Por Silvia Rosa e Vinícius Pinheiro | De São Paulo
A Polícia Federal desarticulou no início deste mês uma quadrilha acusada de roubar pelo menos R$ 7,5 milhões de clientes do Banco do Brasil, Caixa Econômica Federal e Itaú Unibanco. O crime seria apenas mais um entre os vários que envolvem clientes bancários todos os dias no país não fosse uma das “armas” usada pelos bandidos: o telefone celular da própria vítima. Como esperado, o processo de migração das transações bancárias das agências para os canais digitais também atraiu a atenção dos criminosos. A empresa de softwares de segurança Symantec estima que as perdas de instituições financeiras com cibercrime somaram R$ 2 bilhões apenas no ano passado. Esse número representa um aumento em relação ao montante de R$ 1,8 bilhão estimado pela Federação Brasileira dos Bancos (Febraban) em 2015. O valor é pouco superior ao investimento dos bancos em segurança da informação, que foi da ordem de R$ 1,9 bilhão em 2015, segundo a associação. Para os bancos, o aumento das fraudes virtuais significa mais gastos operacionais. As instituições financeiras têm elevado os investimentos em segurança da informação para prevenir tais ataques aos seus servidores e oferecer um acesso seguro às plataformas digitais pelos clientes. Como os bancos não poupam esforços nem dinheiro para coibir as fraudes nas operações digitais, a estratégia dos criminosos costuma se concentrar no elo mais fraco dessa cadeia: o cliente. “Os correntistas dos bancos não têm cultura de investir em segurança no computador pessoal”, afirma André Carraretto, especialista em segurança da informação da Symantec. Os golpes mais comuns envolvem o que os especialistas chamam de “engenharia social”. Em outras palavras, os bandidos conseguem movimentar os recursos ao obter, de forma ilícita, os dados das vítimas, geralmente se fazendo passar pelo banco no qual a vítima tem conta. No caso da quadrilha pega na Operação Valentina da Polícia Federal, os criminosos enviavam mensagens de texto (SMS) pelo celular e emails falsos dos bancos pedindo uma atualização de cadastro. Os clientes eram, então, redirecionados para uma página falsa do banco em que os hackers se apropriavam das informações com a instalação de softwares maliciosos (malwares). Com a ajuda de um funcionário de uma operadora de telefonia, o telefone da vítima era bloqueado e habilitado para o chip do fraudador para que o cliente não descobrisse a fraude. A ação da polícia contou com a colaboração dos bancos. Impedir as movimentações suspeitas nas contas, mesmo que todas as credenciais fornecidas do outro lado estejam corretas, é um dos grandes desafios para quem cuida da segurança das informações financeiras. No Itaú Unibanco, são 700 pessoas voltadas apenas para a área de segurança e prevenção a fraudes. O investimento em segurança da informação no banco representa mais de 15% do orçamento de TI, segundo Ricardo Pereira de Lima, superintendente da área. Os bancos dizem que a tecnologia está ao lado deles, e não dos criminosos. “Conforme as soluções avançam, o número de fraudes cai”, afirma Rafael Giovanella, gerente executivo da unidade de Risco Operacional do Banco do Brasil. Sistemas de segurança adotados pelo banco nos últimos anos, como a biometria e um sistema de confirmação de transações via “QR Code”, ainda não tiveram registros de fraudes confirmadas, segundo Giovanella. Os recursos disponíveis no telefone celular já permitem aos bancos terem mais certeza sobre a identidade de um cliente na abertura de uma conta feita de forma digital do que em uma agência, utilizando, por exemplo, a sua geolocalização, afirma o executivo de uma grande instituição. O mesmo conjunto de dados é usado para acompanhar as transações realizadas por meio dos aplicativos. Caso uma movimentação atípica seja identificada, os bancos procuram confirmála antes com o cliente. O desafio, neste caso, é reduzir a taxa de “falsos positivos”, quando o banco liga para notificar sobre operação legítima, segundo Daniel Arraes, executivo da empresa de tecnologia de gestão de riscos Fico. Isso porque os fraudadores já encontraram uma maneira de burlar essa restrição: com a ajuda de um funcionário de uma operadora de telefonia, conseguem bloquear o telefone da vítima e habilitálo para o chip do fraudador para que o cliente nem o banco descobrissem a movimentação irregular. Nas próximas gerações de aplicativos, os bancos esperam reduzir a possibilidade de fraudes desse tipo. As novas soluções, baseadas na chamada “biometria comportamental”, buscam identificar o cliente por meio de padrões como a forma como cliente segura o aparelho ou digita na tela. A autorização das operações deixa de ser baseada em senhas e passa a incluir a geolocalização e reconhecimento facial e de voz. “São tecnologias que já existem e agora estão em teste nos laboratórios dos bancos”, afirma um executivo de uma grande instituição. O investimento em segurança passa também pelos bancos que criaram plataformas exclusivamente digitais. No Intermedium, que conta com 120 mil correntistas no aplicativo, o investimento em cibersegurança responde por cerca de 20% do orçamento anual da área de TI, que gira em torno de R$ 20 milhões a R$ 25 milhões. Entre as tecnologias de segurança adotadas pela instituição está a análise grafoscópica (de verificação da escrita), geolocalização, reconhecimento digital, além do envio de tokens por SMS para autenticação das transações, diz Alexandre Riccio de Oliveira, diretor executivo do Intermedium. O banco consegue, por exemplo, identificar transações suspeitas realizadas por robôs programados para fazer a transferência de recursos via internet banking para outros clientes. ” Em geral quando identificamos um movimento linear do mouse na tela bloqueamos a operação”, diz Oliveira. (Silvia Rosa e Vinícius Pinheiro | De São Paulo)
Instituições também estão sujeitas a ataques
Os correntistas são os mais vulneráveis à ação dos “cibercriminosos”, mas isso não significa que os bancos estejam imunes a fraudes, por mais vultosos que sejam os investimentos em segurança da informação. “Não há um dia em que não haja uma tentativa de ataque aos nossos sistemas”, afirma o executivo de um grande banco de varejo. A possibilidade de invasão é muito pequena, mas a equipe de pesquisa em segurança da Kaspersky Lab informou um ataque a uma instituição brasileira, em outubro de 2016. Durante um fim de semana, a rede digital da organização, cujo nome não foi revelado, ficou sob o controle dos invasores durante cinco horas. Os hackers criaram uma cópia do site do banco. Em seguida, dominaram todos mais de 30 endereço do banco na internet, explorando brecha do provedor de serviços DNS. Depois de assumir o controle, os criminosos redirecionaram as operações do banco para um conhecido provedor de nuvem. Os invasores controlaram as transações dos clientes que tentaram acessar os serviços bancários por meio digital e conseguiram roubar, entre outras coisas, informações de acesso online e em dispositivos móveis, listas de contatos do Outlook, assim como credenciais de email. “Estamos vendo cada vez mais ataques sistêmicos organizados”, afirma Cristiano Lincoln Mattos, presidente da Tempest Security Intelligence. Outro tipo de fraude que anda tirando o sono dos bancos é conhecida como “ataque de força bruta”, realizada por meio de robôs que buscam adivinhar senhas ou número do cartão por meio de tentativa e erro. “Há tanto os hackers especializados em calcular as combinações quanto aqueles que vendem os números dos cartões”, afirma Ricardo Pereira de Lima, superintendente da área de prevenção a fraudes do Itaú Unibanco. Para evitar esse tipo de crime, a credenciadora de cartões Cielo usa uma ferramenta que identifica procedimentos que se caracterizam como suspeitas de fraude e dão mais proteção ao