Uma sigla que tem ganho destaque na imprensa, o PSD2 refere-se à revisão da Diretiva de Serviços de Pagamento na União Europeia (UE). A diretiva surge como uma resposta direta da UE à evolução tecnológica em serviços bancários e procura de estímulo de competitividade no setor.
Se a proliferação de serviços de home banking gerou discussão sobre a sua segurança, relacionada a ataques de phishing e fraude de transações online, hoje o panorama tecnológico é de muito maior maturidade. À banca tradicional juntam-se novos serviços digitais que encontram nesta pluralidade de serviços uma oportunidade para integrar.
É assim que, sob alçada do PSD2, se contemplam novas entidades de serviços financeiros: os iniciadores de pagamento e os serviços de informação de contas, denominados Third Party Providers (TPP). Estas entidades passam a ter direito de acesso aos dados de contas bancárias de consumidores na UE (quando estes assim o consentem) através de API (Interfaces de Programação de Aplicações). Possibilita-se assim, por exemplo, usar uma conta Facebook ou Google para pagar uma encomenda, ou enviar dinheiro para outra pessoa. Consecutivamente, estes TPP têm luz verde para construir serviços financeiros alicerçados na infraestrutura e dados da Banca.
Competitividade à parte, voltemos à questão da segurança. Se, até hoje, os consumidores tinham a preocupação de confiar os seus dados financeiros aos bancos, agora multiplicam esta preocupação por terem que confiá-los a todas estas novas entidades externas. Ao entrarmos na Era da “banca aberta”, há que considerar as novas ameaças de segurança e o quão preparados (ou não) estão os bancos e os TPP para dar resposta à necessidade acrescida de garantir a segurança dos consumidores.
Client-side: O Elo Mais Fraco
Desde há muito que a Banca tem feito um grande investimento em cibersegurança na proteção do servidor e da rede. Este back-end inclui informação extremamente sensível, como o repositório tecnológico e bases de dados. Sem uma abordagem de segurança rigorosa, as instituições financeiras seriam facilmente alvo de ataques informáticos. No entanto, a rápida evolução das tecnologias da Web trouxe uma série de novos vetores de ataque que não exploram o lado do servidor mas sim o client-side, ou lado do cliente – que engloba toda a tecnologia que corre nos navegadores da Internet (browsers) dos consumidores quando acedem a plataformas bancárias digitais.
Tradicionalmente, os bancos têm sido alvo de ataques Man-in-the-Browser, que possibilitam que os atacantes interfiram com as ações que os utilizadores realizam num browser. Com estes ataques, é possível roubar as credenciais de acesso ao serviço de home banking ou alterar o IBAN de destino numa transferência bancária – tudo isto executando alterações impercetíveis tanto para os utilizadores, como para os bancos que, tipicamente, não possuem a monitorização apropriada. Investigações recentes da portuguesa Jscrambler demonstram ainda como as extensões de browser podem ser comprometidas para atuarem também como um Man-in-the-Browser, permitindo aos atacantes aceder, capturar e modificar os dados de qualquer página Web que o utilizador visite. Resta ainda mencionar um vetor de ataque emergente e especialmente perigoso para a banca: ataques à cadeia de valor Web. Estes permitem que os atacantes roubem dados aos utilizadores não atacando diretamente a Banca ou os TPP mas sim injetando código malicioso em scripts externos que estes integram – como serviços de chat ao vivo ou widgets.
Quando consideramos este novo paradigma da banca aberta, ao permitir-se que os TPP acedam aos dados dos consumidores através de API abertas, estes tornam-se assim num novo alvo destes ataques. Um ataque client-side a um TPP, nomeadamente através de um Man-in-the-Browser, poderá assim permitir que os atacantes roubem e manipulem dados financeiros sensíveis. Em suma, multiplica-se a superfície de ataque na Banca.
Uma Resposta de Segurança Holística
Dentro do PSD2, surgem as Normas Técnicas de Regulamentação (RTS), que procuram assegurar que os bancos cumprem todos os requisitos de segurança necessários à proteção do consumidor. Em Portugal, estas RTS entraram em vigor a 14 de setembro deste ano, através de mecanismos de autenticação segura. No entanto, cumprir as RTS obriga a Banca e os TPP a irem além da segurança do servidor e das API. Considerando que 60% dos ataques de roubo de dados, em 2019, ocorreram através de uma aplicação Web (segundo uma análise da Verizon), é crucial a adoção de segurança client-side, através da proteção do código JavaScript – usado para gerir a lógica das aplicações Web – e da monitorização das páginas Web em tempo real, de modo a detetar ataques Man-in-the-Browser e qualquer outro que interfira com o client-side.
Países como o Reino Unido detetaram uma clara incapacidade das suas instituições financeiras em adotarem respostas de segurança adequadas às ameaças da banca aberta. Em Portugal, é urgente que as instituições considerem o elo mais fraco da cibersegurança e implementem soluções holísticas que previnam que a falta de segurança client-side origine uma verdadeira corrida ao ouro.
Pedro Fortuna é CTO e cofundador da Jscrambler