Os sites de e-commerce são um dos alvos favoritos dos ciberataques. Para os hackers, as plataformas de comércio eletrônico são um paraíso de dados pessoais e informações financeiras. A exposição de dados sensíveis dos consumidores podem ter um custo muito alto para empresas dos mais diferentes tamanhos — e isso vale tanto na sua imagem e reputação com a perda da confiança do consumidor, quanto financeiros. Afinal, com a nova Lei Geral de Proteção de Dados a LGPD, e-commerces terão de indenizar eventuais prejuízos que essa exposição venha causar.
Neste artigo vou avaliar alguns dos ataques mais comuns, bem como apresentar recomendações para nos prevenirmos quanto a esses criminosos.
O sequestro de dados, conhecido em inglês como ransomware, é um dos maiores desafios da segurança de dados no momento. Quase toda semana se tem notícia de algum caso grande onde os criminosos exigem uma quantia em dinheiro para não expor os dados roubados. Existe inclusive seguro e empresas especializadas em intermediar a negociação e efetuar o pagamento. Entretanto, o tesouro americano para inibir essa prática passou a proibir o pagamento de certos casos de ransomware, por considerar que quem realiza o pagamento do resgate está contribuindo para o financiamento do crime organizado.
No Brasil, pela nova LGPD, empresas que tiverem dados de clientes expostos, também correm o risco de serem acionadas na justiça.
No último mês de janeiro, o Brasil foi alvo do maior vazamento de dados que se teve notícia até hoje. Foram vazados dados de mais de 220 milhões de brasileiros, número maior que a população brasileira, pois incluía dados de pessoas mortas. São informações como CPFs, números de telefone e outros dados sensíveis que estavam sendo negociados na “deepweb”.
Um relatório recente da empresa americana McAfee calculou que, em 2020, o cibercrime gerou prejuízos a economia mundial de US$ 1 trilhão, ou cerca de 1% do PIB de todos os países. O Brasil está entre as nações mais vulneráveis. Em número de ataques, só perde para a Turquia.
No Brasil, os ataques ao varejo online aumentaram 53,6% em 2020, na comparação com 2019, segundo dados da ClearSale, empresa de segurança digital. A companhia analisou 106 bilhões de operações digitais e identificou 3,5 milhões de tentativas de fraude.
Com a pandemia, o que parecia ser um ganho, o trabalho remoto, se mostrou outra fonte de ataques. O conceito de “bring-your-own-device” (BYOD) potencializou a exposição de dados e invasões de hackers. Isso porque de casa o trabalhador em geral utiliza redes menos seguras em relação às da empresa.
O roubo de credenciais, conhecido como Credential Stuffing, é outro assunto do momento. A maioria dos consumidores utilizam a mesma credencial (login e senha) em diferentes sites.
Com isso, basta que o hacker consiga roubar a credencial em um site que tenha maior fragilidade na sua segurança para ter acesso a um número grande de outros sites. Foi o que aconteceu em março de 2020 com o aplicativo Zoom. Muitos usuários da plataforma de vídeo chamada acreditaram que seus dados tinham sido expostos por problemas na plataforma. Entretanto, a verdade é que o ciber criminoso testou um grande número de credenciais roubadas de outros sites.
Uma forma de se aumentar a segurança é autenticação por duplo fator ou multifator. No entanto, alguns varejistas ainda temem perder vendas se incluir um passo a mais na autenticação do usuário, que poderia abandonar a página se encontrar dificuldades durante o login.
O phishing é outra prática antiga e comum. O criminoso cria uma página falsa, muito parecida com o site real da sua empresa. Em geral esses sites falsos apresentam erros grosseiros de português, mas não são percebidos pela maioria dos consumidores — que, por meio da chamada engenharia social, é atraída para essas páginas e lá digita dados sensíveis que são capturados pelos fraudadores. Existem ferramentas e empresas especializada em rastrear essas práticas de phishing. Neste caso, elas conseguem rapidamente neutralizar essas ações, minimizando perdas financeiras e de imagem para sua empresa.
Para combater o ciber crime é importante manter a plataforma de e-commerce sempre atualizada. Vale também se atentar às políticas de compliance e às boas práticas, como treinamento e educação de funcionários. O mesmo deve ocorrer ao consumidor, que deve ser estimulado a usar senhas fortes e atualizar frequentemente as suas senhas. A autenticação multifator tem um papel fundamental nessa prevenção dos crimes digitais.
Outra recomendação importante é: só armazenar os dados que você realmente precise e separar os dados críticos de outras informações, segmentando a sua rede. Implemente firewall e conduza auditorias frequentes para avaliar se os mecanismos de segurança estão funcionando como o previsto, bem como para se antecipar a novas brechas.
Posso dizer que é como um jogo constante de gato e rato. Os varejistas online adicionam tecnologias cada vez mais inovadoras a seus sites para se manterem competitivos. Ao mesmo tempo, os ciberataques aprimoram suas habilidades e encontram novas vulnerabilidades para explorar. Portanto, a melhor maneira de ficar à frente é estar ciente das práticas recomendadas de segurança e dos tipos de ataques que devem ser observados.
Desenvolver uma política de segurança é fundamental para se manter competitivo no e-commerce. Hoje ninguém pode se dar ao luxo de perder clientes por baixa reputação com a exposição de dados sensíveis dos consumidores.