.
Atualizada O maior banco dos Estados Unidos repele 45 mil milhões de tentativas de ataques cibernéticos por dia, afirmou um dos seus líderes no Fórum Económico Mundial em Davos.
Mary Callahan Erdoes, CEO do JPMorgan Chase responsável pela gestão de ativos e patrimônio, revelou ontem o número durante uma discussão sobre o futuro do setor bancário, acrescentando que o número é o dobro do que a instituição enfrentou no ano anterior.
“Temos 45 mil milhões – mil milhões – de falhas no nosso sistema que não conseguem passar, não anualmente, mas diariamente”, disse ela à audiência. “Há pessoas tentando invadir o JPMorgan Chase 45 bilhões de vezes por dia. Esse número é o que é.”
O JPMC, o maior banco dos EUA em valor de mercado, também afirma ter 62 mil tecnólogos trabalhando para proteger ativos corporativos – um número que Erdoes afirma estar no topo da contagem de engenheiros no Google ou na Amazon.
“Por quê? Porque precisamos”, disse Erdoes.
OK, é aqui que trazemos isto de volta à Terra: 45 mil milhões é muito. Isso é uma média de 521.000 por segundo por dia. Mas todos nós sabemos que isso envolverá principalmente varreduras de portas, verificações automatizadas de serviços vulneráveis conhecidos e coisas semelhantes. Não serão 45 bilhões de ataques totalmente formados por dia; é mais uma indicação da quantidade de tráfego lançada nos limites da rede do JPMC.
Imaginamos que a maior preocupação do banco não seja o volume de cutucadas que está recebendo, mas sim que onda após onda de conexões possa estar mascarando tentativas mais sofisticadas e tangíveis de invadir suas redes. É uma tática usada pelos criminosos: distraia os administradores de TI com um monte de tráfego de aparência suspeita enquanto se infiltra por meio de algum serviço silencioso e vulnerável ou de um e-mail de spear-phishing.
Um grande desafio será determinar todas as varreduras e estimular as tentativas reais de intrusão legítimas.
E não se esqueça de informar ao WEF sobre a contagem de pacotes descartados no firewall.
Dito isto, não é surpresa que o JPMorgan Chase, com o seu alto perfil num dos setores mais visados pelos cibercriminosos, enfrente tantas investigações e estímulos: há muito dinheiro a ser desviado do gigante financeiro, que informou US$ 3,9 trilhões em ativos no quarto trimestre [PDF] ano passado.
Um relatório do Banco de Inglaterra solidifica ainda mais o risco percebido de ataques cibernéticos no mundo bancário, com tais incidentes no topo da lista daquilo que os executivos bancários consideram as suas principais ameaças e maiores desafios.
No entanto, mesmo níveis épicos de investimento em pessoas e tecnologia não foram suficientes para instituições como o JPMorgan.
O JPMC foi condenado a enfrentar uma ação judicial em janeiro de 2023 movida por uma subsidiária da megafirma de óculos EssilorLuxottica, que alegou que o banco foi negligente ao ignorar sinais de fraude. Essa negligência, afirma a denúncia, permitiu que os cibercriminosos fugissem com 272 milhões de dólares em fundos do braço industrial da Essilor ao longo de 243 transações fraudulentas.
“Fraudadores [are getting] mais inteligente, mais esperto, mais rápido, mais tortuoso e mais travesso”, disse Erdoes ontem em Davos.
“Eles vão ao escritório de advocacia que está lhe enviando um e-mail, assumem o e-mail e enviam ao banco uma nota dizendo ‘por favor, envie o dinheiro para cá’”, acrescentou ela, quase como se estivesse abordando o assunto da Essilor. “Isso está acontecendo diariamente em todo o mundo… estar um passo à frente é o trabalho de cada um de nós.”
Para além de lapsos de julgamento que permitem a proliferação de fraudes, o JPMorgan Chase também cometeu erros técnicos internos que lhe custaram milhões – um número reconhecidamente pequeno para uma empresa que teve um lucro líquido de 9,3 mil milhões de dólares no quarto trimestre do ano passado. Em junho, a SEC multou a empresa em US$ 4 milhões por excluir milhões de e-mails, o que significa que o banco não foi capaz de entregar comunicações que a SEC intimou em uma dúzia de investigações regulatórias.
Acidentalmente, é claro. ®
Atualizado para adicionar na sexta-feira, 19 de janeiro
Acho que estávamos certos em ser cínicos sobre isso. Um spinner do JPMorgan Chase entrou em contato para esclarecer que Erdoes citou um número que aparentemente incluía todos tentativas de conexão não apenas as potencialmente maliciosas. Portanto, não serão 45 bilhões de tentativas de ataques cibernéticos por dia; são 45 bilhões de eventos nos limites da rede.
“A Sra. Erdoes estava se referindo à atividade observada coletada de nossos ativos tecnológicos, maliciosa ou não”, disse-nos hoje um porta-voz do banco.
“Essa atividade é então processada por nossa infraestrutura de monitoramento. Exemplos de atividades podem incluir logins de usuários, como desktops virtuais de funcionários, e atividades de varredura, que geralmente são altamente automatizadas e não direcionadas.”
.
