Constantes formas de fraudes eletrônicas são criadas para manipular usuários, com objetivo de roubar informações, acessos, controle e até mesmo dinheiro. Empresas precisam pensar em proteção além do perímetro dos servidores e aplicações. É necessário ir além, garantindo a segurança de quem está acessando, validando a identidade e diminuindo risco ao negócio.
Do outro lado, os usuários, querem acesso rápido e simples. Como balizar facilidade de acesso e garantir segurança em um nível aceitável? Vamos tratar sobre algumas soluções que vem sendo empregada no mercado, pontos positivo e negativo de cada uma.
Phishing, Malware, Bot, mala direta, computador desbloqueado, senhas anotadas em papel, Virus, Plugin, cracking, a lista relacionada ao risco comprometendo acesso e a identidade é bastante ampla. A melhor forma de mitigar é conscientizado os usuarios das aplicações, porem quando se tem uma base de milhares de usuários com perfis totalmente distintos, é necessario pensar em alguma solução que aumente a segurança para diminuir o risco ao negocio como um todo.
Hoje praticamente tudo pode ser realizado por meio da internet, pagamentos de contas, compras, declaração de imposto de renda, trabalho remoto, etc.
Devemos manter um nível de segurança saudável, para todas as atividades realizadas na web. Desde o ambiente dentro de casa, acessando a internet via um roteador wireless com uma senha de criptografia forte, seja acessando via modens 3G/4G garantindo que o dispositivo utilizado esteja atualizado contra falhas de segurança, e até mesmo no ambiente corporativo, com um Next Generation Firewall, proxy web, URL filtering, entre outras.
Há um grande desafio para empresas que têm o negócio focado na web, como um internet banking, site de e-commerce, transação bancária, entre outros, que procuram soluções que diminuam o risco e perdas ao negócio.
Empresas de cartão de crédito, investem em sistemas antifraude, redes neurais e inteligência artificial, que em milésimos de segundos, analisam a transação realizada com o perfil do comprador, aprovando ou não uma transação.
E-commerce acaba trabalhando com tecnologia de criptografia, autenticação e empresas terceiras que realizam validações extras no cartão para pagamento seguro.
Bancos investem em diversas tecnologias como criptografia forte, tokens randômicos, módulos de proteção cliente, web application firewall, entre outras.
Porém com tantos investimentos de proteção, se o usuario cair em uma armadilha e passar dados reais para uma pessoa mal intencionada, provavelmente a fraude ocorrerá. Dentre as formas de interceptação de dados de usuarios podemos destacar:
- Phishing: por meio de sites ou emails falsos, pescam usuários desatentos, roubando informações coletadas pelo acesso promovido pelo usuário no site forjado.
- Malware: uma vez o dispositivo infectado, esses códigos maliciosos cada vez mais agnósticos, driblam muitos mecanismos de defesa e coletam informações digitadas, como usuário e senha.
- Man-in-the-middle: é interceptado o tráfego entre o usuário final e da aplicação. O atacante consegue adquirir a chave de criptografia do usuário se passando pela aplicação fina. Com base nas informações adquiridas estabelece uma conexão segura com a aplicação, utilizando as informações interceptadas do usuário atacado.
Os mecanismos de exploração são bastante especficos e a melhor forma de proteção contra ataques é monitorando a ponta, o usuário.
Existem soluções como o módulo de segurança Warsaw da GAS, aplicativo cliente que deve ser instalado na máquina do usuário antes do acesso à aplicação, que garante integridade de acesso, fixando o endereço IP ao domiíio da aplicação no host da maquina, não deixando outros plugins maliciosos agirem no navegador, criptografia, entre outras. Realiza boa proteção, porém esse método acaba sendo intrusivo, pois obriga a instalação de um aplicativo na máquina, que de certa forma acaba impactando na performance do navegador e é limitado a determinados sistemas operacionais.
Outra solução é o módulo Websafe da F5, que atua de forma transparente, o qual no primeiro acesso, injeta um script no browser do usuário. A partir daí, existem validações da interação do usuário apenas com essa aplicação do tipo: criptografia de campos específicos do formulario da aplicação com chave randômica, alerta e proteção contra malware instalado na máquina cliente, análise da transação, detecção de phishing, entre outras. Acaba sendo uma solução menos intrusiva. Pode ser utilizada em diversos tipos de sistemas operacionais e navegadores, porem é necessário um primeiro acesso no site real para se obter segurança.
Complementando os mecanismos de proteção dos usuários, empresas investem em serviços de takedown para indisponibilizar sites falsos que realizam Phishing. Normalmente existe uma equipe de SOC (Security Operation Center) que monitora acessos e sites fictícios e realizam takedown desses serviços falsos, diminuindo a possibilidade de fraude à aplicação e ao negócio.
Independente da tecnologia a ser adotada, sempre haverá novos tipos de ataques e soluções para mitigá-los. Podemos dizer que nada é 100% seguro, porém podemos reduzir o risco adotando boas práticas e uso de tecnologias inovadoras.