A equipe de pesquisadores do Netskope Threat Labs alerta sobre o risco do uso de aplicações pessoais e de IA generativa (GenAI) no setor de serviços financeiros. Segundo levantamento feito por eles, 95% das empresas de serviços financeiros usam aplicações de IA generativa, mas a questão é que as violações de política de dados em aplicações genAI identificadas estavam relacionadas a uma mistura aproximadamente igual de propriedade intelectual, código-fonte e dados regulamentados por leis como a LGPD (Lei Geral de Proteção de Dados).
CONTEÚDO RELACIONADO: Vazamentos de chaves Pix estão entre as principais ameaças da internet, aponta relatório
Outra questão é que 13% dos funcionários do setor de serviços financeiros carregam dados confidenciais em aplicações de nuvem pessoal. O mais preocupante é que 74% das violações de políticas de dados de aplicações pessoais envolvem uploads de dados pessoais e financeiros regulamentados.
Como forma de evitar vazamentos, 83% das organizações estão implementando controles para impedir o uso de nuvem pessoal por seus funcionários, mas isso ainda deixa algumas empresas potencialmente vulneráveis. Além disso, 90% das organizações do setor bloqueiam ativamente pelo menos uma aplicação de genAI, e o número de aplicações bloqueados por organização continua a crescer.
Estratégias mais detalhadas, incluindo prevenção de perda de dados (DLP) e treinamento de usuários em tempo real, ganharam popularidade este ano. Notou-se um aumento de 35% para 52% no uso de DLP para controlar a GenAI no setor ao longo do ano.
Ferramentas mais comuns
O ChatGPT continua sendo a IA generativa o mais usada em serviços financeiros, mas a adoção estagnou. O Microsoft Copilot teve um rápido crescimento ao longo do ano, assim como o Google Gemini, o Anthropic Claude, o assistente de escrita Quillbot e o assistente de apresentação Gamma.
Já os aplicativos de nuvem mais comuns são Google Drive e OneDrive, que ocupam a terceira e quarta posições como os destinos mais populares para atividades upstream, seja para carregar, publicar ou enviar dados para mídias sociais pessoais, armazenamento em nuvem, webmail e apps de IA generativa.
Isso demonstra a importância de insights contextuais dentro da política de segurança, o que ajuda a diferenciar entre instâncias corporativas e pessoais de aplicações que abrangem ambientes corporativos e pessoais.
Engenharia social
O relatório também apontou riscos de engenharia social. Mais de um em cada 100 usuários no setor de serviços financeiros encontram uma página de phishing ou tentativa de download de malware a cada mês. Quase 10 em cada 1.000 usuários são enganados para baixar malware, enquanto cerca de cinco em cada 1.000 visitam uma página de phishing.
Mais dados mostram que:
- A popular plataforma de compartilhamento de código GitHub foi a aplicação de nuvem mais popular para entrega de malware.
- Quase metade dos ataques de phishing rastreados imitaram aplicações de nuvem e instituições bancárias. A Microsoft foi a marca mais imitada entre os ataques de phishing de nuvem, enquanto DocuSign e Adobe baits também foram frequentemente usados para roubar credenciais de login para vários outros serviços.
- O poisoning (envenenamento), uma técnica de inclusão das páginas de phishing nos resultados dos mecanismos de busca (SEO) se mostra cada vez mais como uma técnica eficaz para enganar funcionários do setor financeiro, que acabam caindo no golpe e baixando malware.
O Netskope Threat Labs recomenda que as organizações de serviços financeiros revisem sua postura de segurança para garantir que estejam protegidas de forma adequada contra o risco em aplicações pessoais, em IA generativa e tendências de risco de engenharia social destacadas neste relatório.
As informações apresentadas neste relatório são baseadas em dados de uso anônimos coletados pela plataforma Netskope One relacionados a um subconjunto de clientes da Netskope com autorização prévia.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).
