A facilidade de comprar sem sair de casa, bons preços e variedade de escolha foram determinantes para o crescimento do mercado digital no mundo. Contudo, à medida que o e-commerce cresce, as fraudes também se aperfeiçoam e, por essa razão, a segurança de um e-commerce nunca foi tão debatida.

Trata-se de um assunto sério, pois, sem ela, o negócio pode não ser viável, uma vez que os ataques minam os lucros e espantam os clientes. Nesse contexto, o gestor precisa conhecer as ameaças, saber como lidar com as principais delas e, ao mesmo tempo, manter a lucratividade. Os desafios são muitos e, neste post, vamos elucidar as novas ameaças e falar sobre como se resguardar. Saiba mais!

O cenário da fraude e do cyber crime no e-commerce

Vamos aos números relacionados aos ataques e às fraudes no e-commerce:

  • desde 2012, os crimes envolvendo o roubo de dados cresce em média 40% por ano;
  • o tempo médio que os atacantes passam dentro da rede sem serem notados é superior a 200 dias;
  • 70% dos ataques na rede se utilizam de uma combinação de técnicas hackers e phishing;
  • nos últimos 5 anos, 33% dos e-consumidores brasileiros foram vítimas de fraudes em seus cartões de crédito, débito e pré-pagos.

As ameaças ao e-commerce

O phishing é uma fraude destinada ao roubo de dados, ao se fazer passar por uma pessoa confiável ou por uma empresa, por meio de uma comunicação eletrônica. Vamos a alguns exemplos:

1. Malvertising

O Malvertising é um tipo de anúncio publicitário, geralmente em forma de spam que tem o objetivo de espalhar um malware na web. O malware (termo para malicious software) é um programa para phishing de dados que se infiltra no sistema para roubar informações (confidenciais ou não).

Ocorre que a natureza desse tipo de ataque vem evoluindo, sendo cada vez mais difícil diferenciar anúncios legítimos dos fraudulentos. Atualmente, os anúncios fraudulentos direcionam os usuários para sites que infectam o dispositivo. Os usuários que executam sistemas operacionais e navegadores são os mais vulneráveis.

O e-commerce perde não só em credibilidade, como em compras utilizadas com os dados bancários ou cartão de crédito do usuário e, quando ele pede estorno, o prejuízo fica com a loja virtual.

2. Phishing de e-mail

Similar ao malvertising, essa modalidade consiste no envio de e-mails com anúncios e oportunidades que, ao serem clicadas, direcionam o usuário para uma página onde é instalado o malware sem que ele saiba. Em algumas situações, nem é preciso ir para outra página: ao clicar em algum item disponível no e-mail, o malware já é instalado.

Então como se resguardar? Para as duas primeiras modalidades apresentadas, as medidas são mais simples, mas requerem a conscientização do e-consumidor para que ele utilize um antivírus eficiente, bem como a criptografia dos dados para o estágio inicial.

Para evitar que sejam feitas compras com os dados de terceiros, o e-commerce deve utilizar ferramentas para a detecção, fazer análises de risco ou utilizar intermediadores de pagamentos.

3. DDoS

O DoS attack (DDoS) é a fraude em que os recursos de um sistema se tornam indisponíveis para seus usuários. Ou seja, os invasores atacam e impedem o acesso ao e-commerce.

Ele pode ser feito de duas formas: forçar o sistema a reiniciar ou consumir recursos; ou obstruir a mídia de comunicação entre os usuários do sistema de modo que esses não se comuniquem adequadamente. É um tipo de ameaça que tende a resultar na perda da confiança do consumidor em relação à marca.

Os servidores já possuem proteções contra o DDoS como o MTS e CISCO Guard. Mas, nos casos em que o e-commerce já sofreu com essa ameaça ou quando é preciso proteção adicional, pode-se implementar um PROXY Reverso. Dessa forma, o que não for usuário será barrado no firewall.

4. Eavesdropping

Invasores podem atacar sistemas que tenham conexões não criptografadas ou fracas. Geralmente, eles visam senhas, CPF, dados de cartão de crédito, conversas sigilosas, entre outras informações pessoais. Trata-se de uma técnica que visa a violação de dados trocados entre o e-commerce e o usuário, semelhante ao grampo telefônico.

Esse tipo de ameaça é solucionada por meio da utilização de protocolos encriptados de transmissão, como o SSH e o HTTPS. Ambos utilizam o algoritmo 3DES com chaves de encriptação de 64 e 128 bits, respectivamente.

5. SQL Injection

O SQL Injection é um ataque baseado na inserção (ou injeção) de uma query que permite que o invasor obtenha informações e dados sigilosos do e-commerce. Ele consegue inserir ou manipular consultas por meio de aplicações enviadas para o banco de dados da plataforma.

Para se proteger desse tipo de ataque, a solução é a parametrização de consultas, a limitação de privilégios de acesso e o uso de stored procedures, um conjunto de comandos que identifica tarefas repetidas, aceitando parâmetros de entrada e retornando com um valor de status — o que indica a aceitação ou falha na execução.

6. Invasões em servidores

Pessoas mal intencionadas fazem de tudo para invadir sistemas e roubar dados, a exemplo do sequestro em servidores. Nesse caso, os dados são sequestrados e os invasores pedem o resgate em dinheiro. Eles entram por uma brecha e acessam todos os arquivos e fontes do sistema, controlando o alvo.

Esse tipo de ameaça é mais prejudicial em sistemas que utilizam apenas endereços IP para a validação de usuários. O ideal é o uso de um firewall poderoso, capaz de impedir esse tipo de ataque conforme o administrador o configure no intuito de recusar todos os pacotes direcionados.

Outras medidas para garantir a segurança de um e-commerce

Inicialmente, é preciso ter uma conexão segura para pagamentos. O recomendado é usar um certificado SSL forte (Secure Sockets Layer) que protege os dados trocados na web. Eles criptografam as informações partilhadas entre o e-commerce e o usuário, dificultando o roubo de dados.

Outra forma de se proteger é atualizando sistemas operacionais, plataformas e patches regularmente. Dessa forma, é possível se proteger de aplicações malvertising e phishing, evitando vulnerabilidades.

Além deles, a loja virtual precisa adotar uma política de privacidade e protocolos internos de segurança para cada venda feita. Entrar em contato com o proprietário do cartão em compras suspeitas, solicitar dados que somente o titular tem acesso, solicitar que ele utilize senhas mais fortes e analisar os padrões dos pedidos rejeitados são algumas das possibilidades para aumentar a segurança de um e-commerce.

O que acabou de ler foi útil? Aproveite e leia também este post sobre os maiores riscos de segurança para um e-commerce e veja outras soluções para se proteger de ataques externos ao seu negócio virtual!