Engenharia social é a principal ciberameaça para bancos das Filipinas

ESQUEMAS DE ENGENHARIA SOCIAL, tais como golpes de phishing, foram a principal ciberameaça que afetou os bancos filipinos no primeiro semestre de 2025, representando um risco persistente para o sistema de pagamentos digitais do país, afirmou o Bangko Sentral ng Pilipinas (BSP).

Com base na vigilância de ciberameaças do BSP no primeiro semestre de 2025, a engenharia social, a apropriação de contas e o roubo de identidade representaram 76% do valor total perdido devido a fraude financeira no período.

"Isto reflete efetivamente o que outros supervisores estão a observar. Estamos a ver que a engenharia social continua a ser o maior impulsionador das ameaças relacionadas com o ciberespaço", disse a Vice-Governadora do BSP, Lyn I. Javier, durante uma sessão de informação para os meios de comunicação social na cidade de Dumaguete, na segunda-feira.

"Portanto, estamos a ver phishing, vishing e smishing — voltando a destacar o elemento humano, explorando a confiança do público ou das pessoas. É uma vulnerabilidade que estes agentes de ameaças estão a explorar apenas para implementarem os seus esquemas ou golpes."

O phishing envolve o uso de e-mails fraudulentos, mensagens de texto ou ligações para roubar informações pessoais, financeiras ou da conta. O vishing, ou voice phishing, é uma forma de phishing que utiliza chamadas telefónicas ou mensagens de voz, enquanto o smishing é feito através de mensagens de texto.

Entretanto, o hacking foi a segunda ciberameaça mais comum no sistema bancário, representando 13% das perdas totais, seguido pela fraude com cartão não presente, com 8%.

A Sra. Javier afirmou que as ciberameaças estão a tornar-se mais frequentes, direcionadas e mais escaláveis.

"E à medida que a velocidade aumenta, as perdas também aumentam, a janela de recuperação reduz-se e permite que o cibercrime se expanda mais rapidamente do que antes", disse.

"Portanto... quando falamos de risco cibernético, já não se trata apenas de uma questão tecnológica. Trata-se de confiança, comportamento e um desafio de ecossistema ao qual todos temos de contribuir para abordar e proteger o sistema financeiro. Afeta diretamente a confiança do consumidor, a resiliência operacional e, em última análise, representa riscos para a estabilidade financeira."

Acrescentou que a crescente interconexão no sistema financeiro expandiu os potenciais pontos de ataque para os cibercriminosos, uma vez que existem vulnerabilidades potenciais aumentadas que podem explorar.

Isto também aumenta os riscos de estabilidade financeira, uma vez que um único ponto de falha também pode afetar outras instituições, afirmou.

"O risco cibernético está a evoluir, está a mudar, e também temos de aprender a adaptar-nos a este desenvolvimento... Um ataque numa instituição financeira não significa necessariamente que ficará confinado a essa instituição. Pode afetar outras instituições financeiras ligadas a esse banco. Portanto, significa os serviços oferecidos às empresas e às famílias", disse.

"Agora, os riscos tornam-se maiores quando incidentes cibernéticos atacam infraestruturas críticas do mercado financeiro — por exemplo, o sistema de pagamentos. E depois, o que é ainda mais desafiante é quando atacam as contas de indivíduos, de depositantes, e isto aumenta de escala, podendo efetivamente desencadear levantamentos massivos numa instituição financeira, desencadeando problemas de liquidez e, por vezes, problemas de capital nessa instituição financeira devido à perda de confiança do público nesse banco específico. A confiança do público ou a confiança dos depositantes é o núcleo, é a fundação da banca. Portanto, temos de cuidar dessa confiança."

Afirmou que, embora não exista uma defesa à prova de falhas contra ciberataques, o banco central e as partes interessadas da indústria continuam a implementar várias regras e medidas para fortalecer a resiliência do setor financeiro.

O BSP exige que todas as suas instituições financeiras supervisionadas submetam relatórios regulares e baseados em eventos que abrangem informações relacionadas com tecnologia, bem como a incidência de grandes ciberataques. A Sra. Javier acrescentou que monitorizam potenciais ameaças através de plataformas de redes sociais e da base de dados de incidentes de cibersegurança.

O BSP também ordenou que os bancos atualizem os seus respetivos sistemas de gestão de fraude para se alinharem com as regras e regulamentos de implementação da Lei Anti-Fraude de Contas Financeiras. Concedeu aos credores até 25 de junho para cumprirem, acrescentando que o não cumprimento pode resultar na suspensão da licença. — Katherine K. Chan