lojista. “Se há um comportamento atípico com o recebimento de muitas ordens em um curto espaço de tempo, é exigido certificações adicionais para que o usuário comprove que é humano”, afirma Diego Feldberg, diretor de produtos digitais e inovação da Cielo. As empresas de bandeiras dos cartões também têm investido em prevenção a fraude, especialmente no comércio eletrônico. “A tendência é usar várias camadas de segurança e cruzar os dados para fazer a autenticação dos usuários”, diz Edson Ortega, diretor de serviços de risco da Visa no Brasil. (Silvia Rosa e Vinícius Pinheiro | De São Paulo)
‘Seguro ciber’ ainda é pouco procurado no Brasil
Casos recentes de ataques de sistemas por hackers têm chamado a atenção de companhias brasileiras para o “seguro ciber”. Novo no Brasil, a proteção, que restitui perdas de empresas no caso de uma invasão como essa, ainda é pouco utilizada. “O interesse das empresas tem crescido de maneira vertiginosa. Depois de casos recentes, é perceptível a maior procura. O setor financeiro é hoje o mais preocupado”, afirma Maurício Bandeira, gerente de produtos financeiros da corretora Aon. A modalidade chegou no país há cerca de três anos e é oferecida pelas seguradoras AIG, Zurich e XL, segundo ele. A disseminação, no entanto, ainda é muito baixa e a Superintendência de Seguros Privados (Susep) sequer tem uma categoria exclusiva para contabilizar dados desse tipo de serviço. A cobertura do seguro inclui, por exemplo, a responsabilidade por vazamento de dados pessoais ou corporativos, contaminação do sistema por vírus e violação que resulte em uma reclamação contra uma empresa terceirizada. Além disso, inclui custos de defesa no caso de um processo judicial, investigação do problema, notificação dos usuários que foram vítimas de um vazamento e custos para mitigar os danos à reputação da companhia. No mundo, os casos de vazamento de informações são cada vez mais comuns e estão entre as principais preocupações das companhias. No ano passado, por exemplo, o Yahoo informou o vazamento de dados de pelo menos 500 milhões de contas de usuários que foram roubados da rede da empresa por hackers no fim de 2014. Entre as informações vazadas estariam nomes, endereços de email, números de telefones, datas de nascimento, senhas criptografadas e, em alguns casos, perguntas e respostas de segurança encriptadas ou descriptografadas. Estudo feito pela Aon com quase 1.500 executivos de 60 países mostra que crimes virtuais estão entre as principais preocupações das empresas. Ainda de acordo com o levantamento, globalmente, 40% das companhias possuem seguro ciber, 15% não têm e planejam contratar e 45% não têm planos. Apenas nos Estados Unidos, sobe para 67% a fatia de empresas que possuem, enquanto outros 9% planejam contratar e 23% não têm intenção. “À medida que os crimes cibernéticos tornamse mais desenfreados, mais onerosos e mais demorados a resolver, as instituições financeiras enfrentam a maior possibilidade de exposição legal, danos à reputação e interrupção operacional”, explica a Aon. A principal diferença entre o Brasil e os demais mercados, em que a contratação do serviço é mais alta, é a legislação dos crimes cibernéticos. Nos Estados Unidos, por exemplo, uma companhia que sofre um ataque precisa anunciar publicamente o problema. No Brasil não existe essa obrigação, o que retarda o crescimento do mercado segurador uma vez que as instituições não precisam falar se foram ou não atacadas. “No Brasil, apesar da legislação tratar de maneiras diferentes o tema privacidade de dados, a maneira como o assunto deve ser tratado ainda não está tão claro. Existem alguns projetos de lei tramitando há algum tempo na Câmara dos Deputados, mas ainda sem aprovação. A legislação específica será um impulsionador grande no mercado de seguros”, explica Flavio Sá, gerente de linhas financeiras da AIG Brasil. (Daniela Meibak | De São Paulo)
Valor Econômico – 24/04