Blog Axur | Digital Risk Protection

Tudo que você precisa saber sobre cibersegurança para Fintechs

Escrito por Hugo Moura | Jul 15, 2021 5:40:12 PM

Quer pular direto para um tópico específico? Clique aqui embaixo:

O crescimento acelerado das fintechs

Inovação das fintechs vs. agilidade do cibercrime

O que a LGPD representa para as fintechs?

Riscos e ameaças cibernéticas para as fintechs

1) Phishing

2) Malware

3) Perfis Falsos em Redes Sociais

4) Vazamento de Dados

5) Carteiras Digitais

6) Open Banking

7) Pix

Monitoramento e respostas a incidentes de segurança para as fintechs

Em 2020, o custo do cibercrime para as empresas foi a bagatela de 1 trilhão de dólares. Para 2021 é esperado que o prejuízo de 6 trilhões de dólares atinja empresas dos mais diversos tipos, tamanhos e segmentos.

Claro que esse valor assustador não é resultado somente dos ataques de ransomware, por exemplo. A destruição dos sistemas de dados, ataque ao supply chain, diminuição da produtividade das equipes, danos à reputação da marca e perda de clientes são algumas consequências mais sérias e duradouras que sofrem as empresas afetadas por ciberataques ou graves incidentes de segurança como vazamento de dados, por exemplo.

A motivação dos grupos cibercriminosos, fraudadores e golpistas é e sempre será financeira. São poucos os golpes que têm motivação política, como dos grupos hackers financiados por governos no que chamamos de Guerra do Código. 

Nas empresas, os ataques não são catastróficos como no recente caso do Colonial Pipeline, mas podem sim ser o suficiente para minar a saúde financeira e a reputação de uma empresa, levando-a à falência.

 

O crescimento acelerado das fintechs brasileiras

Pensando nisso, um dos setores que mais cresce, com um dos maiores ganhos financeiros no Brasil é o das fintechs. Faz mais que sentido para os cibercriminosos olharem com outros olhos para as fintechs, certo? É lá que o dinheiro está, afinal, elas movimentam milhões de reais de milhões de clientes. 

Sua atratividade se dá muito por conta das inúmeras transações monetárias realizadas diariamente, bem como a governança de dados pessoais e financeiros confidenciais.

Mas, antes, o que é fintech?

Caso você não saiba, fintech vem da soma de duas palavrinhas em inglês: "financial" e "technology". A revolução das fintechs mudou a maneira como funciona o mercado financeiro brasileiro. O termo fintech se refere a empresas que usam tecnologia inovadora para melhorar serviços financeiros, oferecendo soluções que, muitas vezes, são consideradas disruptivas. 

Pense na Uber. É uma empresa que resolveu um problema de mobilidade urbana por meio de uma solução tecnológica, basicamente unindo oferta e demanda. Agora, se pensarmos no segmento dos serviços financeiros, temos empresas mais que conhecidas no Brasil.

E por falar nisso, o Brasil tem sido chamado de "país das fintechs". Tudo começou em 2011, com 28 fintechs apenas. Em agosto do ano passado, o Brasil tinha aproximadamente 550 fintechs. Pouco menos de um ano depois, estamos com um número entre 750 e 850 de fintechs.

Só no ano passado, foram 115 rodadas de investimentos, que acumularam 1,9 bilhão de dólares (9,4 milhões de reais enquanto eu escrevo este artigo) aplicados nas fintechs brasileiras. Eis algumas que você deve conhecer: Nubank, Neon, Transfeera, C6 Bank,Stone, Picpay , Creditas, GuiaBolso, MonetizzeFinanZero, e outras muitas.

Elas prestam serviços como meios de pagamento, gestão financeira, investimentos, criptomoedas, empréstimos, seguros, crowdfunding, negociação de dívidas, câmbio e bancos digitais são algumas das frentes em que atuam as fintechs.

Vale observar que o Brasil tem uma parcela expressiva da população desbancarizada: são 45 milhões de pessoas com mais de 16 anos. Elas movimentam, sozinhas, cerca de 800 bilhões de reais por ano. 

