Os novos riscos da diretiva de pagamentos

Miguel Pupo Correia entende que “a diretiva impõe a violação de uma regra básica de segurança que é não partilhar senhas e a superfície de ataque.
Os novos riscos da diretiva de pagamentos
Miguel Pupo Correia: no digital a confiança conduz a vulnerabilidades.
DR
Filipe S. Fernandes 08 de outubro de 2019 às 13:00
"Um desafio importante da participação das instituições financeiras em ecossistemas, é o de que estes muitas vezes são baseados em confiança e, no caso da Internet e do mundo digital, a confiança leva a vulnerabilidades e permite ataques", afirmaMiguel Pupo Correia, professor associado do Instituto Superior Técnico.

Refere dois exemplos. O primeiro aconteceu com a SWIFT, uma plataforma que é há décadas utilizada por bancos de todo o mundo para fazer transferências. "Em 2015/16 esta plataforma foi usada para roubar cerca de 100 milhões de euros a um pequeno conjunto de bancos. A vulnerabilidade que o permitiu estava relacionada com a confiança que os bancos depositam nas mensagens recebidas da rede SWIFT. Tecnicamente era uma vulnerabilidade de autenticação e autorização", explica Miguel Pupo Correia.

O segundo tem a ver com aspetos positivos para a economia, tais como a liberalização dos setores, que permite a criação de serviços inovadores e úteis para as pessoas. Contudo, este ecossistema, e a maior digitalização e interligação, inerentes ao negócio das fintechs, criam novos desafios em termos de cibersegurança.

Miguel Pupo Correia sublinha que caso interessante "é o da recente diretiva europeia PSD2 (Payment Services Directive)", a qual obriga os bancos a criarem interfaces para interligação a apps móveis e outras aplicações de terceiros, por exemplo, de fintechs. Impõe que os bancos permitam que essas apps e aplicações realizem operações sobre as contas bancárias dos seus clientes.

Segundo Miguel Pupo Correia "a diretiva impõe a violação de uma regra básica de segurança: não partilhar senhas. Além disso, aumenta a assim chamada superfície de ataque: a segurança das contas dos clientes dos bancos passa a depender não apenas do software dos próprios bancos , mas também do software dessas third parties, que está totalmente fora do seu controle", conclui Miguel Pupo Correia. 


As portas de entrada do cibercrime

É difícil listar vulnerabilidades técnicas concretas, que aparecem e são resolvidas a ritmo elevado, mas podem ser referidos alguns dos vetores de ataque críticos, segundo Miguel Pupo Correia.

Os utilizadores, clientes dos bancos
São um vetor importante pois são humanos, logo cometem erros, e muitas vezes estão pouco alerta os comportamentos de risco, como, por exemplo, fornecer senhas a terceiros ou usar apps com permissões excessivas.

Os funcionários dos bancos
Nem sempre agem segundo as regras de segurança e, muitas vezes, abrem mensagens de correio eletrónico contendo malware ou ligam aos computadores ou à rede interna do banco dispositivos comprometidos (telemóveis, computadores pessoais, pen drives, etc.).

Software
As apps e aplicações web de homebanking, que como tantas outras estão sujeitas a conterem vulnerabilidades de software.

Interligação
A interligação com software de third parties possibilitada pela diretiva PSD2.

Autenticação
Os problemas de autenticação na rede SWIFT, já que esta suporta a interligação fácil com bancos em pontos distantes do globo. A exposição dos terminais ATM a ataques contra a autenticação dos clientes através de cartão e senha (skimming) e outros ataques informáticos.



Marketing Automation certified by E-GOI