Segurança para Corretoras de Câmbio e Plataformas Forex

Por que câmbio e forex são alvos de alto valor

Casas de câmbio e plataformas forex têm uma característica que as torna estruturalmente atraentes para o crime financeiro: elas convertem valor de uma forma para outra e o movimentam para fora do alcance imediato — outra moeda, outro país, outro beneficiário — em tempo real ou quase. Diferente de um e-commerce, onde a fraude resulta em produto físico a ser entregue e potencialmente interceptado, no câmbio o produto da fraude é a própria liquidez. Uma vez que uma remessa internacional é liquidada, a reversão deixa de ser um botão no painel e passa a ser um pedido de recall interbancário com taxa de sucesso baixa e prazo longo. Essa irreversibilidade prática é o que define a janela de defesa: tudo o que importa acontece antes da liquidação.

A segunda característica é a densidade de integrações em tempo real. Uma plataforma de forex moderna consome feeds de cotação de provedores externos, expõe APIs para clientes institucionais e bots de trading, integra-se a PSPs e a redes de liquidação cambial, e mantém um motor de KYC/onboarding que precisa ser rápido o suficiente para não matar a conversão. Cada uma dessas integrações é uma fronteira de confiança. Um feed de cotação comprometido ou uma API de ordem sem controle de integridade pode transformar uma vantagem de microssegundos em prejuízo sistemático. Um onboarding apressado vira a porta de entrada de mule accounts.

A terceira característica é regulatória. O câmbio no Brasil opera sob o arcabouço do Banco Central — incluindo a modernização trazida pela Lei nº 14.286/2021 (o novo marco legal do câmbio) e a regulamentação infralegal correlata — e sob as obrigações de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo (PLD/FT) decorrentes da Lei nº 9.613/1998 e da supervisão do Bacen e do COAF. Isso significa que segurança e conformidade não são trilhas separadas: o mesmo evento de mule account que interessa ao time de fraude é, frequentemente, um caso de comunicação obrigatória. A arquitetura de segurança precisa produzir evidência que sirva aos dois propósitos.

O mapa de ameaças: as quatro cadeias de ataque

Cadeia 1 — Account takeover que vira remessa ilícita

O account takeover (ATO) é o vetor mais comum e o mais lucrativo no forex, porque a conta tomada já passou por KYC e já tem histórico — ela é, para o motor antifraude ingênuo, uma conta confiável. O atacante chega às credenciais por credential stuffing (reuso de senhas vazadas em outros serviços), por phishing direcionado, por malware infostealer no dispositivo do cliente ou por SIM swap para derrotar o segundo fator por SMS. De posse da conta, o atacante não saca imediatamente: ele altera os dados de beneficiário de remessa, espera o período de aquecimento e então dispara remessas para contas que controla no exterior, muitas vezes fracionando para ficar abaixo de limiares de revisão manual.

Cadeia 2 — Manipulação de cotação via API comprometida

O preço é a matéria-prima do forex. Se um atacante consegue influenciar a cotação que a plataforma usa para precificar ordens — seja comprometendo o feed do provedor, seja explorando uma API de cotação interna sem controle de integridade e sem rate limiting — ele pode arbitrar contra a própria plataforma ou contra outros clientes. Vetores incluem manipulação do feed upstream, replay de mensagens de preço, exploração de defasagem (latency arbitrage) habilitada por exposição indevida de endpoints, e abuso de APIs de ordem que aceitam volume programático sem distinção entre cliente legítimo e bot hostil.

Cadeia 3 — Account takeover em massa na plataforma de trading FX

Quando o ATO deixa de ser pontual e vira campanha, a plataforma enfrenta ATO em massa: milhares de tentativas de login automatizadas, distribuídas por proxies residenciais para escapar de bloqueio por IP, mirando uma lista de credenciais vazadas. O objetivo é encontrar as contas onde a senha foi reusada. Esse é o cenário do nosso caso ilustrativo mais adiante. A defesa por força bruta de IP falha; é preciso detecção comportamental, device fingerprinting, e correlação de tentativas em janela móvel.

Cadeia 4 — Lavagem por fracionamento e mule accounts

A quarta cadeia é a lavagem propriamente dita. Aqui o atacante (ou a organização criminosa) usa a plataforma como camada de movimentação: abre múltiplas contas (ou coopta contas de laranjas — as mule accounts), fraciona valores para ficar abaixo de limiares de revisão, e roteia remessas para uma constelação de beneficiários que convergem, em algum ponto, para um destino comum. O sinal não está em nenhuma transação isolada — cada uma parece legítima. Está na topologia: contas que se comportam de forma idêntica, beneficiários compartilhados, dispositivos compartilhados, janelas temporais coordenadas. Detectar isso é correlação de grafo, trabalho de SOC com viés AML-assist.