Esse é um cenário mais do que promissor para as fintechs, certo?

A rápida adesão, facilidade de uso e pelo bom trabalho de marketing feito pelas fintechs as colocaram em lugar de grande destaque, tanto na mídia quanto no boca a boca do brasileiro, gerando uma visibilidade enorme. Visibilidade que nem sempre é bem-vinda: estar na mira do cibercrime é um lugar perigoso.

 

O post de hoje é para te ajudar a entender como uma fintech pode se tornar proativa quando o assunto é cibersegurança, e proteção e privacidade de dados pessoais.

 

Inovação das fintechs vs. agilidade do cibercrime

As fintechs enfrentam o desafio de oferecer uma experiência impecável para seus consumidores. Com inovadoras soluções tecnológicas para problemas antigos, oferecer um produto, app ou serviço que seja simpático e user friendly é imprescindível para obter sucesso. Isso é que o se conhece como o desafio da conveniência.

Pense nos apps de fintechs que você utiliza. Conta bancária, meio de pagamento online, cartão digital. Todos eles precisam oferecer uma experiência fácil e sem impeditivos.

Neste caso, o que chamo de impeditivos, muitas vezes, são justamente os fatores de segurança: credenciais de acesso, fator duplo de autenticação, sms, ligação telefônica, envio de documentos, foto, CNH, RG, CPF e por aí vai. Tudo isso também é crucial para oferecer um serviço financeiro seguro.

Como usuário, devo confessar que sinto até preguiça quando preciso passar por todas essas formas de dizer que eu sou eu, o famoso passwordless. Mas, em contrapartida, eu quero que meus dados fiquem seguros, não sejam expostos e eu não tenha prejuízo financeiro porque me cadastrei num app, por exemplo. 

No entanto, a usabilidade e a segurança do produto ou serviço oferecido pela fintech estão em pontas opostas da gangorra.

Toda vez que uma fintech deixa um produto mais fácil de usar, sem a devida atenção em relação a segurança, possíveis brechas são geradas, que na verdade são grandes oportunidades para os cibercriminosos agirem livremente.

Pensando na outra face da moeda, temos o cibercrime. Seu alto potencial de adaptação e inovação, tão grande quanto o das fintechs, é um problema cada vez mais perceptível. Além da criatividade do brasileiro, tem o 'jeitinho especial' do cibercriminoso, para ganhar dinheiro de forma ilícita, certo? Temos que concordar que os hackers e fraudadores brasileiros têm um "quê" a mais.

 

O que a LGPD representa para as Fintechs?

Além de tudo isso, temos a preocupação com a LGPD, a conhecida Lei Geral de Proteção de Dados. O pulo do gato aqui é entender que a lei não está aí só para penalizar ou aplicar multas e sanções para as empresas. 

O objetivo da lei não é ter a Autoridade Nacional de Proteção de Dados, ou ANPD para os íntimos, no cangote da sua empresa. Pelo contrário, na lei, temos todas as medidas para que isso não aconteça. É uma questão de mindset. 

O objetivo da lei, dependendo de como você olha para ela, é ajudar as empresas a proteger os dados sensíveis e sigilosos dos clientes e colaboradores. E, no caso das fintechs, os dados financeiros também. 

Vale lembrar que não é só a LGPD que incentiva as empresas a pensarem com mais carinho - e medo - sobre cibersegurança, para as fintechs, também temos a resolução nº 4.658  do BACEN.

A pergunta que não quer calar é: mas como posso ficar em conformidade com a lei? Para isso, as fintechs têm de pensar na lei por três aspectos: 

Transparência

Esse é um conceito muito utilizado em toda lei, que quer trazer clareza para os usuários sobre a maneira como seus dados são armazenados e manipulados. Para isso, a figura do Data Protection Officer, bem como dos agentes de dados, são cruciais, a fim de aproximar os cuidados esperados com a LGPD para a operação de dados como um todo. 

Além disso, é preciso atuar de uma maneira que fique claro para os usuários do produto, app ou plataforma sobre quais dados a organização tem controle, como são utilizados, quais são as medidas de segurança para com eles e com quem o usuário pode entrar em contato caso tenha problema com seus dados.

