As ameaças à segurança do comércio eletrônico causam estragos anualmente. Akamai participa do Fórum trazendo as principais novidades de cibersegurança para o setor
A mudança no comportamento do consumidor fez com que os e-commerces tivessem um crescimento exponencial. No Brasil, as vendas do e-commerce devem avançar 95% até 2025, segundo o relatório Global Payments Report. Com a alta demanda do mercado, os cibercriminosos também enxergaram novas oportunidades para replicar antigos e novos tipos de ataques.
A Akamai, empresa de nuvem que potencializa e protege a vida online, participará do Fórum E-Commerce Brasil para esclarecer as principais dúvidas e demandas voltadas para a segurança das lojas on-line. A feira, que é considerada o maior evento de e-commerce da América Latina, acontecerá nos dias 26 e 27 de julho com uma extensa programação que trará mais de 200 palestrantes, além de uma série de painéis, empresas expositoras, experiências especiais e oportunidades de geração de negócios.
Fraudes de cartão de crédito, golpes de phishing, ataques de bots, ataques DDoS, entre outros, são algumas das várias formas de ataque cibernético. Helder Ferrão, Gerente de Marketing de Indústrias da Akamai Technologies para América Latina, explica que “As ameaças virtuais avançam e se desenvolvem quase que na mesma velocidade que as inovações tecnológicas surgem. Os desenvolvedores e as organizações têm um papel fundamental na proteção dos usuários e no aprimoramento de ferramentas de cibersegurança que os tangem”, conclui Ferrão.
Para ajudar os lojistas on-line a entender quais são as principais ameaças que seu comércio eletrônico pode enfrentar e como fazer para evitá-las, a Akamai listou os 4 tipos de ataques mais comuns praticados nesse mercado.
1. Phishing
Nesse tipo de ataque, o cibercriminoso utiliza e-mails e mensagens falsas para inserir malwares (vírus) ou roubar dados pessoais. Muitos clientes de lojas on-line recebem mensagens ou e-mails falsos enviados pelos cibercriminosos disfarçados de lojas oficiais. Esses fraudadores criam cópias falsas de páginas de websites de e-commerce ou de outro site confiável para induzir os usuários a acreditar neles. O intuito desse tipo de ataque é roubar credenciais como senhas, dados financeiros e bancários, números de cartões de crédito ou simplesmente informações pessoais.
Esse tipo de ataque faz com que o e-commerce perca a credibilidade e confiança do cliente, impactando diretamente na receita do negócio.
2. Ataques DDoS
Muitas lojas on-line sofreram perdas financeiras devido a interrupções em seus sites causadas por ataques DDoS (Distributed Denial of Service). Nessa modalidade o ataque pode acontecer de algumas maneiras causando falhas e tornando os servidores onde o site está hospedado indisponíveis. Dessa forma, os visitantes da loja online não conseguem acesso ao site, fazendo com que o e-commerce perca vendas.
Uma maneira de pensar sobre ataques DDoS é imaginar um supermercado. Existem dois tipos de ataques DDoS, os de bps ou pps. Um ataque medido em bps (bits por segundo) é como mil pessoas aparecendo na fila do caixa, cada uma com um carrinho cheio e prontas para pagar. O ataque de pps é como um milhão de pessoas no caixa, cada uma para comprar um pacote de chicletes. Em ambos os casos, o resultado final é um serviço ou rede que não suporta o volume de tráfego direcionado a ele o site acaba ficando fora do ar.
Esses ataques são usados para deixar o e-commerce indisponível e prejudicar as vendas. Também pode ser usado pelos cibercriminosos como forma de extorsão, onde pedem dinheiro para interromperem os ataques..
3. Exploração de vulnerabilidades conhecidas
Os invasores estão atentos a certas vulnerabilidades que podem existir em sua loja online. Muitas vezes, um e-commerce é vulnerável a injeção de SQL (SQLi) e o risco mais comum desse tipo é o roubo de dados do usuário. Endereços de e-mail, credenciais de login e informações de identificação pessoal podem ser roubados e vendidos na dark web. Portanto, uma injeção de SQL bem-sucedida representa uma ameaça não apenas para a loja virtual, mas também para seus usuários.
O SQL serve como meio de comunicação com o banco de dados, portanto, para um invasor executar um ataque de injeção de SQL, ele deve localizar uma entrada vulnerável em um aplicativo ou página da Web e, caso eles contenham alguma vulnerabilidade, o invasor executa uma injeção de SQL e consegue para excluir dados ou tabelas do banco de dados usa a entrada do usuário diretamente na forma de uma consulta SQL e, assim, ele acessar todas as informações do banco de dados.
Os invasores usam injeção de SQL para alterar ou atualizar dados no banco de dados e adicionar dados adicionais. Por exemplo, no caso de um aplicativo financeiro, um invasor pode usar injeção de SQL para alterar os saldos das contas. Pior ainda, os invasores podem obter direitos administrativos em um banco de dados de aplicativos.
4. Bots
Alguns invasores desenvolvem bots especiais que podem varrer seu site para obter informações sobre estoque e preços. Esses hackers, muitas vezes podem ser “contratados” pelos seus concorrentes e usar os dados para reduzir ou modificar os preços em seus sites na tentativa de diminuir vendas e receita do concorrente.
Outra prática comum que os cibercriminosos fazem, basicamente, é agir como se fossem “cambistas virtuais”, eles buscam ofertas e edições limitadas dos produtos e, de forma automatizada, conseguem garantir uma grande quantidade de produtos. A grande questão é que essa prática, além de comprometer os sites devido ao alto tráfego, também altera o preço do produto no mercado, pois assim que o estoque se esgota, o produto é lançado novamente, mas em outros sites com o preço mais elevado do que o inicial.
O uso de bots cresceu e se ramificou durante a pandemia, adaptando-se rapidamente às brechas do mercado. “Esse aumento é constatado pela alta procura da linha de soluções da Akamai construída em torno de bots que está crescendo 40% ao ano, tornando-se uma das áreas de segurança cibernética de crescimento mais rápido”, aponta Ferrão.
Segurança no e-commerce
Em resumo, os cibercriminosos geralmente visam administradores, usuários e funcionários de lojas de comércio eletrônico usando uma variedade de malwares maliciosos. Entender como eles pensam e funcionam é essencial para o sucesso e crescimento do negócio é necessário pensar em novas estruturas de segurança. O gerente da Akamai aponta que para combater a ameaça, é preciso um monitoramento contínuo da atividade da rede, como o Zero Trust, que é um modelo de segurança de rede, baseado em um rigoroso processo de verificação de identidade. A estrutura estabelece que somente usuários e dispositivos autenticados e autorizados podem acessar aplicações e dados.
“Isso proporciona uma profunda defesa contra ameaças, controles simplificados e uma maneira de aumentar a satisfação do cliente, ao mesmo tempo em que abre novas linhas de negócios com soluções estendidas de segurança Em resumo, para se proteger é preciso ter um plano de segurança cibernética, treinar funcionários e contar com as soluções da Akamai, que vão desde a entrega até a proteção”, finaliza Ferrão.
Metodologia
A pesquisa tem como base a Lei Geral de Proteção de Dados (LGPD), que trouxe novos rumos para a segurança de dados no Brasil. O estudo ocorreu por meio de um painel online com mais de 400 empresas/tomadores de decisão, em parceria com a Toluna entre julho e agosto de 2021.