PIX: novo sistema de pagamentos do BC pode facilitar invasão de celulares

Por: Débora Menezes

O isolamento social provocado pelo coronavírus reforçou a urgência de um sistema financeiro digital, mais rápido e de menor custo. Sendo assim, o Banco Central continua tentando modernizar o Sistema Financeiro Nacional e acelerou o ritmo do Open Banking, recentemente regulamentado, e do PIX. O PIX, que deve entrar em vigor em novembro, será um sistema de transferências e pagamentos instantâneos, realizados a qualquer dia do ano, sem limite de horário e com o recurso imediatamente disponível ao destinatário. Entretanto, essas alternativas exigirão que as instituições financeiras invistam em segurança, a fim de proteger dados, processos e clientes. Alguns dos principais riscos apontados em relação ao PIX são a possibilidade de invasão de celulares de clientes e o golpe do QR Code.

Kryptus alerta sobre riscos do PIX

O alerta é da Kryptus, fabricante do hardware security module e especializada em criptografia e segurança da informação. A Kryptus identificou um aumento expressivo de golpes cibernéticos globais desde que a quarentena intensificou as atividades online. Projetando uma conjuntura parecida com o início das operações do PIX, que igualmente vai transformar um grande volume de processos físicos tradicionais em virtuais, a companhia mapeou três ameaças com potencial para prejudicar a estratégia de proteção das transações do novo sistema de pagamentos:

1- Roubo das chaves privadas da instituição financeira

A ação permite que um invasor se passe pela instituição e autorize débitos, por exemplo. É necessário que o atacante explore alguma vulnerabilidade, tenha acesso ao sistema, escale privilégios e acesse as chaves privadas, dependendo de onde elas estejam armazenadas. Também pode acontecer que algum serviço mal configurado possibilite acessar as chaves de maneira simples.

2- Golpe do QR Code

A fraude consiste em invadir o ambiente e escalar privilégios, alterar o código de geração do QR Code e criar uma versão fraudulenta, desviando o dinheiro que seria remetido para uma loja, por exemplo, para o golpista.

3- Invasão de celulares

A invasão de celulares pode ocorrer com o roubo do telefone ou de qualquer outro dispositivo do cliente. A iniciativa tem por objetivo usar as credenciais e efetuar transações em nome da vítima, acessando aplicativos de instituições financeiras para fazer operações.

CEO da Kryptus destaca importância dos módulos criptográficos

“Analisando esse três pontos, basta um atacante obter acesso ao sistema em questão, por exemplo, subindo uma aplicação maliciosa que permite a escalação de privilégio para o nível de administrador. Assim, ele obtém controle de todo o sistema, podendo alterar o QR Code, no caso do lojista, invadir a conta bancária do usuário no aparelho celular, ou mesmo entrar no sistema de uma instituição financeira”, aponta Roberto Gallo, CEO da Kryptus.

Ele ressalta que além de focar nas potenciais ameaças é fundamental que as instituições estejam em compliance com as normas e regras do mercado e do próprio Banco Central, além de fazer uma escolha cuidadosa das tecnologias adequadas. Nesse contexto, ele avalia como a solução de melhor custo-benefício para as instituições financeiras em busca de adequação para o PIX são os módulos criptográficos (HSM) que possam atender múltiplas normas e legislações simultaneamente.

Conforme o executivo, “a escolha dos módulos criptográficos é uma parte importante do projeto do sistema de pagamento instantâneo”. Ele salienta: “É necessário utilizar HSMs com certificações internacionais e nacionais, como o FIPS e aICP-Brasil. Desta forma, o cliente não só fica em compliance com o Manual de Segurança do Banco Central, mas também com PCI, LGPD e GDPR.”

Com potencial para alcançar um grande volume de transações, as soluções de alta disponibilidade devem estar no radar das empresas em busca de segurança e performance para reduzir riscos e custos.

“Hoje o HSM está presente em diversas verticais de negócios. Nas aplicações financeiras, a solução pode ser utilizada, por exemplo, como cofre digital, gerenciamento de credenciais, Autoridade Certificadora interna e adequação a leis de proteção de dados pessoais como LGPD e GDPR. Além disso, HSMs que possuem funções de virtualização possibilitam uma redução de investimentos (CAPEX) e custos operacionais (OPEX)”, finaliza Gallo.