{"id":17179,"date":"2021-03-23T13:05:55","date_gmt":"2021-03-23T16:05:55","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17179"},"modified":"2021-03-23T20:07:50","modified_gmt":"2021-03-23T23:07:50","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/security-tips-for-trading-platforms\/17179\/","title":{"rendered":"Um breve guia para seguran\u00e7a fintech"},"content":{"rendered":"

Em 2019, o mercado global de a\u00e7\u00f5es cresceu US$ 17 trilh\u00f5es e, apesar dos mercados mundiais terem sido lesados \u2013 para dizer o m\u00ednimo \u2013 pela pandemia, o interesse em investimentos n\u00e3o desapareceu. Desde o in\u00edcio de 2020, o n\u00famero de usu\u00e1rios de aplicativos comerciais s\u00f3 aumentou.<\/p>\n

Por outro lado, os ativos e dados pessoais dos e-traders s\u00e3o presas atraentes para os cibercriminosos e, em caso de incidente, s\u00e3o os operadores da plataforma de negocia\u00e7\u00e3o que t\u00eam de lidar com as
\nconsequ\u00eancias. Neste post, comentamos sobre as principais amea\u00e7as que as empresas enfrentam e como derrot\u00e1-las.<\/p>\n

Vulnerabilidades de aplicativos<\/h2>\n

Como qualquer software, as plataformas de negocia\u00e7\u00e3o t\u00eam vulnerabilidades. Em 2018, o especialista em ciberseguran\u00e7a Alejandro Hernandez encontrou falhas<\/a> em 79 desses aplicativos, incluindo o n\u00e3o uso de criptografia para armazenar ou transmitir dados (qualquer pessoa pode ver ou alter\u00e1-los) e n\u00e3o desconectar os usu\u00e1rios ap\u00f3s um per\u00edodo de inatividade. As falhas no n\u00edvel do projeto incluem a permiss\u00e3o de senhas fracas.<\/p>\n

Um ano depois, analistas da ImmuniWeb realizaram pesquisas<\/a> semelhantes e chegaram a uma conclus\u00e3o igualmente negativa: dos 100 desenvolvimentos de fintech que testaram, todos eram
\nvulner\u00e1veis at\u00e9 certo ponto. Problemas foram encontrados em aplicativos da Web e m\u00f3veis, com muitos bugs herdados de desenvolvimentos de terceiros e ferramentas usadas pelos
\nprogramadores. Para algumas das vulnerabilidades, os patches j\u00e1 existiam h\u00e1 muito tempo, mas n\u00e3o haviam sido aplicados. Um desses patches foi lan\u00e7ado em 2012, mas os autores do aplicativo fintech
\nnunca tiveram tempo de instal\u00e1-lo.<\/p>\n

Um ano depois, t\u00e3o certo quanto a noite segue o dia, se um produto tiver problemas de seguran\u00e7a, eles se tornar\u00e3o conhecidos, potencialmente prejudicando a reputa\u00e7\u00e3o das empresas e assustando
\nos clientes. E se, como resultado de um bug em um aplicativo, os usu\u00e1rios sofrerem um vazamento de dados ou perda financeira, o desenvolvedor poder\u00e1 enfrentar uma grande multa ou ser for\u00e7ado a
\npagar uma indeniza\u00e7\u00e3o.<\/p>\n

\u00c0s vezes, o criador de uma plataforma \u00e9 a \u00fanica v\u00edtima. Por exemplo, os autores do aplicativo de negocia\u00e7\u00e3o Robinhood n\u00e3o conseguiram detectar um bug<\/a> que permitia aos usu\u00e1rios premium emprestar fundos ilimitados da plataforma para negociar t\u00edtulos \u2013 e um usu\u00e1rio emprestou U$ 1 milh\u00e3o contra um dep\u00f3sito de apenas U$ 4 mil. Os comerciantes o apelidaram de \u201cc\u00f3digo de trapa\u00e7a do dinheiro infinito\u201d.<\/p>\n

Para evitar perdas associadas a bugs e vulnerabilidades, os codificadores da plataforma de negocia\u00e7\u00e3o precisam considerar a seguran\u00e7a no est\u00e1gio de desenvolvimento, pensando com anteced\u00eancia sobre coisas como logout autom\u00e1tico do usu\u00e1rio, criptografia e proibi\u00e7\u00e3o de senhas fracas. Eles tamb\u00e9m devem revisar regularmente o c\u00f3digo em busca de erros e corrigi-los imediatamente.<\/p>\n

