De acordo com um relatório publicado pela Webscale, 2020 foi o ano em que o comércio eletrônico registrou um aumento significativo nos incidentes cibernéticos.

Cerca de 70% dos participantes da pesquisa (empresas online) revelaram que o aumento na frequência de ataques cibernéticos foi de 20%.

A recente pandemia foi um dos motivos por trás desse aumento. À medida que mais pessoas passaram a fazer compras online, isso estimulou o surgimento de novos negócios. A mudança no panorama digital também serviu de alerta para os hackers.

Já se passaram alguns anos desde 2020, mas as ameaças à segurança continuam sendo um grande problema para os comerciantes online.

Os cibercriminosos têm à sua disposição uma infinidade de técnicas maliciosas, que visam não apenas os administradores e funcionários dos sites, mas também os consumidores.

Sensibilizar as pessoas sobre as principais ameaças à segurança cibernética é o primeiro passo para conseguir combatê-las. Depois disso, cabe aos comerciantes decidir quais medidas de proteção irão adotar em suas lojas.

O objetivo deste artigo é revelar as ameaças de segurança cibernética mais comuns que as empresas enfrentam e como evitá-las.

Número 1: Spam

Vamos começar falando sobre spam. Essa é uma das tentativas de causar danos mais fáceis de detectar. Alguns hackers tentam se aproveitar das redes sociais e das caixas de entrada de e-mail enviando mensagens com links infectados.

Deixar URLs infectados nos comentários das postagens de um blog ou ocultar o link e colocá-lo na seção de avaliações de um produto também pode funcionar.

Clicar nesses links redireciona você para sites suspeitos, o que pode torná-lo uma vítima. Além disso, links com spam visíveis em um site causam uma impressão negativa nos visitantes. Sem falar que eles também podem afetar a velocidade do site.

Número 2: Ataques DDoS

Os ataques DDoS sobrecarregam um site com um volume infinito de tráfego proveniente de diferentes fontes.

Os sites ficam fora do ar porque não conseguem lidar com o volume de solicitações, e restaurá-los representa um grande desafio se o site não contar com as medidas de segurança necessárias.

Em alguns casos, os ataques DDoS podem ser utilizados como manobra de diversão. O objetivo é distrair a equipe, em vez de derrubar o site. O ano de 2021 registrou um aumento significativo na frequência e na magnitude desses ataques cibernéticos, atingindo um recorde histórico. Em novembro de 2021, a Microsoft repeliu um ataque DDoS direcionado a um cliente do Azure. Os invasores lançaram uma taxa de transferência de 3,45 Tbps e uma taxa de pacotes de 340 milhões de PPS. Acredita-se que tenha sido o ataque DDoS mais significativo já registrado.

Número 3: Malware

Spyware, vírus, cavalos de Troia e ransomware são os tipos mais comuns de malware.

Sempre que um malware infecta um dispositivo, existe o risco de que quem o utilize para acessar um site possa, indiretamente, roubar dados confidenciais ou infectar o próprio site. Isso se aplica especialmente àqueles que têm acesso a bancos de dados de back-end.

Os hackers corrompem os dados com um código e coletam as informações de que precisam. Além disso, podem apagar os rastros para dificultar o rastreamento.

Número 4: Bots

Os bots são aplicativos de software ou scripts que executam tarefas específicas. No contexto do comércio eletrônico, os bots geralmente têm como objetivo extrair informações valiosas do site.

Essa informação é então usada por outra parte para obter uma vantagem sobre a concorrência. É um golpe baixo, mas que, mesmo assim, é utilizado.

Um exemplo concreto vem da Data Dome, que relatou um ataque de bots em grande escala que utilizou o modelo BaaS (bots como serviço) e durou cerca de 19 horas, envolvendo cerca de 15,5 milhões de solicitações enviadas a partir de mais de 500 mil proxies residenciais. Em média, o ataque de scraping em grande escala gerou cerca de 150 mil solicitações a cada 10 minutos nos servidores de seus clientes.

