Confiáveis, credenciados, perigosos: a nova ameaça interna que os bancos enfrentam.
Quando algo se torna o novo normal, deixa de ser percebido. Os bancos são alvos de ameaças cibernéticas. Os atores geopolíticos atacam seus adversários. Invasões de segurança diárias raramente chegam às manchetes.
Bocejar. É terça-feira.
O que não é normal é o seguinte: os atacantes já estão dentro da sua rede, e a motivação deles não é dinheiro, como nos fizeram acreditar.
Em março de 2026, o Departamento do Tesouro dos EUA confirmou que trabalhadores de TI norte-coreanos geraram quase US$ 800 milhões trabalhando legalmente em redes de empresas americanas. Esse dinheiro foi canalizado para atividades militares e políticas, não para ganho pessoal.
Ao mesmo tempo, o Irã nomeou publicamente bancos dos EUA como alvos militares e implantou um malware de destruição de dados usando credenciais de administrador roubadas. O objetivo não era roubar dinheiro, mas sim apagar servidores e encerrar as operações por completo.
São trabalhos internos, executados com acesso concedido, não roubado.
O acesso por meio de credenciais tornou-se a principal via de ataque, expondo uma brecha que os controles de segurança tradicionais nunca foram projetados para lidar.
Para solucionar esse problema, os bancos devem se concentrar em limitar a movimentação lateral e conter as ameaças já presentes em seu ambiente, e não apenas em impedir o acesso inicial.
O acesso legítimo é um importante vetor de ataque.
Essas ameaças patrocinadas pelo Estado, que têm como alvo os bancos neste momento, têm uma coisa em comum. O ataque não consegue romper suas defesas. Isso combina com eles.
Na recente Conferência RSA em São Francisco, Andy Ozmet, Diretor de Risco Tecnológico da Capital One, alertou que agentes norte-coreanos estão conseguindo empregos remotos em instituições financeiras americanas usando identidades americanas roubadas.
Eles estão passando por verificações de antecedentes, recebendo laptops corporativos e acessando redes bancárias com credenciais válidas emitidas pelas próprias instituições. O FBI vem alertando desde janeiro de 2025 que esses trabalhadores também roubam dados confidenciais e se posicionam para sabotagens a longo prazo.
Além disso, após os ataques militares dos EUA e de Israel no final de fevereiro de 2026, o comando militar do Irã emitiu uma declaração pública nomeando explicitamente bancos ligados aos EUA como alvos militares. Em poucos dias, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um alerta de emergência para instituições financeiras, confirmando que o vetor de ameaça já estava em uso.
O grupo Handala Hack, ligado ao Irã, demonstrou o método. Eles roubam as credenciais de um administrador por meio de phishing, acessam o Microsoft Intune com permissões legítimas e apagam dezenas de milhares de sistemas em dezenas de países.
Em ambos os casos, os atacantes possuem credenciais, são confiáveis e se movem livremente pela sua rede.
Os pontos cegos que os bancos não corrigiram
O relatório "Custo dos Riscos Internos: Relatório Global de 2026 do Instituto Ponemon" documenta múltiplos casos de funcionários de bancos que utilizaram acesso legítimo para auxiliar redes criminosas. Isso inclui um especialista em detecção de fraudes que compartilhou dados financeiros de clientes com uma quadrilha criminosa e um funcionário de banco preso por lavagem de dinheiro em nome de criminosos.
Essas credenciais não foram roubadas. Eram funcionários verificados, com antecedentes criminais aprovados e acesso válido. A suposição de que uma identidade conhecida equivale a um comportamento confiável está errada — e tem estado errada há anos.
O que torna o momento atual estruturalmente diferente é o ponto em que essa exploração entra em cena. Na RSAC 2026, Ozmet explicou que os recrutadores tendem a se ver como o rosto amigável da instituição, em vez de gestores de risco corporativo.
O resultado é que o processo de contratação — o momento em que um agente estrangeiro recebe credenciais válidas da sua própria equipe de TI — fica em uma espécie de limbo organizacional, onde ninguém detém a responsabilidade pela segurança.
Os bancos construíram defesas em camadas em torno de suas redes. Eles não construíram defesas equivalentes em torno do processo que determina quem tem acesso a essas redes em primeiro lugar.
Esse é o ponto cego. E não se trata de uma lacuna tecnológica. É uma lacuna de governança.
O monitoramento de fraudes foi desenvolvido para detectar anomalias financeiras, como transações incomuns, transferências suspeitas ou desvios comportamentais nos padrões de gastos. Nunca foi projetado para detectar um agente com motivações políticas que aparece na hora, faz o seu trabalho e se move lateralmente pelos seus sistemas com total plausibilidade.
O monitoramento de transações não consegue identificar um agente norte-coreano que não esteja roubando dinheiro. Os controles de perímetro não conseguem impedir um agente iraniano que já possui a senha de administrador.
Os controles nos quais a maioria dos bancos mais investiu são precisamente as ferramentas erradas para a ameaça que enfrentam neste momento.
Seu órgão regulador está fazendo a mesma pergunta.
Em 3 de março de 2026 — nove dias antes de o Irã nomear publicamente bancos dos EUA como alvos militares — o Departamento de Serviços Financeiros do Estado de Nova York (NYDFS) enviou uma carta do setor aos CISOs de todas as instituições que regula.
O Departamento de Serviços de Incêndio de Nova York (NYDFS) destacou três controles específicos:
- Acesso com menos privilégios
- Monitoramento aprimorado para atividades não autorizadas
- Testes de resiliência operacional
Ao comparar esses três controles com tudo o que foi dito acima, percebe-se que o alinhamento não é mera coincidência:
- Acesso com privilégios mínimos. Isso limita o quanto um invasor com credenciais, seja um agente norte-coreano ou um agente iraniano com direitos de administrador roubados, pode se mover depois de entrar no sistema.
- Monitoramento de atividades não autorizadas. É assim que você detecta a movimentação lateral de alguém que passou pelo seu processo de contratação.
- Testes de resiliência operacional. Esse É assim que você verifica — e não presume — que sua arquitetura de contenção realmente funciona sob pressão.
O NYDFS não está descrevendo os requisitos futuros. Todas as instituições regulamentadas pelo NYDFS devem certificar a conformidade com a Parte 500 até abril de 15, 2026.
O debate sobre regulamentação e o debate sobre ameaças agora são o mesmo debate. A maioria dos bancos ainda os mantém em salas separadas.
A pergunta que realmente importa
Os bancos passaram anos construindo muros para se protegerem das ameaças. Mas esses muros são inúteis contra o acesso legítimo. Quer o agente seja contratado diretamente, roube credenciais ou use um sósia para um teste de drogas, ele já ultrapassou o limite.
Eis a pergunta que todo CISO precisa ser capaz de responder por si mesmo:
Se um usuário credenciado em sua rede começasse a se mover lateralmente agora, até onde ele chegaria, com que rapidez você perceberia e o que o impediria?
A questão já não é se os bancos precisam de agir no que diz respeito à contenção dos movimentos laterais. A questão é se os bancos conseguem demonstrar que agiram — perante o conselho de administração, o órgão regulador e perante si próprios.
Veja como Illumio ajuda instituições financeiras Reduzir riscos e manter a resiliência operacional.
.webp)
.webp)
