Atendimento WhatsApp
Image

Somos um Hub de soluções líderes de mercado com a aplicação de Inteligência Artificial para segurança e proteção de dados da sua empresa

Alameda Santos, 1165 Conj 111 - Jardim Paulista - São Paulo, SP - Brasil

+55 11 3090-7642

O que querem os criminosos com ataques de APIs
abril 08, 2022
admin by admin

O que querem os criminosos com ataques de APIs

Os Invasores perceberam que as APIs (Application Programming Interface) são um alvo atrativo e elas se tornaram seu foco principal. Por trás de cada API de serviços financeiros, existem dados valiosos que incluem informações pessoais e financeiras confidenciais. Elas também revelam como cada serviço funciona e oferecem uma oportunidade para os invasores entenderem e manipularem a lógica de negócios e sondar em explorarem suas vulnerabilidades

O relatório Salt of State of Security Q3 2021 revelou que nos seis primeiros meses de 2021, o tráfego de APIs aumentou 141% em toda a base de clientes, enquanto o tráfego malicioso aumentou o triplo, 348%. Isso é um sinal claro de que as APIs são cada vez mais o foco dos invasores.

O mercado financeiro sente um aumento significativo no volume e na sofisticação dos ataques às Apis. Grandes empresas se tornam manchetes de violações e exposição de vulnerabilidades todo dia.

Objetivos das invasões de APIs de serviços financeiros

Os invasores que têm como alvo as APIs de serviços financeiros normalmente são motivados por esses objetivos:

  • Invasão de conta. Sistemas de autenticação recebem ataques de força bruta de preenchimento de credenciais que permitem que os Invasores entrem na conta dos clientes e façam saques em seu dinheiro.
  • Transações fraudulentas. Os Invasores exploram as vulnerabilidades da API e manipulam a lógica para realizar transações fraudulentas.
  • Infiltração de dados. As vulnerabilidades das APIs são exploradas para obter acesso não autorizado. São dados confidenciais, como detalhes da conta e outras informações pessoais. Um invasor sofisticado consegue automatizar ataques para vasculhar lentamente dados de milhares de usuários. Assim, encontra uma vulnerabilidade que permite o acesso a um banco de dados inteiro e grandes volumes de dados.
  • Interrupção de serviço. Ao contrário dos ataques de negação de serviço distribuída (DDoS), que usam um grande volume de dados, uma única chamada de API criada de forma sutil pode novamente deixar os serviços lentos indisponíveis. Esses tipos de ataques de negação de serviço não são bloqueados pela proteção de DDoS e definição de taxa limite.

Impactos dos ataques de APIs a serviços financeiros

Se um invasor tiver sucesso em qualquer um dos ataques acima, sua empresa poderá sofrer uma ou mais destas consequências:

  • Impacto na receita. Dependendo do país onde a conta do cliente está, as instituições financeiras podem ser responsáveis pelo valor total perdido como resultado de uma transação fraudulenta. Em muitas jurisdições, o consumidor tem responsabilidade limitada e, em algumas, nenhuma responsabilidade. O que significa que a instituição financeira pode ser responsável pelo montante total da perda.
  • Multas de conformidade. As empresas podem ser obrigadas a pagar multas de acordo com lei. Ou outras as empresas podem ter que pagar multas se os dados do cliente foram perdidos ou expostos. De acordo com a LGPD (Lei Geral de Proteção de Dados), as multas por exposição de dados privados podem chegar a R$ 10 milhões ou 2% do faturamento global anual, ou o que for maior. Isso por um único incidente. Algumas prescrições inclusive exigem o pagamento da multa até que a empresa resolva a questão relacionada à perda de dados.
  • Impacto na confiança do cliente e reputação. A reputação é tudo no mercado altamente competitivo das instituições financeiras. A viabilidade do negócio depende da aquisição e retenção de clientes e conexões. Por isso, em todo o ecossistema de parceiros, uma violação pode afetar muito a confiança.  E com a grande oferta disponível, os clientes podem optar por outros serviços e os parceiros podem procurar outros provedores.

Salt Security: big data e IA a favor da segurança das APIs

A SALT é uma solução que combina Big Data e Inteligência Artificial para identificar potenciais ameaças por contexto, melhorando a sua postura de segurança em APIs. É primeira plataforma patenteada da indústria para evitar a próxima geração de ataques de API, usando proteção comportamental. Saiba mais no vídeo abaixo:

Mais sobre ataques a APIs

Próximos posts

  • Conheça os maiores desafios para a proteção de APIs
  • Por que os métodos tradicionais não protegem as APIs
  • O que é necessário para proteger as APIs de serviços financeiros
  • Proteção de APIs de serviços financeiros com a Salt
Posted in security