 

Consentimento

Aqui, o consentimento é implícito, já que para a maioria das fintechs, o uso de dados pessoais e financeiros é fundamental para a prestação do serviço, bem como para validação de que você é você, como falamos acima. 

Nesse sentido, nem sempre é necessário um checkbox pedindo para o cliente confirmar o interesse em compartilhar seus dados. Mas é importante que o consumidor saiba exatamente quais dados estão sendo compartilhados e qual sua finalidade, como falamos acima.

 

Responsabilidade e prestação de contas

Os funcionários da sua empresa são responsáveis pelos dados de clientes e precisam ter ações para proteção de dados, mas, mais do que isso, é importante comprovar que essas ações funcionam.  De acordo com a lei:

 

"os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".

 

Claro que esses são só pontos de destaque para o uso de dados de clientes das fintechs, a Lei Geral de Proteção de Dados é muito mais concisa e abrange outros muitos pontos sobre proteção de dados pessoais e privacidade dos usuários. Você pode ver a redação dela aqui.

A melhor forma de entrar em conformidade com a lei é mudar a forma como as pessoas lidam com suas informações pessoais. Segurança virtual deve se tornar prioridade nas fintechs.

Se quiser mais informações sobre a Lei Geral de Proteção de Dados, leia aqui o artigo que Fábio Ramos, nosso CEO, escreveu.

Riscos e ameaças cibernéticas para Fintechs

Nós vimos nos últimos meses de 2020 e no primeiro semestre de 2021 que quando assunto é segurança cibernética, o cenário não tá fácil para as empresas brasileiras. 

No último Relatório Trimestral da Axur percebe-se que os números de casos de phishing, perfis falsos nas redes sociais e vazamentos não param de crescer. E olha que são só algumas das ameaças cibernéticas que temos.

Ou, se preferir, assista o webinar que realizamos com Fábio Ramos, nosso CEO, e Thiago Bordini, nosso Head de Cyber Threat Intelligence, de apresentação e insights do relatório.

Phishing

O phishing parece ser uma fraude que nunca vai deixar de existir. Pensando no cenário da fintechs, os casos de phishing que identificamos vem sempre atrelados à urgência e aproveitam a vulnerabilidade financeira do brasileiro para piorar ainda mais a situação.

Acesse o Relatório de Fraudes Digitais no Brasil você quiser ver todos os números identificados pela Axur sobre phishing do primeiro trimestre de 2021.

As fintechs trabalham basicamente com dinheiro, emprestando, transferindo, rendendo, economizando e muito mais, então, o universo de possibilidades aqui é enorme. Seja via email, seja via SMS, o phishing é sazonal, aproveitando dos temas em alta, como a pandemia de covid-19, para multiplicar o número de vítimas.

Como vimos no primeiro webinar da série Especial Fintechs, a qualidade dos ataques de phishing chegam a impressionar até quem trabalha na área. 

O uso adequado da marca, bem como o design das páginas de phishing estão cada vez mais profissionais, quase que como os cibercriminosos utilizassem o guia de marca para construir as páginas fraudulentas. 

Malware

Desde que a internet é internet o vírus de computador existe. Eles vêm por email, ao acessar links suspeitos, por arquivos que você nem desconfia, em imagens. Basicamente, eles estão em tudo que é lugar. No setor financeiro não é diferente.

O grande problema aqui é que esses malwares tem habilidades realmente impressionantes. São sniffers, ransomwares, cavalos-de-tróia - o famoso trojan bancário -, e por aí vai.

E nenhum antivírus pode resolver esse problema definitivamente. Portanto, nesse caso, o fator humano é crucial para evitar que malwares instalem backdoors em bases de dados, acessem vpns, roubem credenciais de acesso, escalem privilégios administrativos… Bom, você já entendeu. 

Como em todas as outras ameaças, ter uma cultura organizacional de cibersegurança, privacidade e proteção de dados é imprescindível para mudar o comportamento das pessoas que coletam, manipulam e armazenam os dados da sua fintech.

