A ameaça bate à porta: Análise de ataques a serviços financeiros

Os serviços financeiros estão entre os setores mais afetados por cibercrimes, desde o auge do Zeus e outros cavalos de troia bancários até ataques de negação de serviço distribuída (DDoS), ataques de phishing modernos e ransomware. FinServ é um setor vital que desempenha um papel importante não só na vida das pessoas, mas também na economia. 

Qualquer interrupção ou tempo de inatividade de serviços financeiros acarreta sérias implicações, e os dados confidenciais que essas organizações detêm podem ser transformados em uma mercadoria valiosa. Os invasores, portanto, entendem o setor de FinServ como um alvo lucrativo e conduzem uma ampla variedade de ataques contra ele, desde a exploração de vulnerabilidades de dia zero recém-descobertas até ataques de phishing testados e comprovados. 

Um enorme surto de ataques cibernéticos

Não é segredo, então, que os invasores cibernéticos estejam altamente focados e motivados a atacar o setor de FinServ. Tradicionalmente, o relatório SOTI (State of the Internet) sobre serviços financeiros abrange tópicos como phishing ou fraude. Desta vez, contudo, adotamos uma abordagem muito mais ampla e cobrimos uma série de questões que afetam esse setor frequentemente atacado.

Essa lente mais ampla nos permitiu ver o enorme aumento no número de ataques cibernéticos ao setor de serviços financeiros e a velocidade alarmante com a qual os invasores estão se aproveitando de vulnerabilidades de dia zero recém-descobertas. 

Os clientes do setor de FinServ também não são poupados, com uma grande parte dos invasores optando por abdicar de ataques a um dos setores mais seguros do mundoe conduzir ataques em massa contra seus consumidores. 

Pontos-chave do relatório SOTI 

Com esta ameaça à porta, é importante para os profissionais de segurança de FinServ entender como o cenário está mudando. Nosso relatório inclui os seguintes pontos principais: 

• Os serviços financeiros se mantêm como um dos três verticais mais visados quanto a ataques a APIs e apps da Web, de dia zero e DDoS. 

• Os ataques a APIs e apps da Web de FinServ aumentam 3,5 vezes ano a ano, o maior crescimento de qualquer setor importante.

• Dentro de 24 horas, a exploração de ataques de dia zero recém-descobertos contra FinServ atinge vários milhares de ataques por hora e picos rapidamente, proporcionando pouco tempo de correção e reação.

• Um aumento significativo nos ataques de LFI (inclusão de arquivo local) e XSS (execução de scripts entre sites) demonstra como os invasores estão migrando para tentativas de execução remota de código que apresentam maior pressão na segurança interna das redes.

• Os ataques a clientes FinServ são desenfreados, com mais de 80% dos invasores visando contas de clientes em vez das próprias organizações, diretamente ou por meio de atividades relacionadas a phishing.

• As campanhas de phishing (como Kr3pto) estão introduzindo técnicas que contornam soluções de 2FA usando tokens de senha de uso único ou notificações push.

Entendendo uma superfície de ameaças em expansão

Os ataques a APIs e aplicações da Web tiveram um aumento de 257% nos últimos 12 meses. O aumento desses ataques pode ser atribuído a vários vetores, incluindo LFI e XSS. Isso é relevante porque os invasores podem estar usando vetores de ataque para acessar sua rede ou como um meio de reconhecimento eficaz. 

Isso também aumenta a importância de proteger aplicações da Web, pois as vulnerabilidades nelas contidas podem ser usadas como ponto de entrada para violar as organizações visadas. Essa também pode ser uma descoberta importante para as equipes que buscam testar suas redes com mais eficiência.

Abordando vulnerabilidades de dia zero

Com base em nossa pesquisa, o FinServ é um dos primeiros e mais atacados setores quando vulnerabilidades novas ou emergentes são descobertas (dia zero). A exploração de vulnerabilidades novas e emergentes pode começar dentro de 24 horas após a divulgação e atingir seu pico rapidamente, como no caso da vulnerabilidade do Confluence (CVE-2022-26134). Portanto, a resolução dessas falhas de segurança se torna uma corrida contra o tempo antes que os invasores comecem a explorá-las para lançar ataques. 

Nossa pesquisa também indica que ataques de DDoS continuam sendo uma fonte de preocupação para os serviços financeiros (o segundo setor mais atingido por esse tipo de ataque em todo o mundo). Um ataque de DDoS eficaz faz com que uma empresa se torne uma ilha isolada do resto da Internet. Os clientes não conseguem acessar contas, e o tempo de inatividade, a interrupção dos negócios e a recuperação desses ataques podem significar perda financeira para a organização. 

Embora os ataques de DDoS no setor de FinServ tenham permanecido estáveis neste ano, observamos uma "mudança regional", pois o volume de ataques de DDoS contra os Estados Unidos diminuiu. Enquanto isso, o volume de ataques à EMEA aumentou, apesar do menor número geral de alvos. 

Clientes de serviços financeiros na mira 

Uma análise revela que mais de 80% dos invasores estão direcionando seus ataques a clientes de serviços financeiros em vez de instituições, direta ou indiretamente. Isso pode ser atribuído à ATO (apropriação indevida de contas) e a ataques de extração da Web. 

Os ataques de apropriação de contas são direcionados diretamente aos clientes, enquanto os ataques de extração de websites são usados principalmente para criar golpes de phishing e kits que simulam websites fielmente. Para provar ainda mais esse ponto, também observamos um número crescente de atividades de botnet (um aumento de 81%) devido a ataques de ATO e extração da Web. 

Entender como o setor de serviços financeiros é visado, como seus clientes estão sendo atacados e quais ataques estão sendo utilizados pode ajudar as organizações a proteger seus dados, sua rede e seus clientes. Recomendamos que você use essas informações para reavaliar áreas e riscos em seu programa ou atualizar suas equipes de inteligência e atuação contra ameaças.