Ataques \u00e0 cadeia de suprimentos<\/h2>\n

Para economizar tempo e dinheiro, a maioria das empresas n\u00e3o apenas escreve seu pr\u00f3prio c\u00f3digo, mas tamb\u00e9m emprega melhorias, frameworks e servi\u00e7os de terceiros. Se a infraestrutura de um
\nprovedor for comprometida, as empresas que a utilizam tamb\u00e9m podem sofrer.<\/p>\n

Foi o que aconteceu, por exemplo, com a corretora de moedas Pepperstone<\/a>. Em agosto de 2020, cibercriminosos infectaram os computadores de uma empresa contratada, obtendo acesso a sua
\nconta no sistema CRM da Pepperstone. Embora a invas\u00e3o tenha sido rapidamente neutralizada, os invasores ainda conseguiram roubar alguns dados dos clientes. A corretora diz que seus sistemas
\nfinanceiro e comercial n\u00e3o foram afetados. Ao mesmo tempo, lembre-se de que o vazamento de dados pode ser muito caro para as empresas<\/a>, mesmo que a culpa seja de c\u00f3digos de terceiros.<\/p>\n

Para evitar poss\u00edveis problemas, sempre escolha parceiros confi\u00e1veis e preocupados com a seguran\u00e7a e nunca confie apenas em seus mecanismos de prote\u00e7\u00e3o. Qualquer empresa na \u00e1rea de finan\u00e7as deve adotar uma pol\u00edtica de seguran\u00e7a rigorosa.<\/p>\n

Spear-phishing<\/h2>\n

Em julho do ano passado, pesquisadores de ciberseguran\u00e7a conectaram uma s\u00e9rie de ataques a institui\u00e7\u00f5es fintech na UE, Reino Unido, Canad\u00e1 e Austr\u00e1lia ao grupo Evilnum<\/a>. Os
\ncibercriminosos enviaram e-mails aos funcion\u00e1rios da empresa com um link para um arquivo ZIP hospedado em um leg\u00edtimo servi\u00e7o de nuvem. As mensagens foram disfar\u00e7adas como correspond\u00eancia comercial e o conte\u00fado do arquivo como documentos ou imagens.<\/p>\n

Embora o documento ou imagem prometido aparecesse na tela, abri-lo ativou a cadeia de infec\u00e7\u00e3o. \u00c0s vezes, os invasores invadem contas de e-mail corporativas<\/a>, o que torna o phishing ainda mais convincente. Em agosto deste ano, um ataque desses atingiu a empresa comercial Virtu. De acordo com representantes da empresa, os cibercriminosos entraram na caixa de correio de um alto gerente e passaram as duas semanas seguintes enviando e-mails ao departamento de contabilidade
\ncom instru\u00e7\u00f5es para transferir grandes somas de dinheiro para a China. A confian\u00e7a cega custou \u00e0 empresa cerca de US$ 11 milh\u00f5es.<\/p>\n

Para repelir esses ataques, a equipe de seguran\u00e7a cibern\u00e9tica precisa de treinamento adequado<\/a>.<\/p>\n

Compile uma lista de alertas de phishing em e-mails e use-a para planejar um curso de a\u00e7\u00e3o no caso de um colega, parceiro ou cliente pedir (ou parecer estar pedindo) para enviar alguns milh\u00f5es \u2013 ou
\nmesmo um pouco menos do que isso \u2013 para desconhecidos.<\/p>\n\n

Problemas do cliente<\/h2>\n

\u00c0s vezes, os usu\u00e1rios perdem dinheiro n\u00e3o por culpa da sua empresa ou aplicativo \u2013 mas sim, baixando malware, inserindo senhas em sites de phishing ou agindo de forma irrespons\u00e1vel. Aqui tamb\u00e9m, infelizmente, eles podem fazer reivindica\u00e7\u00f5es contra a plataforma de negocia\u00e7\u00e3o. Em alguns pa\u00edses, as empresas s\u00e3o legalmente obrigadas a pelo menos descobrir o que aconteceu, portanto, vale a pena, de vez em quando, alertar os usu\u00e1rios sobre os perigos potenciais e encoraj\u00e1-los a se protegerem (e, por extens\u00e3o, a voc\u00ea).<\/p>\n

Tamb\u00e9m \u00e9 uma boa ideia lembrar periodicamente os clientes de que qualquer software de terceiros, especialmente se pirateado ou obtido de fontes duvidosas, pode representar uma amea\u00e7a. Por exemplo, ele pode roubar senhas, incluindo as de contas de negocia\u00e7\u00e3o.<\/p>\n

Como proteger seu dinheiro e reputa\u00e7\u00e3o<\/h2>\n

Administrar dinheiro envolve grande responsabilidade e negligenciar a seguran\u00e7a pode custar muito \u00e0s empresas de fintech. Portanto:<\/p>\n