Perfis falsos em redes sociais

Imagine que sua marca leva tempo e empreende esforço para ser reconhecida nas redes sociais e você começa a ganhar tráfego e notoriedade. Demais, né?

Os cibercriminosos também acham. Os perfis falsos em redes sociais estão em alta, tanto no Brasil quanto na América Latina. De acordo com dados do nosso relatório, esses perfis fake têm se tornado uma grande ameaça para as marcas, grandes ou pequenas.

De todas as infrações em uso de marca que a plataforma Axur identificou, 64,5% foram perfis falsos em redes sociais. O mais interessante é que 46% desses perfis não tinham seguidores e 63% não seguiam ninguém.  Geralmente, fazem o uso de marcas e se passam por canais de suporte, atendimento, perfis exclusivos de ofertas ou promoções. 

Por meio deles, os golpistas conseguem exfiltrar informações sensíveis dos seus clientes utilizando a engenharia social, além de enviarem links de phishing, boletos de pagamento e chaves PIX fraudulentas. 

E como agir então? Um bom trabalho de branding pode resolver os possíveis problemas com perfis falsos, mas só isso não é o suficiente. Monitorar e detectar ameaças em tempo de resposta ágil é 90% do trabalho quando se fala em perfis falsos.

Além disso, garantir que sua marca esteja presente nos principais canais de atendimento ao cliente, bem como a realização de disclaimers e campanhas publicitárias para evitar que os clientes caiam em golpes porque desconhecem seus canais oficiais.

Vazamento de dados

Atualmente, os ataques de ransomware estão sempre atrelados ao vazamento de dados. Com os grandes seguros cibernéticos e a prática de realizar o pagamento pelo resgate dos dados adotada por grande partes das empresas, a chantagem de vazamento de dados quando um ataque de ransomware acontece se tornou prática comum entre os cibercriminosos.

Aqui, uma cultura de cibersegurança bem implementada em todos os níveis hierárquicos da empresa de um possível vazamento de dados, seja via ataque de ransomware ou não. Emails suspeitos, links maliciosos, documentos com malwares embutidos. Tudo isso deve ser amplamente divulgado como os grandes riscos no dia a dia dos colaboradores e parceiros da sua fintech. 

São muitas as portas de entrada que um hacker pode escolher para expor dados de uma empresa. Lembrando que, monitorar também é encontrar exposição de dados involuntária. Sempre há o risco de compartilhamento não intencional de dados ou códigos de programação, por isso, serviços de compartilhamento de texto, como Pastebin e GitHub devem ser monitorados constantemente.

Configurações em servidores de nuvem também são armadilhas para os times de segurança das fintechs. Isso se dá o nome de corresponsabilidade. Note que os servidores ficam responsáveis por prover a segurança do serviços, do equipamento, segurança de rede, muito mais ligada à infraestrutura do que aos dados. 

Enquanto isso, as empresas ficam responsáveis pela integridade e segurança dos dados armazenados em nuvem. Por exemplo, são vários os casos que Buckets Amazon S3 ficam desprotegidos por conta de configurações erradas.

Carteiras digitais

As finanças estão se tornando cada vez mais digitais, teremos novos tipos de ameaças. Como por exemplo, as carteiras digitais, que tornam-se ativos mais fáceis de burlar a segurança caso um hacker tenha os dados da vítima - exposto em algum vazamento, além das outras que os malwares para celulares têm para roubar dados.

Open Banking

O compartilhamento de dados sensíveis e financeiros dos clientes entre as instituições financeiras é uma excelente ideia para propor mais competitividade e acelerar processos como validação de crédito. Mas aí, mora o perigo. 

Por isso, ter dados compartilhados de outras instituições é uma carga a mais para pensar em cibersegurança, uma vez que, se houver brecha em uma instituição, dados de clientes de várias fintechs podem ser expostos. 

PIX

O meio de pagamento mais querido do brasileiro. Nós já falamos bastante sobre a popularidade e preferência pelo PIX aqui neste relatório. O PIX ganhou o coração da população brasileira quando mostrou mais agilidade de pagamento e recebimento que os tradicionais DOC e TED. 