Anatomia técnica do account takeover em massa

Vale destrinchar a cadeia 3 porque ela é a que mais frequentemente dispara um incidente grave. A campanha começa muito antes do primeiro login: o atacante adquire combos de credenciais (pares e-mail/senha) em mercados clandestinos, frequentemente extraídos de vazamentos não relacionados. A aposta estatística é simples — uma fração dos usuários reusa senha entre serviços. O atacante então roda credential stuffing: automatiza tentativas de login usando essas credenciais, distribuídas por proxies para parecer tráfego orgânico.

As contas onde a senha funciona são marcadas. Mas o atacante experiente não age na hora. Ele faz reconhecimento: verifica saldo, limites de remessa, beneficiários cadastrados, e se a conta exige reautenticação para operações sensíveis. Em seguida, prepara a infraestrutura de saída — beneficiários no exterior, muitas vezes contas mule já lavadas em outras plataformas. Só então dispara as remessas, normalmente em lote e fora do horário comercial, quando a vigilância humana é menor.

O ponto crítico é que nenhum desses sinais, isolado, justifica bloquear uma operação — um cliente pode legitimamente viajar, trocar de celular e fazer uma remessa grande. O valor está na correlação. Um SOC eficaz no câmbio não opera por regra estática ("bloqueie remessa acima de X"), e sim por escore composto que pondera múltiplos sinais e eleva o atrito proporcionalmente ao risco: pede reautenticação, impõe cooling-off, exige confirmação fora de banda, e escala para revisão humana quando o grafo de contas acende.

Como a Decripte responde a um incidente no câmbio

Quando o incidente já está em curso — remessas ilícitas saindo, contas comprometidas em série — a prioridade não é diagnóstico, é estancar a hemorragia. A Resposta a Incidentes da Decripte opera com SLA de contenção de até uma hora justamente porque, no câmbio, cada minuto antes da liquidação é dinheiro recuperável e cada minuto depois é dinheiro perdido. A contenção precisa atacar a saída — o motor de remessa — e não apenas a entrada — o login.

Em paralelo à contenção, o SOC correlaciona: parte das contas confirmadamente comprometidas e expande o grafo — quais outras contas compartilham device, beneficiário, padrão temporal ou origem de rede. Isso transforma uma lista pequena de vítimas conhecidas no conjunto completo de contas afetadas, incluindo as que ainda não dispararam remessa mas já estão tomadas. É a diferença entre apagar o foco visível e apagar o incêndio inteiro.

A erradicação remove o acesso do atacante (rotação forçada de credenciais e sessões das contas afetadas, revogação de tokens de API abusados), reverte cadastros maliciosos de beneficiário, e fecha a vulnerabilidade que permitiu a escala — seja um endpoint sem rate limiting, um fluxo de alteração de beneficiário sem reautenticação, ou um segundo fator fraco. A recuperação restabelece o serviço para os clientes legítimos com o mínimo de atrito e inicia o recall das remessas que ainda são recuperáveis. O fechamento entrega lições aprendidas e endurecimento permanente.

Estruturando a segurança antes do próximo ataque

Responder bem a incidentes é necessário, mas a meta é precisar responder cada vez menos. A estruturação da Decripte para o câmbio trabalha nas camadas onde as quatro cadeias de ataque se materializam, transformando defesas reativas em controles permanentes.

Cada controle dessa lista mapeia diretamente para uma das cadeias de ataque. O MFA resistente a phishing e a verificação de credenciais expostas matam o ATO na origem. O gate de beneficiário quebra a ponte entre ATO e remessa. O rate limiting e a validação de feed protegem as APIs. A correlação de grafo é a defesa contra lavagem. E a trilha de auditoria é o que conecta segurança e conformidade.

APIs de cotação e ordem: a fronteira esquecida

Muitas plataformas investem pesado em proteção de login e KYC e deixam as APIs de cotação e ordem como cidadãs de segunda classe — protegidas por uma chave estática e pouco mais. No forex isso é perigoso, porque o preço e a execução são onde o dinheiro é feito ou perdido em microssegundos. Um pentest sério dessas APIs, conduzido segundo a metodologia OWASP (incluindo o OWASP API Security Top 10), busca exatamente as falhas que importam aqui: autorização quebrada em nível de objeto (acessar ou operar contas de terceiros), ausência de rate limiting (habilitando abuso programático), exposição excessiva de dados (vazando informação de preço ou de ordem), e falhas de validação que permitem replay ou injeção em mensagens de cotação.

O resultado de um pentest desses não é uma lista de CVEs genéricos — é um mapa das vulnerabilidades de lógica de negócio específicas da sua plataforma, priorizadas pelo impacto financeiro real. Em forex, a falha mais cara raramente é uma injeção clássica; é uma falha de autorização ou de lógica que permite operar com vantagem indevida ou drenar uma conta.

