Skip to main content

Os logins bancários estão reforçados. As sessões, ainda não.

Os bancos estão entre as plataformas de consumo mais visadas por phishing e mais maduras em segurança da web. Testamos os 43 bancos de consumo mais maduros em segurança dos EUA, Reino Unido, zona do euro, Canadá, Austrália e países nórdicos. Nenhum vincula criptograficamente a sessão de navegador ativa ao dispositivo que a criou.

Esses bancos já usam forte inteligência de dispositivo: biometria comportamental, defesa contra bots, perfilamento de dispositivo, atestação do app móvel. Mas pontuar um dispositivo não é o mesmo que vincular a sessão. O cookie pós-login continua sendo um token bearer: quem o tiver é tratado como o usuário. Uma sessão roubada por phishing, por um infostealer ou por um kit adversary-in-the-middle funciona no dispositivo do atacante sem nunca vencer o login.

Even the Banks Do Not Bind the Web Session, um whitepaper da cside sobre a lacuna da sessão web vinculada ao dispositivo

Neste whitepaper:

Resultados do nosso teste dos 43 bancos de consumo mais maduros em segurança: 0/43 vinculam criptograficamente a sessão web (a camada estrita no estilo DBSC).

Por que autenticação não é integridade de sessão, e como a tomada de conta moderna ignora completamente o momento do login.

Os três significados de "vinculado ao dispositivo" e o erro de categoria que faz "existe fingerprinting" passar por "a sessão está vinculada."

Cinco formas pelas quais uma sessão válida acaba no dispositivo errado: logs de infostealer, phishing adversary-in-the-middle, replay por proxy residencial, navegadores anti-detecção e malware no dispositivo.

Onde se encaixam as Device Bound Session Credentials (DBSC), o cronograma de adoção e o que a lacuna significa para os bancos e a Fortune 1000.

Baixe o whitepaper

Preencha o formulário para receber o relatório completo sobre sessões web vinculadas ao dispositivo.

Carregando o formulário…

Em uma única pergunta simples

O token de autenticação de cada usuário está vinculado ao dispositivo, ou pode ir para outro navegador?

Um token de autenticação é a chave que o navegador guarda em um cookie ou no armazenamento local assim que um usuário passa pela senha e pelo 2FA. É um token bearer: quem o tiver é tratado como esse usuário, em qualquer dispositivo. Copie-o para outro navegador e esse navegador é essa pessoa. Nos 43 bancos que testamos, nada na sessão web impede isso.

O problema central

Os bancos pontuam o dispositivo web. Em geral, eles não vinculam criptograficamente a sessão web ativa. O momento do login é reforçado; a sessão que vem depois, não.

A varredura dos bancos, em quatro números

0/43 Bancos que vinculam criptograficamente o token de sessão web (DBSC)
≥88% Usam inteligência de dispositivo web / pontuação comportamental
8/43 Usam um passkey web como login principal
~98% Vinculam a credencial do app móvel a hardware seguro

Até o grupo mais avançado deixa a sessão de navegador como um cookie bearer.

O que os bancos já fazem bem

Login & transação

Maduro

Biometria comportamental, defesa contra bots, perfilamento de dispositivo, autenticação step-up e passkeys em alguns mercados.

Canal móvel

Vinculado

~98% vinculam a credencial do app a Secure Enclave / Keystore, muitas vezes com atestação de app por cima.

Sessão de navegador

Lacuna aberta

O cookie web pós-login continua sendo um token bearer, aceito sem prova do dispositivo de origem.

A separação de canais é o ponto central. "Os bancos vinculam dispositivos" pode ser verdadeiro para o celular e falso para sessões de navegador ao mesmo tempo.

Cinco formas pelas quais uma sessão válida acaba no dispositivo errado

Logs de infostealer

O malware coleta os cookies do navegador no dispositivo da vítima.

Phishing adversary-in-the-middle

O kit atua como proxy dos fluxos de MFA / passkey e rouba a sessão resultante.

Replay por proxy residencial

O cookie é apresentado a partir de um local de rede plausível.

Navegadores anti-detecção

Os fingerprints são ajustados para evitar uma incompatibilidade evidente.

RAT / malware no dispositivo

O atacante opera a partir do dispositivo legítimo.

A economia dos atacantes migrou para cookies roubados e repassados. A defesa não acompanhou.

Feche a lacuna com a cside

Tenha DBSC entre navegadores com a cside

O DBSC vincula a sessão do navegador ao dispositivo, mas hoje apenas no Chrome. A cside estende a proteção de sessões vinculadas ao dispositivo a todos os navegadores como JavaScript first-party: detecte o replay de cookies roubados, comprove a sessão real e bloqueie a tomada de conta que sobrevive ao login. Sem mudanças de DNS ou no caminho do tráfego.

Agende uma demo
Comece grátis
Agende uma demonstração