Home > Tendências

APIs estão se tornando alvo importante para ataques envolvendo credenciais

Novas pesquisas mostram que invasores usam APIs para automatizar ataques de preenchimento de credenciais. Setor financeiro é o mais vulnerável

Lucian Constantin, CSO

21/02/2020 às 18h00

Foto: Shutterstock

Novos dados da empresa de segurança e entrega de conteúdo Akamai mostram que uma em cada cinco tentativas para obter acesso não autorizado a contas de usuários agora é feita por meio de interfaces de programação de aplicativos (APIs) em vez de páginas de login. Essa tendência é ainda mais acentuada no setor de serviços financeiros, onde o uso de APIs é generalizado e, em parte, alimentado por requisitos regulatórios.

De acordo com um relatório divulgado nesta semana, entre dezembro de 2017 e novembro de 2019, a Akamai observou 85,4 bilhões de ataques de abuso de credenciais contra empresas que usam os seus serviços em todo o mundo. No setor financeiro, a porcentagem de ataques direcionados a APIs aumentou acentuadamente entre maio e setembro de 2019, chegando a 75%.

"O uso das APIs e a ampla adoção permitiram que criminosos automatizassem seus ataques", afirmou a empresa em seu relatório. "É por isso que o volume de incidentes de preenchimento de credenciais continua a crescer ano após ano e por que esses ataques permanecem como um risco constante em todos os segmentos de mercado."

O problema do preenchimento de credenciais

O preenchimento de credenciais, um tipo de ataque em que criminosos usam listas de combinações de nome de usuário e senha vazadas para obter acesso a contas, tornou-se um grande problema nos últimos anos. Isso é consequência do grande número de violações de dados na última década, que resultou na liberação de bilhões de credenciais roubadas publicamente na Internet ou vendidas em mercados na dark web.

CIO2503

E-book por:

Sabendo que os usuários reutilizam senhas em vários sites, os invasores usam as credenciais expostas nas violações de dados para criar as chamadas listas combinadas. Essas listas de combinações de nome de usuário e senha são carregadas em botnets ou ferramentas automatizadas e são usadas para inundar sites com solicitações de login, na tentativa de obter acesso.

No entanto, uma vez obtido o acesso, a extração de informações dos serviços afetados rastreando as páginas dos clientes exige algum esforço e personalização, enquanto a solicitação e extração de informações por meio de APIs é padronizada e adequada para automação. Afinal, o próprio objetivo de uma API é facilitar os aplicativos conversando entre si e trocando dados automaticamente.

"Quando se trata de preenchimento de credenciais, as APIs que estamos examinando usam REST [transferência de estado representacional] e SOAP [Simple Object Access Protocol] para acessar recursos", disseram os pesquisadores da Akamai. "Isso inclui páginas de resumo da conta com informações pessoais, registros e saldos, além de outras ferramentas ou serviços dentro da plataforma. Embora não sejam diretamente comparáveis, o REST e o SOAP são essencialmente métodos de comunicação entre aplicativos. O REST pode ser implementado de maneiras diferentes, dependendo do projeto. SOAP é um padrão para troca de dados."

O setor financeiro sob ataque

Embora as APIs sempre tenham existido nos sistemas operacionais e em outros ambientes, seu uso na Web registrou um grande crescimento na última década. Isso foi em parte alimentado pelo ecossistema móvel e pela adoção da infraestrutura de nuvem e a mudança para uma arquitetura orientada para serviços, em que aplicativos monolíticos tradicionais estão sendo substituídos por microsserviços em contêineres que lidam com funcionalidades individuais e se comunicam por meio de APIs.

A inovação no espaço da tecnologia financeira também pressionou as instituições a disponibilizar dados e serviços dos seus clientes por meio de APIs. De fato, a Diretiva de Serviços de Pagamentos (PSD2), que entrou em vigor na União Europeia (UE) em setembro, foi projetada para impulsionar o conceito e os princípios do sistema bancário aberto.

A PSD2 exige que os bancos e outras instituições financeiras que possuem contas de clientes possibilitem que serviços de terceiros verifiquem a disponibilidade de fundos, iniciem pagamentos ou acessem os dados da conta se os proprietários derem seu consentimento. A maneira mais comum de atender a essa solicitação é através do desenvolvimento de APIs, e a maioria dos bancos começou a implementá-las com bastante antecedência do prazo do PSD2.

Mesmo se não existissem requisitos regulatórios semelhantes em países não pertencentes à União Europeia, a força do mercado está empurrando as instituições financeiras na mesma direção, pois precisam inovar e acompanhar a concorrência. Os especialistas em segurança há muito expressam preocupações de que erros de implementação nas APIs bancárias e a falta de um padrão de desenvolvimento comum possam aumentar o risco de violações de dados.

Além da ampla adoção da API, os dados disponíveis para os serviços do setor financeiro sempre foram de grande interesse para os cibercriminosos, que podem monetizá-los de várias maneiras. Os dados financeiros são mais valiosos do que as informações que podem ser extraídas de outros tipos de serviços, tornando as APIs do setor financeiro um alvo mais atraente.

"Os criminosos ainda estão comprando, vendendo e negociando cartões bancários, credenciais financeiras e contas bancárias on-line rapidamente, porque a demanda por essas coisas permanece alta", afirmaram os pesquisadores da Akamai. "Alguns ativos comprometidos estão sendo trocados por dinheiro, enquanto outros estão sendo trocados por mais produtos em uma transação direta entre criminosos."

Além do preenchimento de credenciais e abuso de API, os criminosos também tentam outros tipos de ataques para obter acesso a dados financeiros. No período analisado de 24 meses, a Akamai observou 473 milhões de ataques de preenchimento de credenciais contra o setor financeiro, mas também 662 milhões de outros ataques a aplicativos da web. O principal tipo de ataque de aplicativo da Web ao setor de serviços financeiros foi a inclusão local de arquivos (LFI), com 47%, seguida pela injeção SQL (SQLi), com 36%, e o script entre sites (XSS), com 7,7%. Outros tipos de ataque observados incluem injeção de PHP, injeção de comando, inclusão remota de arquivos, injeção de OGNL e upload de arquivos maliciosos.

Falta de proteções de API

Os pesquisadores da Akamai identificaram diversos problemas com o desenvolvimento das APIs, o que facilita o abuso dos invasores. Por exemplo, algumas APIs não têm limite de taxa para tentativas de autenticação, o que permite que hackers executem dezenas de milhares de palpites de senha a cada minuto. Controlar solicitações de autenticação é uma boa prática, mas isso por si só não é uma defesa completa contra ataques de preenchimento de credenciais, porque os invasores podem configurar seus scripts para executar solicitações a uma taxa mais baixa e evitar serem bloqueados.

Outro problema é com as respostas de erro fornecidas pelas APIs para tentativas falhas de login. Geralmente, isso pode vazar informações sobre a existência ou não de um nome de usuário no serviço, e os criminosos se aproveitam disso para validar, ajustar e classificar suas listas de credenciais, dificultando a detecção de futuros ataques porque as taxas de erro acionadas serão mais baixas.

"Não são apenas serviços financeiros; todo mundo está sendo alvo de criminosos que usam e abusam de credenciais roubadas para alimentar suas empresas criminosas", escreveram os pesquisadores. "Uma das ferramentas para combater esse ataque contínuo é a confiança zero. À medida que a adoção dessa estrutura se espalhar, será mais difícil para os criminosos usar ataques passivos, como o preenchimento de credenciais, para conseguir uma posição em uma determinada rede."

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail