Ataques de “cibercriminosos” ocorrem diariamente no mundo todo, colocando em risco a integridade de muitas empresas que atuam no mercado digital. Cada vez mais munidos de tecnologia e conhecimentos técnicos, grupos de hackers crescem abruptamente, utilizando falhas em sistemas operacionais para seus ataques. Há alguns anos, esses ataques tinham finalidades “mais modestas”, como causar danos em computadores, ou mera diversão.
Inúmeras empresas como Apple, Amazon, Wal-Mart, entre outras organizações, tiveram seus sites atingidos por hackers. Uma estratégia muito comum usada pelos criminosos é conhecida como ataque de negação de serviço (DoS). O objetivo, neste caso, é paralisar a infraestrutura de TI do oponente ao direcionar um grande volume de tráfego de computadores infectados, causando perda de vendas por conta do site inacessível.
Além disso, existem ataques que visam prejudicar principalmente o usuário. Nesses casos, os ataques são voltados à captura de informações sigilosas, como senhas e números de cartões de créditos que são repassadas a terceiros. Em entrevista para o E-Commerce News, o consultor da Associação Brasileira das Empresas de Cartões de Crédito e Serviços, Carlos Cabral, fala sobre a vulnerabilidade de lojas virtuais e medidas a serem tomadas, por parte dos lojistas para prevenção de ataques.
Em sua opinião, quais são as vulnerabilidades mais exploradas por hackers ao invadir uma loja virtual?
Houve um tempo em que os criminosos estavam mais interessados na exploração de falhas nos sistemas operacionais, como por exemplo o Windows ou o Linux, e em seus componentes. Usar estas falhas para invadir ambientes era uma atividade mais fácil para estas pessoas devido à vasta documentação e até mecanismos automatizados de ataque disponíveis na Internet.
As entidades que desenvolvem estes sistemas foram forçadas a implementar estratégias com foco na melhoria da qualidade de seu processo de desenvolvimento e seus sistemas operacionais ganharam novos mecanismos de segurança.
Não quero dizer que esta modalidade deixou de ocorrer, mas sim que esta mudança de paradigma da indústria de software fez com que os hackers mudassem o foco de sua atenção para outras formas de invasão e assim perceberam que boa parte da vulnerabilidade das lojas virtuais estava na forma em que elas são desenvolvidas e na maneira em que o ambiente que hospeda a loja virtual é administrado. Ou seja, a porta para a entrada do atacante não é mais deixada aberta por um descuido da Microsoft, que produz o Windows ou da RedHat que produz uma das diversas distribuições de Linux, mas sim pelo administrador de rede ou pelo desenvolvedor do site que não privilegiaram a segurança no desenvolvimento e manutenção da loja virtual.
Quais são os objetivos desses ataques?
Vejo dois cenários com frequência (e as vezes combinados): O primeiro pode ocorrer em qualquer site, não somente em lojas virtuais. Trata-se do repositório de informações:
Há criminosos que distribuem vírus para correntistas com o objetivo de obter informações bancárias ou de cartões de crédito, estes vírus coletam as informações do usuário e as enviam para um repositório na Internet. Geralmente os criminosos invadem um site e criam lá uma pasta para que todos estes arquivos com informações bancárias sejam silenciosamente depositados. Caso a empresa que administra o site sofra de um baixo nível de monitoramento de segurança este repositório pode não ser percebido por meses.
O segundo cenário é o do ataque com foco no roubo de dados de cartões de crédito. Aqui o atacante procura um site que armazena os dados de cartão e rouba as bases de dados com esta informação para utilizá-la em fraudes.
Quais medidas adotar em caso de ataque?
A primeira é a de isolar o ambiente alvo. Os servidores pelos quais o atacante passou podem conter informações importantes para entender como o ataque ocorreu. O importante aqui é instalar um novo servidor para manter a loja virtual funcionando e reservar a maquina atacada para ser analisada por profissionais que atuam na área de investigação de crimes cibernéticos, ou computação forense. Existem diversas empresas no mercado brasileiro que realizam este tipo de atividade.
Também entendo como importante uma visita à delegacia e o registro de um Boletim de Ocorrência, esta atitude demonstra, antes de tudo, que a empresa está tomando as medidas corretas de acordo com a lei e que está investigando o caso. Avisar as administradoras de cartão também é prudente para, além de demonstrar pulso com relação ao ocorrido, evitar sanções contratuais e aproveitar a experiência dos profissionais destas empresas na gestão de incidentes e definição de medidas de proteção.
A terceira medida, tomada em paralelo à análise forense é realizar uma revisão geral de todos os mecanismos de segurança do site, sobretudo os administrados por terceiros, implementar todas as medidas que puderem ser conduzidas a curto prazo e elaborar um plano para as demais.
De que forma os lojistas podem se precaver desse tipo de problema?
Em primeiro lugar incentivando a educação em segurança, sobretudo dos administradores de rede e desenvolvedores. Não existe uma forma de proteger uma loja virtual se aqueles que conduzem seu desenvolvimento e manutenção não estarem a par das ameaças e formas de proteção.
Também é essencial manter uma gestão próxima dos prestadores de serviços, já dei algumas dicas sobre como fazer isto em um artigo neste site.
Outra ação importantíssima é a de não armazenar dados de cartões de crédito. Existem empresas que armazenam estas informações e não as usam em nenhum processo de negócio. Estas empresas estão correndo um enorme risco. Para aqueles que querem implementar mecanismos como o One-Click para privilegiar a compra por impulso, sugiro contratar serviços de empresas especializadas e determinar claramente no contrato as responsabilidades pela proteção das informações e de quem é o ônus, sobretudo no que se refere a possíveis multas em caso de vazamento.
Em terceiro lugar, buscar alicerçar a operação da loja virtual em padrões ou melhores práticas de segurança internacionalmente aceitas. O mais popular destes padrões é PCI DSS, sigla em inglês para Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. Neste padrão é possível encontrar as regras básicas para proteção de ambientes que processam, transmitem ou armazenam dados de cartão. Mais informações sobre o PCI DSS aqui.