Conformidade que conversa com a operação

O câmbio brasileiro opera sob supervisão do Banco Central, com o marco legal modernizado pela Lei nº 14.286/2021, e sob as obrigações de PLD/FT decorrentes da Lei nº 9.613/1998, com a regulamentação do Bacen e a atuação do COAF. Sobre os dados pessoais dos clientes incide a LGPD (Lei nº 13.709/2018), com a ANPD como autoridade. Se a plataforma processa cartões em qualquer ponto do fluxo, entra também o PCI-DSS. A conformidade da Decripte não trata essas exigências como papelada desconectada da engenharia — ela as implementa como controles vivos.

Na prática, isso significa: trilha de auditoria imutável de operações sensíveis (login, alteração de beneficiário, remessa) que serve à investigação forense e à comunicação obrigatória; minimização e proteção de dados pessoais e de KYC conforme a LGPD, com base legal e retenção definidas; e um processo de resposta a incidentes que já contempla as obrigações de notificação — à ANPD em caso de vazamento de dados pessoais com risco relevante, e aos canais regulatórios quando o incidente toca a operação cambial. O objetivo é que, quando o pior acontecer, a empresa não esteja improvisando a parte regulatória no meio da crise.

Cenário ilustrativo: ATO em massa com remessas ilícitas em uma plataforma forex

Como a Decripte responde a incidentes no câmbio e forex

A resposta a incidentes no câmbio se diferencia por um fato simples: a janela útil fecha na liquidação da remessa. O processo da Decripte é desenhado para atacar a saída primeiro e expandir o escopo depois, dentro de um SLA de contenção agressivo.

1. Triagem e classificação imediatas: o SOC 24x7 confirma se o alerta é um incidente real e estima escopo e severidade, priorizando o que toca o motor de remessa, onde o dinheiro sai.
2. Contenção pré-liquidação dentro do SLA de até uma hora: congela a esteira de liquidação para o conjunto de contas e beneficiários sob suspeita e revoga sessões comprometidas, sem derrubar a operação legítima.
3. Correlação e expansão do escopo: a partir das contas confirmadas, o SOC monta o grafo (device, beneficiário, rede, tempo) e identifica todas as contas afetadas, incluindo as tomadas que ainda não dispararam remessa.
4. Erradicação do acesso e da causa-raiz: rotação forçada de credenciais, reversão de cadastros maliciosos de beneficiário, revogação de tokens de API abusados e fechamento da vulnerabilidade que permitiu a escala.
5. Recuperação e recall: restabelece o serviço para clientes legítimos com atrito proporcional ao risco e inicia o recall das remessas ainda recuperáveis pelos canais interbancários.
6. Apoio à conformidade: avalia obrigações de notificação à ANPD (LGPD) e aos canais de PLD/FT, preservando a evidência forense de forma íntegra para a trilha de auditoria do Bacen.
7. Relatório e lições aprendidas: entrega linha do tempo, causa-raiz e plano de endurecimento permanente, convertendo o incidente em controles definitivos no SOC.
8. Transição para monitoramento contínuo: os padrões do incidente (mule accounts, fracionamento, fingerprints hostis) viram detecção permanente, reduzindo a probabilidade de reincidência.

Como a Decripte estrutura a segurança de uma plataforma de câmbio

A estruturação trabalha nas camadas onde as quatro cadeias de ataque — ATO, manipulação de cotação, ATO em massa e lavagem — se materializam, transformando defesa reativa em controle permanente.

Planos recomendados para Câmbio e Forex

Perguntas frequentes

Termos do setor

Account Takeover (ATO)

Tomada de uma conta legítima por um atacante, geralmente via credenciais vazadas, phishing ou SIM swap. No câmbio, a conta tomada já passou por KYC e é usada para disparar remessas para beneficiários controlados pelo atacante.

Mule account (conta laranja)

Conta — própria ou de terceiro cooptado — usada para movimentar e camuflar dinheiro de origem ilícita. Em forex, mule accounts roteiam remessas fracionadas que convergem para um destino comum, dificultando a detecção por transação isolada.

Credential stuffing

Ataque automatizado que testa em massa pares de e-mail/senha vazados em outros serviços, apostando no reuso de senha. É o motor por trás do ATO em massa e é combatido com verificação de credenciais expostas, MFA forte e detecção comportamental.

PLD/FT

Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo. No Brasil decorre da Lei nº 9.613/1998 e da supervisão de Banco Central e COAF; impõe a instituições de câmbio o monitoramento, registro e comunicação de operações suspeitas.

Fracionamento (smurfing)

Técnica de lavagem que divide um valor grande em várias transações menores, cada uma abaixo de limiares de revisão, para escapar de alertas. Sua detecção exige correlação entre contas e operações, não análise de transação isolada.

OWASP API Security Top 10

Lista de referência da OWASP com os principais riscos de segurança em APIs, incluindo autorização quebrada em nível de objeto, ausência de rate limiting e exposição excessiva de dados — falhas centrais no pentest de plataformas de cotação, ordem e remessa.