Número 5: Fraude financeira

A fraude com cartões de crédito é um dos exemplos mais marcantes de fraude financeira. Cartões de crédito roubados ou dados pessoais roubados para a obtenção de novos cartões de crédito vêm afetando o setor de comércio eletrônico há anos.

A Comissão Federal de Comércio divulgou um gráfico e revelou que o número de casos de fraude com cartão de crédito registrados passou de 45 mil no primeiro trimestre de 2019 para 115 mil no primeiro trimestre de 2023.

A implementação de sistemas de verificação de endereço que sinalizam discrepâncias entre o titular real do cartão de crédito e o endereço de entrega ajuda a resolver a questão. No entanto, o problema continua sendo significativo e exige atenção constante por parte dos comerciantes online.

Número 6: Golpe de phishing

A CISA relata que 9 em cada 10 incidentes cibernéticos começam com phishing. Isso faz sentido, já que essa técnica é um primeiro passo perfeito para romper a linha de defesa.

O phishing começa com hackers se passando por proprietários legítimos de lojas. Eles podem enviar um e-mail ao seu cliente solicitando credenciais de login.

Os hackers mais agressivos também tentam enganar os funcionários. Alguém que trabalha no site e tem acesso ao backend é o alvo perfeito para os hackers.

A urgência, o medo e outras formas de manipulação são comuns em ataques de phishing. É mais fácil enganar um destinatário quando ele se depara com uma escolha difícil, como um aviso de que sua conta foi comprometida e de que precisa restaurá-la clicando em um link que, na verdade, é malicioso.

Número 7: E-skimming

O e-skimming explora vulnerabilidades no site ou, mais especificamente, no gateway de pagamento. Em casos mais raros, os hackers conseguem inserir malware em códigos de terceiros ou de quartos fornecedores já existentes.

Quando ocorre um e-skimming em um site, os hackers interceptam as informações dos usuários enquanto estes inserem os dados do cartão de crédito, endereços residenciais, credenciais de login, respostas a perguntas de segurança, etc.

Do ponto de vista do usuário, não há nenhum aviso de que alguém esteja acessando os dados. Ele só percebe isso depois que os hackers já utilizaram as informações.

Como lidar com essas ameaças à segurança cibernética?

A segurança no comércio eletrônico é complexa, especialmente devido à grande variedade de ameaças existentes. No entanto, existem medidas comprovadas para minimizar os riscos. Aqui estão algumas recomendações úteis, embora não exaustivas:

1. Use um software antivírus

O uso de software antivírus deveria ser obrigatório. Qualquer pessoa que utilize um dispositivo para trabalhar no site deve proteger o seu equipamento.

Cabe aos supervisores garantir que todos os funcionários tenham um software antivírus instalado. Basta uma única pessoa relutante em fazê-lo para causar danos suficientes a ponto de afetar todos os envolvidos.

Os programas antivírus devem dar conta do recado por conta própria se você os deixar rodando em segundo plano, mas ainda assim é recomendável realizar varreduras personalizadas de vez em quando.

Se houver suspeita de possíveis violações de segurança no dispositivo, use um software antivírus para verificar o que ele detecta. Se o dispositivo for infectado por malware ou outra ameaça, é necessário eliminar os dados corrompidos.

Às vezes, pode ser necessário acessar os arquivos do sistema manualmente para limpá-los você mesmo. Certifique-se de saber como acessar /usr/local/bin no macOS, por exemplo, ou System32 no Windows.

2. Incentivar uma política de senhas seguras

Uma política de senhas inteligente é outro exemplo de medida de segurança que determina o nível de segurança do seu site.

Muitas pessoas deixam de criar senhas seguras. Em vez disso, usam opções óbvias como “1234567” ou “password123”, facilitando muito a vida dos hackers.

