作者:黛博拉·梅内塞斯
社交孤立导致 冠状病毒 强化了数字化、更快速、更低成本金融体系的紧迫性。因此,中央银行继续努力实现国家金融体系的现代化,并加快了最近受到监管的开放银行业务的步伐, PIX。 PIX 预计将于 11 月生效,它将是一个即时转账和支付系统,可以在一年中的任何一天进行,没有时间限制,并且收款人可以立即获得资源。然而,这些替代方案将要求金融机构在安全方面进行投资,以保护数据、流程和客户。与 PIX 相关的一些主要风险包括客户手机可能被黑客入侵以及二维码诈骗。
Kryptus 警告 PIX 风险
警告来自 克里普托斯,硬件安全模块制造商,专门从事密码学和信息安全。 Kryptus 发现,自隔离加剧网络活动以来,全球网络诈骗活动显著增加。该公司预测,与 PIX 运营启动类似的情况也将把大量传统物理流程转变为虚拟流程,并列出了三种可能损害新支付系统交易保护策略的威胁:
1- 盗窃金融机构的私钥
例如,该操作允许攻击者冒充机构并授权借记。攻击者需要利用某些漏洞,获得系统访问权限,提升权限并访问私钥,具体取决于私钥的存储位置。还可能发生这样的情况:一些配置错误的服务使得以简单的方式访问密钥成为可能。
2-二维码诈骗
欺诈行为包括入侵环境并提升权限、更改二维码生成代码并创建欺诈版本、将原本发送到商店的钱转移给诈骗者。
3-手机黑客攻击
当客户的手机或任何其他设备被盗时,就会发生手机黑客攻击。该计划旨在使用凭证并代表受害者进行交易,访问金融机构应用程序来执行操作。
Kryptus 首席执行官强调加密模块的重要性
分析这三点,攻击者只需获得相关系统的访问权限,例如,上传一个允许权限提升到管理员级别的恶意应用程序。这样,他就控制了整个系统,能够更改 扫码支付对于零售商来说,可以通过手机侵入用户的银行账户,甚至进入金融机构的系统”,Kryptus 首席执行官 Roberto Gallo 指出。
他强调,除了关注潜在威胁之外,机构还必须遵守市场标准和规则以及中央银行自身的标准和规则,并谨慎选择适当的技术。在此背景下,他评估了对于寻求适应 PIX 的金融机构来说,最具成本效益的解决方案是能够同时满足多种标准和法规的加密模块 (HSM)。
该高管表示,“加密模块的选择是即时支付系统设计的重要组成部分”。他强调:“有必要利用 硬件安全模块 拥有国际和国家认证,例如 FIPS 和 ICP-Brasil。这样,客户不仅遵守了中央银行的安全手册,还遵守了 PCI、LGPD 和 GDPR。”
由于具有实现大量交易的潜力,高可用性解决方案应该成为寻求安全性和性能以降低风险和成本的公司的关注焦点。
如今,HSM 已应用于多个垂直行业。在金融应用中,该解决方案可用作数字保险箱、凭证管理、内部认证机构以及个人数据保护法规合规性,例如 GDPR e 《通用数据保护条例》(GDPR)。此外,具有虚拟化功能的 HSM 可以减少投资(CAPEX)和运营成本(运营成本)”,加洛总结道。
