BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Proteja a API FDX para defender dados em open banking

Miniatura F5
F5
Publicado em 10 de maio de 2021


No recente FDX Global Summit Spring 2021 , participei como palestrante representando a F5, junto com outros palestrantes da Cequence Security e da Mastercard-Nudata. Discutimos o trabalho do grupo de trabalho de segurança da API do FDX, que reúne instituições financeiras, agregadores e fornecedores de segurança para colaborar na definição de um padrão bancário seguro e aberto para compartilhamento de dados.

O Financial Data Exchange (FDX) é uma organização sem fins lucrativos focada no desenvolvimento do padrão FDX API (Application Programming Interface) para criar um padrão de dados interoperável comum. Isso permite que consumidores e empresas acessem seus dados financeiros de forma confiável e segura e definirá o padrão para o open banking nos Estados Unidos e Canadá.

O open banking apresenta uma oportunidade empolgante para maior inovação e colaboração no setor de serviços financeiros, fornecendo acesso para FinTechs e outros terceiros autorizados para inovar e fornecer serviços de valor agregado com informações financeiras do consumidor. Os padrões de open banking oferecem aos consumidores a capacidade de consentir e permitir acesso seguro e detalhado por terceiros a dados financeiros específicos do consumidor (por exemplo, saldos, transações) e funções (por exemplo, pagamentos). Há possibilidades interessantes para terceiros e FinTechs fornecerem serviços de valor agregado, incluindo:

  • Agregação de contas/serviços de várias instituições em um só lugar
  • Iniciação de pagamento
  • Comparação de produtos financeiros
  • Prestar serviços bancários ainda não prestados pela instituição
  • Forneça decisões/insights com base em dados financeiros, como verificação de identidade, avaliação de capacidade de crédito, etc.

A F5 tem trabalhado em estreita colaboração com nossos clientes de serviços financeiros em todo o mundo, implementando e protegendo APIs de open banking. A F5 e a Twimbit colaboraram para publicar pesquisas sobre as tendências mundiais em open banking.

Valor inerente das informações financeiras do consumidor

As informações financeiras do consumidor são uma mercadoria negociada em mercados da darknet por valores entre US$ 35 (para contas com saldos baixos que podem ser utilizadas como contas falsas para outras fraudes) e US$ 150 ou mais (para contas com saldos maiores). Esse valor relativamente baixo de informações financeiras do consumidor é resultado da enorme oferta de contas e credenciais comprometidas disponíveis. Os adversários, portanto, alavancaram a automação — APIs — para dimensionar suas operações, que negociam milhares de contas roubadas; portanto, as APIs financeiras se tornaram uma superfície de ameaça primária a ser protegida.

Atacantes focam em APIs em Open Banking

Ultimamente, os cibercriminosos que têm como alvo o setor de serviços financeiros estão começando a concentrar mais seus ataques em interfaces de programação de aplicativos (APIs). Os aplicativos migraram para um modelo cada vez mais distribuído e descentralizado, com APIs como pontos de conexão. A pesquisa mais recente da F5 mostra que o número de incidentes de segurança de API cresce a cada ano, e a maioria dos incidentes de API nos últimos dois anos estava relacionada a um baixo nível de maturidade de segurança, o que geralmente é causado pela proliferação de ferramentas. Diferentes equipes de desenvolvimento trabalhando em vários aplicativos geralmente usam conjuntos de ferramentas diferentes. Isso significa que as equipes de segurança tradicionais podem não ter um ponto de controle centralizado para impor a segurança. Isso requer um conjunto padrão de ferramentas para incorporar os controles corretos nos processos de desenvolvimento e gerenciamento de API.

Uma evolução — OFX e screen scraping

As APIs não são a única superfície de ameaça que requer atenção. Tradicionalmente, terceiros e agregadores financeiros que exigem acesso aos dados do consumidor aproveitam dois mecanismos:

  • OFX (Open Financial eXchange) — que foi criado inicialmente para conectar aplicativos financeiros de consumo (por exemplo, MS Money, Intuit QuickBooks) às instituições financeiras de um usuário.
  • Screen scraping — quando os consumidores fornecem suas credenciais bancárias a terceiros, e o terceiro efetua login e coleta essas informações do canal da web de serviços financeiros.

O OFX pode ser utilizado como um canal para adversários realizarem credential stuffing/validação de contas em larga escala e aquisição — tanto diretamente quanto por meio de agregadores financeiros:

  • O F5 observa regularmente que o OFX está sendo utilizado como um canal para adversários realizarem roubo de credenciais/validação de contas em larga escala e aquisição de controle, tanto diretamente quanto por meio de agregadores financeiros.
  • Fornecer credenciais para captura de tela a terceiros expõe essas credenciais à postura de segurança desse terceiro.
  • Esses mecanismos não fornecem ao consumidor consentimento preciso nem controle sobre quais informações o terceiro tem acesso, resultando em violações de privacidade.

A OFX se juntou à FDX e, por fim, se fundirá em um padrão unificado, representando a oportunidade de modernizar os controles de segurança e enfrentar os desafios de segurança do passado. Abordagens baseadas em captura de tela continuam sendo um desafio para instituições financeiras.

Recomendações para melhorar a segurança

O FDX publicou orientações abrangentes sobre os controles que devem ser implementados para proteger contra ameaças e riscos às informações das contas dos consumidores e à integridade dos serviços. Esses controles incluem:

Por fim, o guia de soluções de open banking do F5 fornece uma abordagem abrangente às soluções do F5 para open banking.

 

Agradecimentos especiais aos membros da nossa equipe de Serviços Financeiros que contribuíram para este artigo: Benn Alp, Chad Davis e Andy Franklin.