Idealmente, as senhas devem:

• Inclua letras maiúsculas e minúsculas
• Incluir símbolos aleatórios
• Seja diferente para contas diferentes
• Mantenha-se atualizado regularmente

Se for muito complicado memorizar várias credenciais, use um gerenciador de senhas para armazenar os dados, aos quais somente você terá acesso por meio de uma senha mestra e autenticação de dois fatores.

3. Gerenciar permissões de usuário

A regulamentação das funções e permissões dos usuários é uma prática padrão de auditoria de segurança. Sempre que alguém sai da empresa ou muda para uma função diferente, suas credenciais de acesso originais devem ser alteradas de acordo com a nova situação.

Dependendo do número de usuários que trabalham em um site, pode ser complicado acompanhar todos, especialmente se o administrador do site já estiver sobrecarregado.

Alguém deve ficar responsável por isso. Dito isso, certifique-se de que sua equipe administrativa seja igualmente confiável. Escolher pessoas em quem você possa confiar é fundamental. A última coisa que alguém gostaria de ver em seus funcionários é que eles agissem por conta própria.

4. Configurar o certificado SSL

A conformidade com a norma PCI indica que o protocolo SSL é obrigatório. No entanto, nem todos os comerciantes online se preocupam em configurá-lo.

A ausência do certificado é um sinal de alerta importante, identificável pelos navegadores da Internet e pelos visitantes do site.

Um certificado SSL adequado é uma medida de segurança para o site e seus visitantes. Assim que o certificado é instalado, o URL do site passa de HTTP para HTTPS. O “S” significa “seguro”. Para garantir uma configuração correta, use uma ferramenta de verificação de certificados SSL para confirmar se o certificado está configurado corretamente para o domínio.

O HTTPS criptografa as informações que um site recebe. Os hackers têm muito mais dificuldade em tentar violar os dados quando estes estão criptografados. A maioria deles desiste e procura novos alvos.

5. Encontre um provedor de hospedagem confiável e seguro

Como os provedores de hospedagem são responsáveis pelo seu site, é fundamental encontrar um que ofereça mais do que apenas uma garantia de 99,9% de tempo de atividade.

Preste atenção aos recursos de segurança incluídos no pacote e não tenha medo de pagar um pouco mais para se beneficiar dessas medidas de segurança.

Antes de se comprometer, pesquise cuidadosamente as avaliações para confirmar se escolheu o provedor de hospedagem certo. Se possível, peça recomendações pessoais a pessoas que você conhece e em quem confia. Afinal, as avaliações online de desconhecidos podem ser duvidosas às vezes.

6. Automatizar estornos

As soluções de software representam uma tábua de salvação para as empresas, e o software de automação de estornos da Chargeflow é um excelente exemplo disso.

Quando o software analisa uma transação e detecta padrões de atividade fraudulenta, ele alerta o comerciante, gera uma resposta ao estorno para o caso e apresenta uma resposta com provas em seu nome.

Em vez de esperar que a operadora de pagamentos notifique quando os titulares de cartão apresentam contestações — o que muitas vezes faz com que não haja tempo suficiente para reunir provas convincentes e responder de forma eficaz —, as empresas podem sempre enviar respostas oportunas e completas às solicitações de estorno e resolver as contestações de forma automatizada. O modelo de preços baseado em resultados da Chargeflow também significa que você só paga pelos casos ganhos.

Conclusão

Em suma, os cibercriminosos continuam a causar problemas aos comerciantes online. As lojas de comércio eletrônico continuam vulneráveis a diversas ameaças.

Cabe aos administradores do site alertar sobre as ameaças que representam um problema, para que todos os envolvidos saibam o que fazer.

Também vale a pena tomar medidas proativas e manter-se a par das tendências em segurança cibernética. Qualquer coisa que ajude a se proteger contra os cibercriminosos vai economizar dinheiro a longo prazo.