Open Banking impulsiona inovação e introduz riscos para instituições financeiras

Em apenas alguns anos, o open banking — o uso de APIs abertas para permitir que terceiros criem produtos e serviços sobre as ofertas de bancos, seguradoras e outras instituições financeiras — mudou o cenário dos serviços financeiros.

A capacidade de alavancar produtos de serviços financeiros existentes para criar novas ofertas em áreas como empréstimos, pagamentos e seguros tornou muito mais simples para os consumidores concluir transações, gerenciar suas vidas financeiras e controlar seus dados pessoais. Ao mesmo tempo, os protocolos de API aberta estão impulsionando a inovação em serviços financeiros e criando fluxos de receita significativos para instituições financeiras. E com o novo lançamento da FDX API 5.0 , que codifica padrões para segurança, interoperabilidade e desempenho de API, bem como o próximo prazo de Autenticação Forte do Cliente (SCA) da PSD2 na União Europeia, mais inovação e novas oportunidades de receita certamente surgirão.

Mas onde há recompensa, invariavelmente há risco. Por natureza, as APIs abertas expõem dados internos e de clientes a terceiros, tornando esses dados mais vulneráveis ao acesso de pessoas mal-intencionadas. Isso é particularmente preocupante em relação aos agregadores de contas, que, como Mint e Plaid, oferecem serviços financeiros modernos aos consumidores. Continue lendo para saber como criminosos usam agregadores para atacar e fraudar bancos, seguradoras e outras instituições financeiras.

Risco acelerado: Como agregadores e provedores de pagamento terceirizados permitem o preenchimento de credenciais e a aquisição de contas

Os agregadores de contas financeiras podem agregar valor real aos consumidores, dando-lhes uma visão em uma única tela de sua vida financeira. Eles também beneficiam instituições financeiras ao reduzir o atrito das transações e criar novos fluxos de receita. É por isso que muitas instituições financeiras relaxam seus procedimentos de segurança ao se conectar com agregadores. Mas como podem armazenar dados de centenas de milhões de contas, os agregadores são alvos atraentes para criminosos — especialmente agregadores menores, que podem não ter o financiamento e a sofisticação de segurança de seus pares mais estabelecidos.

Enquanto isso, o crescimento de dados de contas roubadas disponíveis para criminosos está alimentando ataques automatizados de preenchimento de credenciais, nos quais criminosos tentam acessar contas usando botnets e credenciais roubadas. Esses ataques se tornaram um problema considerável para instituições financeiras, causando violações de dados substanciais e perdas financeiras consideráveis, a ponto de o FBI emitir recentemente um aviso formal ao setor financeiro dos EUA sobre a ameaça representada pelo credential stuffing .

O resultado mais alarmante do aumento do credential stuffing é o aumento de apropriações indébitas de contas (ATOs), nas quais invasores assumem o controle das contas às quais obtiveram acesso para drenar fraudulentamente os fundos dessas contas. De acordo com a Javelin Strategy and Research, em seu Estudo de Fraude de Identidade de 2021 , a fraude do ATO resultou em mais de US$ 6 bilhões em perdas totais em 2020.

A pesquisa também calculou o custo médio de ataques de preenchimento de credenciais, descobrindo — surpreendentemente — que ele pode chegar a mais de seis vezes a receita gerada por usuários ativos mensais.

Os riscos não param por aí e, infelizmente, são mais sérios do que alguns imaginam. Os criminosos sabem que o tráfego do agregador tem menos probabilidade de ser bloqueado, então eles gostam de usá-los como backdoors para entrar em instituições financeiras. Em 2019, por exemplo, a gigante de serviços financeiros NCR Corp. considerou necessário bloquear temporariamente o acesso de determinados agregadores à sua plataforma bancária digital quando descobriu uma onda de aquisições automatizadas de contas vindas deles.

Ao abrir APIs para agregadores, as instituições financeiras também aumentam o risco de desempenho do sistema, causando ou contribuindo para picos de tráfego. Isso ocorre em parte porque os agregadores estão entre os maiores usuários de APIs de open banking, gerando 20% do tráfego de um banco típico . Outro fator, de acordo com o FBI, é que ataques de preenchimento de credenciais podem colocar tanta pressão nos sistemas de autenticação de instituições financeiras que essas instituições se convencem de que estão enfrentando um ataque de negação de serviço .

O ponto principal é que o open banking expõe as instituições financeiras a riscos significativos e generalizados. É por isso que, na F5, estamos adotando uma abordagem estratégica para ajudar instituições financeiras a gerenciar e proteger APIs de open banking.

Ajudando instituições financeiras a adotar o open banking com segurança

A F5 já é líder no fornecimento de gerenciamento de API, gateways de API de alto desempenho e controles de segurança avançados em uma solução completa, reduzindo a proliferação de ferramentas e limitando a complexidade arquitetônica.

O F5 monitora tentativas de login em contas de instituições financeiras em tempo real, permitindo que as instituições financeiras diferenciem entre usuários reais, bots e automação e tentativas de fraude manuais (impulsionadas por humanos). Gostamos de pensar que essa é uma das razões pelas quais os 15 maiores bancos comerciais dos EUA usam soluções F5 . Agora, estamos inovando para ampliar nosso conjunto de soluções e fornecer suporte ainda mais abrangente para open banking.

Nos próximos meses, você verá mais da F5 sobre open banking, com foco em tópicos como melhor gerenciamento de tráfego de agregadores e proteção contra ataques de API.

Um exemplo é o nosso produto Aggregator Management, que fornece aos clientes do F5 na comunidade de open banking maior visibilidade do tráfego de API, detecção automática de preenchimento de credenciais, detecção de tráfego anômalo e a capacidade de limitar privilégios de acesso ao conteúdo para agregadores. Para instituições financeiras, isso significa um controle mais refinado sobre agregadores, melhor proteção das contas dos consumidores contra fraudes, melhor disponibilidade de aplicativos e menos riscos.

Fique atento! Enquanto isso, aprenda mais sobre os riscos do open banking e como evitá-los:

• Assista ao nosso webinar, Tendências, desafios e oportunidades do Open Banking , para saber mais sobre o Open Banking.
• Explore nossa solução de gerenciamento de agregadores .
• Explore um modelo para se proteger contra ataques de bots de open banking.
• Faça nossa avaliação de ameaças para ver quão eficaz é a segurança da sua API atual.
• Saiba como o F5 pode ajudar organizações a prevenir ataques ATO sem causar atrito para os usuários .
• Saiba como a tecnologia Shape ajudou um dos 10 maiores bancos norte-americanos a eliminar o preenchimento de credenciais .