* Por Flavio Silva
O PIX, novo sistema de pagamentos do Banco Central, entrou em vigor no dia 16 de novembro e promete mudar a forma como se realizam transações financeiras no Brasil. Com a possibilidade de efetivação em questão de segundos e a qualquer hora do dia ou da noite, o serviço deverá ser gratuito e promete estimular os pagamentos digitais entre consumidores e empresas.
Ao mesmo tempo em que apresenta uma nova forma de transacionar recursos e realizar pagamentos, a novidade também deve atrair a atenção de criminosos digitais, que já estão muito ativos nesse segmento no Brasil. Estudo recente da Trend Micro mostra que o país figurou no top 5 entre os que mais detectaram ameaças em pontos de venda (PoS), com pouco mais de 18% do total mundial em agosto. Isso representa um aumento em relação aos números de julho, quando tinha 13%.
Pela ótica corporativa, o grau de atenção para riscos e fraudes cibernéticas precisa ser elevado. As estratégias de gestão de fraude das instituições financeiras precisam levar em consideração todos os tipos de informação sobre as operações, monitorando todas as transações em tempo real e com recursos de inteligência artificial balizadas com ferramentas de segurança da informação que possam identificar rapidamente esquemas de fraudes.
O usuário, por sua vez, também deve ficar atento. Com a possibilidade de cadastrar a chave do PIX com o e-mail, existe o risco de aumentarem os ataques cibernéticos por spams, phishing e outros métodos de comprometimento de mensagens eletrônicas. Todo e qualquer tipo de ataque que envolva engenharia social, quando uma pessoa se passa por outra, apresenta grandes riscos para as operações do PIX. Além disso, endereços de web (URL) maliciosos e QR Codes falsos também são motivos de atenção para evitar fraudes.
Do ponto de vista empresarial, a gestão de pessoas que estão diretamente ligadas à área financeira das corporações também apresenta riscos. Esse público tem probabilidade maior de ser vítima desses golpes. Ao mesmo tempo em que há uma série de ferramentas de tecnologia que podem mitigar riscos atrelados ao uso de engenharia social para cometer o cibercrime, a conscientização dos usuários para adotar melhores práticas na condução da operação no dia a dia corporativo também se faz essencial para conter fraudes.
Como as pessoas constituem o elo mais fraco, é fundamental que as empresas reforcem seus aparatos de tecnologia de segurança da informação para dar o suporte necessário a fim de evitar que os colaboradores ponham em risco operações corporativas ligadas ao PIX.
No caso das tecnologias, diversas ferramentas podem contribuir para reforçar a segurança. No caso de engenharia social, por exemplo, uma boa tecnologia de proteção de e-mails já pode servir para isolar vetores de ataques por mensagens eletrônicas.
Ampliando para um cenário em que boa parte das pessoas segue trabalhando remotamente, ferramentas que assegurem a troca de informações em um ambiente controlado (sandbox) também se fazem cruciais. É importante optar por aquelas que propiciem visibilidade para os times de segurança da informação das empresas. Com o domínio dessas ferramentas, a possibilidade de detectar padrões nocivos de incidências cibernéticas permite mitigar e eliminar riscos, correlacionando informações. Checagem de domínios de web e QR Codes, que serão muito utilizados no sistema do PIX, também demandará das empresas a aplicação de ferramentas de segurança.
Por ser uma novidade, tanto para as empresas como para os usuários de uma maneira geral, o PIX levanta uma nova brecha para que atacantes vejam nesse novo sistema uma oportunidade para cometer ataques fraudulentos. E não seria estranho imaginar que os cibercriminosos já estão ativos e a todo o vapor com objetivo de tirar vantagens ilegais. Com foco na realidade brasileira, pesquisas, inclusive as realizadas pela Trend Micro, indicam que o perfil dos ciberatacantes no país é historicamente relacionado a fraudes ligadas a transações financeiras, como roubo de senhas e dados de cartão de crédito. Com o ingresso do PIX como uma nova maneira de transacionar recursos e realizar pagamentos digitais, os ciberatacantes no Brasil vão buscar mecanismos para praticar ações ilícitas em benefício próprio, e é possível que cresça a incidência de fraudes cibernéticas no setor financeiro.
As empresas, e nesse caso as diretamente ligadas ao setor financeiro, precisam ter a consciência de que a segurança da informação muitas vezes pressupõe mitigação de risco extremamente elevada, mesmo que signifique impacto na usabilidade ou no desempenho do negócio. Buscar proteção do ambiente corporativo as vezes impacta na agilidade da operação digital. O objetivo não é engessar a condução da área de negócios, mas sim buscar o equilíbrio que propicie a máxima proteção das informações e boa fluidez na operação do negócio. Não é uma decisão fácil para os gestores optar entre desempenho e segurança. Mas entender que a segurança da informação é tão crucial para o negócio como a parte da operação em si faz com que a conscientização aumente, e as pessoas que compõem a organização — incluindo a alta liderança — passem a ter uma postura de segurança da informação mais elevada. O PIX veio para facilitar a forma como se transacionam recursos financeiros no Brasil, mas deve também servir para que possamos aumentar nossa consciência sobre cibersegurança e usar o novo recurso de forma segura.
* Flavio Silva é Coordenador de Tecnologia da Trend Micro Brasil.