No entanto, sua principal qualidade também é o que mais chama atenção dos cibercriminosos. Além disso, está previsto para que o PIX entenda as transações erradas pelo usuário e realize o estorno, mas por enquanto, isso não é possível. 

De acordo com os dados que coletamos no nosso Relatório: fraudes e ameaças virtuais com PIX, existem algumas medidas que as fintechs podem tomar para tornar o ambiente PIX mais seguro de uma forma geral. 

Podemos começar falando do QR Code e da chave PIX: opte por chaves aleatórias, e instrua muito bem os canais oficiais de pagamento, para que nenhum cliente se veja enganado mandando dinheiro por um QR Code fraudulento.

Quer descobrir as ameaças que o futuro prepara para as fintechs? Fábio Ramos, nosso CEO, e Thiago Bordini, nosso Head de Cyber Threat Intelligence, discorreram sobre o assunto no terceiro webinar da série Especial Fintechs.

 

Monitoramento e resposta a incidentes de segurança nas Fintechs

Pois bem, chegamos na parte prática deste post. 

Como, então, as fintechs podem agir proativamente para se tornarem mais seguras frente às ameaças cibernéticas?

 

Identificar um possível vazamento ou incidente de cibersegurança é o Xis da questão para tomar as medidas necessárias. Hoje, o maior medo das fintechs - de qualquer empresa, na verdade - é ter os holofotes da mídia por conta de um vazamento de dados. 

Mas nem tudo deve ser reativo: a prevenção de ataques cibernéticos é essencial para a saúde dos dados de uma empresa. Informação é poder e timing é tudo. Se você quiser se inteirar mais sobre o tema, assista o segundo webinar da série Especial Fintechs.

 

Monitoramento e detecção

Monitorar ameaças é como fazer um seguro para seu carro. Você não espera ter que usar, afinal, ninguém decide simplesmente sofrer um acidente ou ter os dados de seus clientes expostos. 

No entanto, acidentes acontecem. E, como vimos acima, tem uma série de fatores de risco que podem ocasionar um vazamento de dados. É como dirigir o carro na contra-mão.

Detectar ameaças e vulnerabilidades é, de fato, agir proativamente para contê-las. E não só isso, como vimos na  LGPD e na resolução nº 4.658 do BACEN, é uma obrigação legal das empresas ter planos de ação e medidas efetivas para antecipar e conter possíveis ameaças cibernéticas.

"O que os criminosos querem são marcas fortes que não estejam fazendo monitoramento de ameaças. É o efeito colateral de um bom trabalho de marketing", disse Cadu Guidi da FinanZero.

Claro que é  preciso contar com uma plataforma completa para o monitoramento de ameaças cibernéticas, porque fazer isso manualmente é impossível e o fator humano sempre está relacionado ao erro. E, quando se trata de segurança, um errinho pode ser fatal.

 

Resposta e reação a incidentes de cibersegurança

Não foi um nem dois casos graves de vazamento ou sequestro de dados que vimos recentemente nas manchetes de jornais no Brasil e no mundo todo. O pior de tudo é quando sua empresa fica sabendo que esteve envolvida em um vazamento de dados somente depois de ver uma matéria correndo pela internet.

Já entendemos a importância do monitoramento de ameaças cibernéticas. Ele te dá o poder de se preparar para um possível incidente de dados. Agora, como reagir caso um, de fato, aconteça é outra história. É preciso ter um plano de resposta a incidentes muito claro, definido e encucado na cabeça do seus times de TI, SI e dos encarregados de dados. 

Para finalizar, tenha em mente que tudo o que sua fintech precisa para se proteger está na legislação relacionada à privacidade de dados. Estar em conformidade com as leis é garantir que todos os procedimentos corretos estejam implementados na sua empresa. 

Continue acompanhando o Deep Space para ler o melhor conteúdo sobre cibersegurança.

Ah, e você quer ficar a par das últimas notícias de cibersegurança e tecnologia? Ouça o CyberSeg News, no AxurCast, o podcast da Axur. Escuta a gente lá, CyberSeg News que, por sinal, sou eu quem apresento. Te espero!