As fintechs, startups ou empresas com soluções financeiras totalmente digitais, revolucionaram o mercado financeiro e ganham cada dia mais adeptos.
Um estudo da EY Global¹, por exemplo, levantou que 64% dos consumidores ativos digitalmente, em 27 mercados do mundo, usam fintechs. Além de que, só nos Estados Unidos, 23% das pequenas e médias empresas também já aderiram a esse modelo.
Infelizmente, essa popularidade faz com que as fintechs se tornem um alvo valioso para os cibercriminosos – em 2020, esse foi o 5º ramo mais atacado, de acordo com o que levantou um relatório da Kapersky².
Para ajudar a sua empresa a entender alguns dos principais riscos que a sua fintech está suscetível, separamos 5 vulnerabilidades de cibersegurança para você ficar atento.
Principais vulnerabilidades para fintechs
1- Roubo de identidade
O roubo de identidade não é um risco exclusivo das fintechs. Entretanto, nesse tipo de empresa, o dano pode ser ainda maior, uma vez que o prejuízo pode ser gigante tanto para o cliente quanto para a empresa.
Nas fintechs, uma das principais táticas utilizadas para realizar o ataque é o comprometimento das APIs de autenticação, como a verificação facial, ou outros meios de verificação.
2- DDoS
O DDoS, distributed denial of service (ou ataque de negação de serviço, em português), é um tipo de ciberataque em os hackers tentam deixar o sistema da empresa inutilizável por sobrecarga.
É como se os criminosos enviassem uma quantidade absurda de dados ao mesmo tempo para o servidor, sobrecarregando-o.
Como muitas fintechs não limitam seus servidores para limitarem a quantidade de dados que podem ser processados, muitos dos ataques infelizmente se concretizam.
3- Ameaças internas
Desde um clique acidental em um e-mail malicioso até uma ação má intencionada ou venda de informações internas para pessoas de fora, funcionários, parceiros, investidores e outras pessoas ligadas à organização também representam uma ameaça.
Esse é o caso, por exemplo, das que não separam os logins por nível de acesso (qual funcionário pode acessar quais informações), que se tornam ainda mais suscetíveis a esse tipo de ataque.
4- Vazamento de dados
O vazamento de dados é sempre uma preocupação de empresas que lidam com tecnologia e dados pessoais sensíveis, especialmente após a publicação da Lei Geral de Proteção de Dados (LGPD) e de outras regulamentações internacionais para a proteção de dados.
No caso das fintechs, informações bancárias, senhas, perguntas de segurança e outros dados financeiros podem cair nas mãos de criminosos, que geralmente os utilizam para cometer fraudes e/ou vender para terceiros.
O pior é que descobrir essa vulnerabilidade pode ser desafiador, já que muitas vezes é feito manualmente, por isso é importante contar com uma empresa especialista na área.
5- Fuzzing
O “fuzzing” é uma técnica utilizada por criminosos cibernéticos para enviar informações inválidas ou aleatórias para uma API ou aplicação. A partir disso, eles passam a monitorar o sistema para encontrar brechas que os permita invadi-la.
Atualmente, essa técnica conta até com Inteligência Artificial e machine learning para otimizar o processo e tornar o ataque ainda mais certeiro.
Outros desafios
Além dessas ameaças, outros desafios cercam as fintechs. As regras de compliance, por exemplo, podem ser complexas e difíceis de seguir, mas são essenciais para quem deseja construir credibilidade, atrair investidores e crescer no mercado. A PCI DSS, por exemplo, é uma das principais, e possui 12 protocolos de cibersegurança a serem seguidos, sendo eles:
- Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões.
- Não utilizar senhas e configurações padrão fornecidas pelos vendedores.
- Proteger a informação guardada do titular do cartão (data de nascimento, número de documento e telefone e endereço de e-mail)
- Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas.
- Utilizar software de proteção antivírus, antispyware e malware e que eles estejam frequentemente atualizados.
- Desenvolver e manter sistemas e aplicações seguras.
- Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa.
- Designar dados de login únicos e confidenciais para cada usuário da rede e sistema.
- Restringir o acesso físico e eletrônico aos dados do cartão.
- Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
- Testar a segurança de sistemas e processos regularmente.
- Definir uma política de segurança que seja seguida e mantida por todos.
Pentest para fintechs
O pentest é o teste de intrusão realizado para encontrar vulnerabilidades de cibersegurança em qualquer tipo de aplicação, rede ou sistema. Essa é uma das principais formas de se proteger contra os ataques cibernéticos e, inclusive, faz parte das exigências do PCI DSS, como mostramos acima, e de outros compliances.
Com ele, você protege a sua empresa e garante que sua fintech esteja de acordo com as regulamentações do setor!
Conheça a Vantico e saiba mais sobre nossas opções de pentest para fintechs.
¹EY Global FinTech Adoption Index finds over half (64%) of global consumers use FinTech