empresas e usuários finais, suscetíveis a enfrentar os mais variados problemas decorrentes dessas ofensivas online.
Além disso, segundo o mesmo estudo, existe uma tendência sobre como ataques estão orientados a explorar o elo mais fraco desta cadeia de comunicação: o usuário, mais especificamente por meio da exploração de vulnerabilidades presentes em browsers. Estima-se que o número de browsers mal atualizados chegou à marca de 637 milhões. Os hackers procuram explorar ao máximo o potencial de infecção. O usuário comum não está preocupado ou atento em saber se o browser está em dia, ele simplesmente usa o aplicativo e conclui a operação.
Esse contexto contribui para várias técnicas de infecção aliadas com mecanismos de engenharia social para alcançar ganhos financeiros. Os alvos preferidos são os jogadores online e as instituições financeiras. Aproximadamente 90% dos ataques de phishing são voltados contra bancos. E ainda, 46% de todo malware detectado e pesquisado, em 2008, foram cavalos de Tróia direcionados aos usuários de jogos online e de atividades bancárias via internet.
Todo esse cenário torna a segurança uma questão crítica a ponto de comprometer a estratégia de negócio dos bancos, tendo em vista que o usuário do “internet banking” acessa o sistema via um browser. Este sistema provavelmente não é atualizado com todas as correções de segurança, o que facilita a invasão sem que o usuário perceba.
Os bancos devem considerar que o browser disponível para os clientes não é uma aplicação confiável. O ideal seria termos um aplicativo comum para todas às instituições, dedicados a um determinado serviço, como internet banking, além de ser distribuído por uma única entidade e contemplando mecanismos para proteger os dados e a sessão do usuário. Neste caso, seria muito mais fácil para o cliente identificar alterações no visual do sistema entregue pelo banco.
Esse “browser financeiro” deveria ser um esforço das organizações do setor para criar um padrão de acesso seguro, com passos conhecidos e previsíveis para efetuar cada transação. No Brasil, temos o mecanismo de entrega online de imposto de renda como exemplo de ferramenta única e eficaz.
As instituições financeiras devem estar atentas a iniciativas preventivas aos ataques online, tendo soluções cada vez mais inteligentes, eficientes e atualizadas. Além de acesso a importantes dados, vulnerabilidades nos sistemas podem trazer grandes prejuízos às empresas e seus clientes. Não basta o site da instituição ser seguro, também é importante que o meio utilizado para efetuar a transação bancária seja eficaz e conte com as principais práticas de segurança da informação. Assim, bancos e clientes ficarão mais protegidos de fraudes e teremos uma pista livre para o crescimento seguro e controlado do que hoje já é considerado o modelo de internet banking mais moderno do mundo.
* Ricardo Marques é especialista de segurança da IBM ISS
