Netacea: a banca con bots e o custo oculto dos servizos financeiros

As API son unha porta de entrada para ataques de recheo de credenciais, expoñendo bancos e fintechs a fraude e roubo. Andy Still Explica o que fai que os servizos financeiros sexan particularmente vulnerables aos ataques de bots, que bots hai que ter en conta e como as empresas poden comprender mellor o comportamento do tráfico da API.

Andy Still

Aínda é CTO da empresa de ciberseguridade con sede en Manchester Netaceaunha solución de xestión de bots no servidor que protexe sitios web, aplicacións móbiles e API de ameazas automatizadas mediante a implantación do seu motor de detección intelixente, Intent Analytics.

Nesta peza de autor invitado para The Fintech TimesAínda divulga por que as API abertas son tan susceptibles aos ataques de bots, cal é o custo comercial destes ataques, ademais de ofrecer información sobre como as empresas poden protexerse mellor e os intereses dos seus clientes.

As entidades financeiras posúen máis datos sobre os seus clientes que calquera outra industria. Estes datos sensibles, tamén coñecidos como información de identificación persoal (PII), significa que os servizos financeiros deben ser aínda máis cautelosos ante a ameaza de violacións de datos: corren o risco de multas por parte do Autoridade de Conduta Financeira (FCA) e un dano importante á súa reputación.

As contas bancarias, tanto persoais como empresariais, foron durante moito tempo un obxectivo primordial para os ciberdelincuentes, xa que poden obter tanto PII como recompensas financeiras polas súas fazañas. As API son a requisito da recente banca aberta e da regulación PSD2 e convértete nun novo obxectivo atractivo para os hackers. O noventa e sete por cento das empresas de servizos financeiros informar ataques a unha API en 2020 e Gartner prevé que os ataques de API se converterán en vector de ataque máis frecuente en 2022.

As API abertas facilitan o intercambio de datos entre bancos e organizacións de terceiros. Calquera persoa que engadiu o saldo da súa tarxeta de crédito á súa aplicación bancaria persoal utilizou unha. Pero os usos van máis aló disto – poden mellorar ofertas competitivas e experiencia do cliente, e facer que os datos sexan accesibles para agregadores e corretores de terceiros.

Moitos provedores subcontratan a súa API e o desenvolvemento de aplicacións móbiles, o que significa que varios clientes usan o mesmo código. É probable que calquera vulnerabilidade sexa común a máis dun provedor, polo que as API convértense rapidamente no obxectivo perfecto para os bots de toma de contas e o recheo de credenciais.

En que deben ter en conta os servizos financeiros?

Os atacantes sempre buscan o punto de acceso máis sinxelo. As API utilizadas para compartir datos entre bancos e terceiros corren un risco especial de novas ameazas. Os atacantes tentarán acceder á capa de API vulnerable a través dos seus tres puntos de acceso: o navegador, as aplicacións móbiles e o servidor de API.

Un dos maiores riscos é o uso da API por parte dos bots verificadores de contas. Estes levan listas de pares de nomes de usuario e contrasinais filtrados (tamén coñecidas como listas combinadas) e probóanos para ver se alguén está a reutilizar un contrasinal para a súa banca en liña, isto tamén se coñece como ataque de recheo de credenciais.

Os bots automatizados utilízanse para “encher” nomes de usuario e contrasinais roubados nas páxinas de inicio de sesión a gran velocidade para obter acceso fraudulento ás contas. Unha vez dentro, os atacantes teñen acceso ilimitado aos detalles da conta e das transaccións que se poden usar para solicitar préstamos fraudulentos, tarxetas de crédito, transferencias bancarias ou para explotar organizacións financeiras.

O setenta e un por cento dos servizos financeiros informou de ataques dos bots verificadores de contas en 2020.

Para comprender o perigoso que é un ataque, as organizacións financeiras deben estar atentos a:

  • Escala dos ataques: un alto número de intentos de ataque nun curto período de tempo.
  • Que sofisticados son os ataques: o ataque é global ou local, é a través de varios puntos de acceso?
  • Ataques sostidos: un número anormalmente alto de intentos de iniciar sesión ou validar detalles durante un longo período de tempo.

Que poden custar estas infraccións?

Os bots automatizados operados por actores maliciosos custan ás empresas unha media do 3,6 por cento dos seus ingresos anuais. Para as empresas máis grandes, isto podería significar unha perda de ata un cuarto de billón de dólares por servir bots cada ano.

Os provedores de servizos financeiros xa están atacados por todo tipo de fraude e piratería. No Reino Unido gástanse 650 millóns de libras cada ano para combater a fraude nas finanzas, aínda que cada minuto reportáronse catro incidentes de fraude e a fraude en contas bancarias alcanzou o seu nivel máis alto durante máis de tres anos en 2021.

A pesar da competencia, o recheo de credenciais foi a maior ameaza de bot por parte do 85 por cento das fintechs en 2021, comprensible tendo en conta o lucrativo que pode ser un ataque exitoso. Vimos que estes ataques aumentaron a cibernética nos últimos anos a medida que o panorama das ameazas cambiou e a accesibilidade aos volcados masivos de datos e aos servidores proxy creou un caldo de cultivo para ataques de recheo de credenciais.

Comprensión e xestión do tráfico da API

A maioría dos servizos financeiros teñen pouca ou ningunha visibilidade do que constitúe humanos vs. tráfico de bot automatizado á súa API, e moito menos comprender a intención do usuario. Segundo a nosa investigación, só o catro por cento das organizacións financeiras consideraron que a súa API era o principal risco de ameaza, pero o 97 por cento informou de ataques á súa API en 2020.

Para as fintechs en particular, a súa funcionalidade básica depende en gran medida das API, polo que o acceso a ela debe restrinxirse a terceiros regulados. Crear un ambiente de API resistente é fundamental para manter un ecosistema verdadeiramente seguro e altamente funcional no que tanto a fintech como a terceira parte estean protexidas.

As organizacións financeiras non deben buscar só supervisar o tráfico nas súas aplicacións móbiles, sitios web e API, senón comprender a súa intención. WSen a tecnoloxía de xestión de bots para identificar anomalías nos patróns de tráfico e o comportamento, as ameazas de tráfico automatizadas adoitan pasar desapercibidas, o que permite que os provedores de servizos financeiros poidan sufrir violacións de datos, riscos para os clientes e custos para a ameaza empresarial.

Author: admin

Leave a Reply

Your email address will not be published.