As fintechs, startups ou empresas com soluções financeiras totalmente digitais, revolucionaram o mercado financeiro e ganham cada dia mais adeptos.  

Um estudo da EY Global¹, por exemplo, levantou que 64% dos consumidores ativos digitalmente, em 27 mercados do mundo, usam fintechs. Além de que, só nos Estados Unidos, 23% das pequenas e médias empresas também já aderiram a esse modelo. 

Infelizmente, essa popularidade faz com que as fintechs se tornem um alvo valioso para os cibercriminosos – em 2020, esse foi o 5º ramo mais atacado, de acordo com o que levantou um relatório da Kapersky². 

Para ajudar a sua empresa a entender alguns dos principais riscos que a sua fintech está suscetível, separamos 5 vulnerabilidades de cibersegurança para você ficar atento. 

Principais vulnerabilidades para fintechs 

1- Roubo de identidade 

O roubo de identidade não é um risco exclusivo das fintechs. Entretanto, nesse tipo de empresa, o dano pode ser ainda maior, uma vez que o prejuízo pode ser gigante tanto para o cliente quanto para a empresa. 

Nas fintechs, uma das principais táticas utilizadas para realizar o ataque é o comprometimento das APIs de autenticação, como a verificação facial, ou outros meios de verificação. 

2- DDoS  

O DDoS, distributed denial of service (ou ataque de negação de serviço, em português), é um tipo de ciberataque em os hackers tentam deixar o sistema da empresa inutilizável por sobrecarga. 

É como se os criminosos enviassem uma quantidade absurda de dados ao mesmo tempo para o servidor, sobrecarregando-o.  

Como muitas fintechs não limitam seus servidores para limitarem a quantidade de dados que podem ser processados, muitos dos ataques infelizmente se concretizam. 

3- Ameaças internas 

Desde um clique acidental em um e-mail malicioso até uma ação má intencionada ou venda de informações internas para pessoas de fora, funcionários, parceiros, investidores e outras pessoas ligadas à organização também representam uma ameaça. 

Esse é o caso, por exemplo, das que não separam os logins por nível de acesso (qual funcionário pode acessar quais informações), que se tornam ainda mais suscetíveis a esse tipo de ataque. 

4- Vazamento de dados 

O vazamento de dados é sempre uma preocupação de empresas que lidam com tecnologia e dados pessoais sensíveis, especialmente após a publicação da Lei Geral de Proteção de Dados (LGPD) e de outras regulamentações internacionais para a proteção de dados. 

No caso das fintechs, informações bancárias, senhas, perguntas de segurança e outros dados financeiros podem cair nas mãos de criminosos, que geralmente os utilizam para cometer fraudes e/ou vender para terceiros. 

O pior é que descobrir essa vulnerabilidade pode ser desafiador, já que muitas vezes é feito manualmente, por isso é importante contar com uma empresa especialista na área. 

5- Fuzzing 

O “fuzzing” é uma técnica utilizada por criminosos cibernéticos para enviar informações inválidas ou aleatórias para uma API ou aplicação. A partir disso, eles passam a monitorar o sistema para encontrar brechas que os permita invadi-la. 

Atualmente, essa técnica conta até com Inteligência Artificial e machine learning para otimizar o processo e tornar o ataque ainda mais certeiro. 

Outros desafios 

Além dessas ameaças, outros desafios cercam as fintechs. As regras de compliance, por exemplo, podem ser complexas e difíceis de seguir, mas são essenciais para quem deseja construir credibilidade, atrair investidores e crescer no mercado. A PCI DSS, por exemplo, é uma das principais, e possui 12 protocolos de cibersegurança a serem seguidos, sendo eles: 

1. Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões. 
2. Não utilizar senhas e configurações padrão fornecidas pelos vendedores. 
3. Proteger a informação guardada do titular do cartão (data de nascimento, número de documento e telefone e endereço de e-mail) 
4. Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas. 
5. Utilizar software de proteção antivírus, antispyware e malware e que eles estejam frequentemente atualizados. 
6. Desenvolver e manter sistemas e aplicações seguras. 
7. Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa. 
8. Designar dados de login únicos e confidenciais para cada usuário da rede e sistema. 
9. Restringir o acesso físico e eletrônico aos dados do cartão. 
10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito. 
11. Testar a segurança de sistemas e processos regularmente. 
12. Definir uma política de segurança que seja seguida e mantida por todos. 

Pentest para fintechs 

O pentest é o teste de intrusão realizado para encontrar vulnerabilidades de cibersegurança em qualquer tipo de aplicação, rede ou sistema. Essa é uma das principais formas de se proteger contra os ataques cibernéticos e, inclusive, faz parte das exigências do PCI DSS, como mostramos acima, e de outros compliances. 

Com ele, você protege a sua empresa e garante que sua fintech esteja de acordo com as regulamentações do setor! 

Conheça a Vantico e saiba mais sobre nossas opções de pentest para fintechs. 

¹EY Global FinTech Adoption Index finds over half (64%) of global consumers use FinTech 

²Kaspersky Fraud Prevention