Recentemente, foram apresentados projetos de lei no Senado dos EUA que dariam
Supervisão da Commodities Futures Trading Commission (CFTC) sobre criptomoedas, que os trataria como commodities digitais. Independentemente de o projeto se tornar lei, no entanto, bancos e instituições financeiras devem prestar muita atenção às criptomoedas,
se por nenhum outro motivo que não seja de uma perspectiva de segurança. Afinal, algumas organizações de serviços financeiros estão vendendo produtos de criptomoedas, como
Serviço de custódia de criptomoedas do US Bank. Mas há uma razão ainda mais importante para os bancos se preocuparem com as criptomoedas. É claro que os estados-nação estão se movendo na direção das moedas digitais, com alguns realmente as tendo emitido, como o
Dólar de areia das Bahamas. Até os Estados Unidos são
pesando seriamente a questão dos CBDCs e um dólar digital. Muitas das vulnerabilidades de segurança que as criptomoedas enfrentam também pertencem às moedas digitais do banco central (CBDCs).
Os consumidores que investem em criptomoedas geralmente armazenam suas criptomoedas em uma carteira digital que existe como um aplicativo móvel em seu smartphone. Os cibercriminosos estão bem cientes, o que significa que são alvos tentadores para ataques. E, como qualquer aplicativo, existem inúmeros métodos
para atacar uma carteira de criptomoedas, mas na minha experiência trabalhando com criptomoedas e como profissional de segurança, garantir que o aplicativo esteja protegido contra esses cinco ataques mais comuns aumentará muito a proteção fornecida aos consumidores.
Roubar chaves e senhas
A criptografia de chaves no nível do aplicativo é uma necessidade absoluta. Se as chaves não estiverem criptografadas em áreas de preferência, na caixa de proteção do aplicativo, no cartão SD ou em áreas externas, como a área de transferência, os hackers poderão roubá-las. Uma vez
eles têm as chaves, eles podem fazer o que quiserem com os fundos na carteira.
Se criptografado no nível do aplicativo, mesmo que o próprio dispositivo esteja comprometido, as chaves permanecerão seguras.
Ataques dinâmicos em chaves privadas
As chaves e frases secretas para uma carteira criptográfica também podem ser roubadas dinamicamente, o que significa que elas são de alguma forma interceptadas quando o proprietário da carteira digita os caracteres da chave ou frase secreta no aplicativo móvel da carteira criptográfica. Hackers normalmente usam um dos três métodos
para fazer isso:
-
Ataque por cima do ombro: historicamente, isso se refere a um hacker que está física e sub-repticiamente próximo o suficiente de um usuário para vê-lo inserir a senha na carteira criptográfica. Mas hoje, não há necessidade de estar lá na carne. Capturas de tela e tela
gravação pode ser abusada para este fim. -
Malware de registro de teclas: aqui, o malware é executado em segundo plano no aplicativo para capturar cada pressionamento de tecla e enviá-los aos cibercriminosos. O enraizamento (Android) e o jailbreak (iOS) do smartphone tornam o keylogging ainda mais fácil de realizar.
-
Ataque de sobreposição: nesse caso, o malware coloca uma tela, que pode parecer genuína ou transparente, que engana o proprietário da carteira criptográfica para inserir credenciais em um campo dentro do aplicativo da carteira ou em uma tela maliciosa. O malware transmite
as informações diretamente para os cibercriminosos ou assume a carteira diretamente para transferir os fundos da carteira para hackers.
A defesa contra essas ameaças exige que o aplicativo detecte keylogging, sobreposições e gravação, para que possa agir diretamente, avisando o proprietário da carteira ou até mesmo fechando o aplicativo completamente.
Instrumentação Maliciosa
A segurança de uma carteira móvel depende da integridade da plataforma que a executa, pois se o dispositivo estiver enraizado ou desbloqueado, ou se os hackers abusarem de ferramentas de desenvolvimento como Frida, eles podem obter acesso ao endereço blockchain do aplicativo cliente. Elas
pode até personificar o aplicativo para fazer transações por conta própria. Os aplicativos de carteira de criptografia móvel devem ser capazes de saber quando estão trabalhando em um ambiente com root ou jailbreak para que possam, se necessário, desligar para proteger o usuário. Eles também devem ser capazes
para bloquear Magisk, Frida e outras ferramentas de análise e instrumentação dinâmicas que podem ser abusadas para comprometer a integridade de funções críticas.
Tão importante quanto isso, os desenvolvedores devem ofuscar o código do aplicativo para que os hackers tenham muito mais dificuldade em fazer engenharia reversa do funcionamento interno e da lógica do aplicativo.
Ataques man-in-the-middle (MitM)
Muitas carteiras de criptomoedas fazem parte de trocas que podem ser descentralizadas ou centralizadas. De qualquer forma, as comunicações estão abertas a ataques MitM quando o aplicativo está se comunicando com um servidor ou durante transações ponto a ponto. Os dados em trânsito devem ser protegidos com
A criptografia AES-256 e a camada de soquete seguro (SSL) / segurança da camada de transporte (TLS) devem ser rigorosamente aplicadas para todas as comunicações.
Emuladores
Os hackers também podem fazer versões modificadas de aplicativos de carteira de criptomoedas. Eles também podem usar esses aplicativos modificados com simuladores e emuladores para criar contas fraudulentas, fazer negócios fraudulentos e transferir criptomoedas.
Os métodos de autoproteção de aplicativos em tempo de execução (RASP) e, especificamente, anti-adulteração, anti-depuração e detecção de emulador, são a chave para impedir esses tipos de ataques.
Mesmo para instituições financeiras não envolvidas em nenhum tipo de serviço de criptomoeda, é importante aprender com os desafios de segurança que os usuários enfrentam, principalmente quando se trata de carteiras de criptomoedas. O “dólar digital” pode não estar tão distante quanto pensamos,
e as instituições que estão preparadas para fornecer carteiras móveis seguras de CBDCs terão uma vantagem competitiva significativa.
- formiga financeira
- blockchain
- conferência blockchain fintech
- carrilhão fintech
- coinbase
- Coingenius
- fintech de conferência de criptografia
- FinTech
- app fintech
- inovação fintech
- Fintextra
- OpenSea
- PayPal
- tecnologia de pagamento
- via de pagamento
- platão
- platão ai
- Inteligência de Dados Platão
- PlatãoData
- jogo de platô
- navalha
- Revolut
- Ripple
- fintech quadrado
- listra
- fintech tencent
- fotocopiadora
- zefirnet
