Em 20 de julho de 2016, cibercriminosos tentaram roubar US$ 150 milhões das contas de um banco no sul da Ásia. Minutos depois, aconteceu o mesmo com um banco na África Ocidental. Os invasores usaram os próprios sistemas dos bancos para enviar instruções de pagamento para transferir US$ 150 milhões para as contas escolhidas por eles. Os bancos destinatários dos valores detectaram os dois conjuntos de mensagens fraudulentas e dispararam o alarme, garantindo que nenhum dinheiro fosse perdido.

O episódio sinalizou uma mudança nos ataques que os sistemas financeiros enfrentam atualmente: os invasores não só conseguem realizar invasões complexas e manipular sistemas de pagamento dentro de um único banco alvo, mas também podem atacar instituições em diferentes continentes simultaneamente, operando com segurança do outro lado do mundo. A ameaça de ataques coordenados contra múltiplas partes do sistema financeiro passou a não ser mais só uma possibilidade. Os agentes criminosos demonstraram que podem fazê-lo e o potencial de impactos sistêmicos ficou claro.

Após 2016, não foram registrados maiores casos que visaram interromper ou manipular as bases do sistema financeiro e não houve evidência direta de aumento do risco. No entanto, muitos exemplos de ataques contínuos e outros tipos de ataques aumentaram a preocupação geral.

Três tendências de longo prazo

1. Os invasores estão desenvolvendo cada vez mais recursos avançados para atingir os sistemas bancários centrais, especialmente em torno de mensagens de pagamento e autorização de transações. Os invasores usarão essas ferramentas enquanto permanecerem efetivas. À medida que a segurança for reforçada em torno de certas tecnologias como a SWIFT (Society for Worldwide Interbank Financial Telecommunication), uma rede internacional de comunicação sobre transações financeiras, eles procurarão e desenvolverão outras rotas para ataques.

2. Os hackers estão se tornando mais agressivos para reduzir a capacidade de resposta das vítimas. Em 2011 e 2012, invasores realizaram ataques distribuídos de negação de serviço (DDoS) contra bancos dos EUA para interromper os serviços bancários. Embora esses ataques fossem básicos e causassem danos mínimos em longo prazo, o impacto causado no sistema financeiro foi visível.

Anos mais tarde, uma investigação em um caso do Banco de Bangladesh revelou a tentativa dos criminosos de ocultar sutilmente as evidências, o equivalente a excluir imagens de câmeras de segurança no mundo real. Em 2018, invasores usaram malware de limpeza nos sistemas de tecnologia da informação de um banco, visando realizar o equivalente cibernético de incendiar o banco como parte da fuga.

Infelizmente, essas táticas parecem funcionar e, assim, os invasores provavelmente as usarão novamente. Onde um malware destrutivo que se autopropaga é usado, o risco de se espalhar de um banco vítima para outro banco é muito real.

3. Os criminosos continuam encontrando maneiras de colaborar entre si, aumentando a periculosidade das gangues criminosas organizadas em várias regiões geográficas.

A melhor defesa contra isso também é a colaboração. Operações isoladas de segurança cibernética e de prevenção de crimes financeiros tornam difícil para os bancos resolver esses problemas. As autoridades reguladoras e policiais enfrentam desafios semelhantes, agravados pela dificuldade de perseguir os criminosos através das fronteiras dos países.

A colaboração também acontece nos mercados negros on-line, que oferecem ferramentas e também serviços para facilitar o saque e a lavagem de dinheiro.

Quando o agente malicioso é um governo

Além das tendências acima, é importante observar que os ataques cibernéticos a instituições financeiras estão cada vez mais sendo patrocinados por governos de países. Apesar de acontecerem com menor frequência, acabam resultando em danos destrutivos e disruptivos, pois nem sempre o objetivo é o roubo de valores. A maioria dos ataques vem de países como Irã, Rússia, China e Coréia do Norte, segundo o relatório “The Cyber Threat Landscape: Confronting Challenges to the Financial System”, publicado pela rede de centros de pesquisa em segurança Carnegie Endowment for International Peace.

Agora, os bancos precisam se defender não apenas contra criminosos cibernéticos e ataques com motivações políticas, geralmente de natureza temporária, mas também contra roubos em grande escala realizados por um Estado-nação. A evolução desse tipo de ameaça está forçando as autoridades reguladoras e a indústria em todo o mundo a aumentar o foco na mitigação dos riscos específicos da empresa e também se concentrar cada vez mais nos riscos do setor e dos sistemas compartilhados.

No caso do Bangladesh Bank citado acima, o ataque foi realizado em 2016 por hackers norte-coreanos comandados pelo Estado, que conseguiram roubar US$ 81 milhões ao violar os sistemas do banco e usar a rede SWIFT (Society for Worldwide Interbank Financial Telecommunication) para enviar ordens fraudulentas de transferência de dinheiro para a filial do Banco Central norte-americano em Nova York, onde o Bangladesh Bank tem uma conta.

Em outro caso, acontecido em janeiro de 2019, agentes maliciosos da Coréia do Norte, também patrocinados pelo Estado, infiltraram-se na rede de caixas eletrônicos do Banco do Chile e retiraram US$ 10 milhões. No ano anterior, os norte-coreanos hackearam os sistemas do banco indiano Cosmos Bank e retiraram quase US$ 13,5 milhões através de retiradas simultâneas em 28 países.

Os ataques patrocinados por governos de países são realizados tanto por operações diretas de integrantes do governo desses países, quanto por criminosos e hacktivistas contratados para os ataques.

O que fazer frente a esse cenário?

As ameaças cibernéticas ao sistema financeiro não mostram sinais de diminuição. Na verdade, casos recentes demonstram o contrário: mais grupos estão determinados a encontrar mais formas de roubar e explorar os bancos e seus clientes. Invasões direcionadas contra redes bancos eram raras há apenas alguns anos, mas agora elas acontecem semanalmente.

Embora esses ataques tenham impactado principalmente organizações de países em desenvolvimento na Ásia, África e América Latina, os invasores estão aumentando sua experiência e sua capacidade de ação. Os bancos com bons sistemas de segurança cibernética não podem ser complacentes e pensar que esse é um problema dos outros. Os casos registrados fornecem lições de defesa de rede para todos.

Como falamos no início deste artigo, em 2016 dois bancos foram comprometidos e roubados em dois continentes simultaneamente. Tais assaltos coordenados em partes separadas do mundo seriam muito mais difíceis no domínio físico, mas no ciberespaço é apenas uma questão de ter um computador, acesso à internet e as habilidades de um hacker de elite.

Como o acesso a ferramentas cresceu e as habilidades dos criminosos evoluíram, também aumentou a ameaça aos bancos, ao sistema financeiro e às economias que dependem deles. Além disso, a crescente interdependência dos sistemas, cruzando instituições e geografias, aumenta o risco sistêmico e a probabilidade de interrupção significativa causada por ataques intencionais ou não intencionais.

A partir de 26/05/2019, quando foi publicada a Resolução 4.658 do Banco Central do Brasil, as instituições autorizadas a atuar no setor financeiro em nosso país (Bancos, Administradoras de Consórcio, Cooperativas de Crédito, Sociedades de Crédito, Financiamento e Investimento, Corretoras e Distribuidoras de Títulos e Valores Mobiliários, Corretoras de Câmbio, Sociedades de Arrendamento Mercantil, etc.) devem adotar medidas para estar em conformidade com a norma.

Os principais pontos a serem observados são:

• Reduzir a vulnerabilidade a incidentes de segurança;
• Adotar controles específicos para rastreabilidade da informação e garantia da segurança das informações sensíveis;
• Ter a capacidade de prevenir, detectar e reduzir a vulnerabilidade a incidentes cibernéticos;
• Ter sistemas de criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades e estabelecimento de mecanismos de rastreabilidade;
• Realizar a manutenção da segregação dos dados e dos controles de acesso para proteção das informações dos clientes.

Tendo em vista os cenários que se apresentam e a necessidade de dispor de ferramentas que possam auxiliar você a garantir a segurança dos dados sensíveis de sua organização, busque o apoio de uma consultoria experiente, que ofereça uma solução integrada e especializada para o mercado financeiro e que atenda todas essas necessidades de forma rápida, fácil e acessível financeiramente.