Segundo Rodrigo Nasser, apresentador da Plenária de Tecnologia & Inovação do Fórum E-Commerce Brasil, é para Rodrigo Jorge, Chief Information Securit Officer da CERC, que ele liga quando tem dúvidas sobre segurança no e-commerce. O executivo palestrou sobre as melhores práticas de segurança para o e-commerce e os desafios atuais da gestão da tecnologia no ambiente digital.
“Os usuários brasileiros passam muito tempo na internet e, quanto mais tempo estamos online, mais expostos estamos às fraudes”, explicou o palestrante.
De acordo com a ClearSale, o Brasil registrou R$ 3 bilhões em tentativas de fraudes no e-commerce em 2024. O Data Senado levantou que 1 a 4 brasileiros já sofreu algum tipo de fraude ao fazer compras online. Com o advento do social commerce e a popularização do e-commerce nos últimos anos, as possibilidades de incidente aumentam consideravelmente.
“O Brasil, inclusive, tem essa ‘cultura do incidente’, de tomar uma providência após algum susto, como colocar o cadeado na porta depois do primeiro roubo ou trocar a senha por uma mais forte depois de ter a rede social hackeada”, ele explica.
A tendência do brasileiro é não ser desconfiado até sofrer algum golpe, o que é muito prejudicial ao varejo digital. Um levantamento do Serasa aponta que metade dos brasileiros abandona uma compra online ao desconfiar de um risco de golpe, mesmo quando o site é legítimo.
O que fazer?
Os principais riscos envolvem admin roubado, checkout fraudado, deepfake com um anúncio falso, loja clonada usando IA, perfis falsos no Instagram e WhatsApp ou uma integração insegura.
“Alguns cenários são mais aderentes aos micro e pequenos empreendedores, enquanto outros são mais relevantes para as grandes emrpesas”, ele pontua.
Algumas falhas básicas, que podem ser evitadas, estão entre as principais situações que podem causar insegurança. Credenciais compartilhadas entre diversos colaboradores e empresas, por exemplo, são portas de entradas para que algo dê errado, assim como acessos não revogados para funcionários que já saíram da empresa, mas ainda conseguem acessar tudo.
“Esses dois pontos são básicos, mas muito perigosos”, afirma.
O terceiro ponto é referente à falta de monitoramento para vazamento. “Tanto o consumidor quanto o colaborador costumam salvar senhas no próprio navegador, o que é bem comum, mas diversos vírus operam exclusivamente para roubar esse tipo de informação e vender para empresas mal intencionadas”, completa.
Por fim, ambientes desatualizados e vulneráveis. “As pessoas não atualizam o navegador para não parar o trabalho, mas essas atualizações servem para previnir falhas de segurança e possíveis ameaças”, pontua.
Além disso, muitas empresas montam seus sites a partir do WordPress, que conta com diversas camadas de vulnerabilidade. “O hacker nem precisa invadir seu site, pois você deixou a porta aberta”, afirma.
Perigos ocultos
Às vezes sem nem perceber, os próprios desenvolvedores da empresa expõem o site com credenciais hardcoded no código da loja ou ausência de práticas mínimas de segurança que são “puladas” pela correria do dia a dia.
“O golpe parece distante e uma realidade das outras empresas ‘descuidadas’, mas pode acontecer com qualquer marca”, expõe. Hoje, com a IA e as redes sociais, é fácil se passar por outras pessoas e lojas compilando informações, vozes e vídeos autenticos para uma mensagem ou login fraudulento.
“Muitas pessoas caem nesse tipo de golpe, mas o consumidor começou a desconfiar de promoções legítimas, principalmente quando o desconto é muito grande”.
Algumas táticas de fraude, como permitir o desconto apenas no pix, podem assustar o cliente mesmo quando o site é legítimo.
Práticas seguras
Antes mesmo da tecnologia, seguir bons procedimentos ajuda a evitar fraudes sem grandes investimentos. Em primeiro lugar, é preciso proteger os dados do consumidor e seguir a Lei Geral de Proteção de Dados.
O Google oferece uma opção de alertas gratuitas para possíveis indexações fraudulentas imitando uma loja ou marca. Há também a opção de adicionar produtos, URLs e característimas da empresa.
“Para a dark web, algumas ferramentas oferecem esse serviço de forma paga. A depender do tamanho da empresa, é possível aplicar alguma solução mais barata apenas para não ser pego de surpresa”, pontua.
Outro erro comum que pode ser evitado é delegar sem validar, acreditando que a agência contratada consegue cuidar de tudo, inclusive da segurança.
A nuvem, por sua vez, também não está isenta de perigos. “Os fraudadores vão atrás dos furos nos processos, mesmo na núvem, é preciso ter validação de logins e acessos”, alerta.
Por fim, investir em um bom antifraude
“A segurança precisa ser percebida pelo cliente, precisamos mostrar que o ambiente é protegido, investindo em um certificado de segurança”, orienta.
Login com redes sociais, biometria e passkeys também é uma ótima forma de proteger o e-commerce e evitar mais uma senha vazada. O segundo fator de verificação é a cereja do bolo, pois o fraudador não consegue acesso ao site mesmo em porte da senha.
Como dica final, ele orienta que o lojista faça um checklist com todos os aspectos de segurança que o e-commerce precisa cumprir, começando pelas questões mais simples, avançando para a mais complexa. “Se o seu e-commerce for fraudado hoje, ele sobrevive?”, questiona. “Segurança começa no básico e o básico protege muito mais do que você imagina”, finaliza.