BLACK FRIDAY: AINDA HÁ TEMPO DE SE PREVENIR DO OPORTUNISMO DO CIBERCRIME

Contexto da Black Friday aumenta exposição tanto dos varejistas quanto dos dispositivos e redes locais usados por consumidores. Algumas verificações na segurança do ambiente, assim como uma revisão da eficácia de políticas e condutas, ainda podem poupar lojistas e clientes de aborrecimentos e prejuízos

Por mais que a economia ainda esteja retraída, a própria recessão tem deixado muitos consumidores com um eletrodoméstico quebrado, o celular obsoleto ou a roupa fora de moda. Segundo pesquisa da Google, divulgada em agosto, 68% das pessoas pretendem comprar algo nesta Black Friday, no dia 24. As vendas devem totalizar R$ 2,2 bilhões. A empresa estima que o volume durante o período de promoções, entre quinta e domingo, corresponda a 4% das vendas totais do e-commerce.

Os esquemas de prevenção à fraude das grandes organizações de e-commerce e dos operadores de meios de pagamento são robustos. Em termos percentuais, o índice de tentativas defraude é até menor durante a promoção, pelo aumento do número absoluto de transações. Mas o volume de operações, de dados e a visibilidade que o e-commerce ganha nessa época agravam riscos que não se limitam a compras fraudulentas, como ataque a aplicações (para roubo de dados comerciais ou de clientes) ou de negação de serviço.

A má notícia é que o risco não se resolve apenas protegendo os sistemas de varejo e de pagamentos. Para o cibercrime, a Black Friday é explorada como “narrativa de fundo” para obter a cumplicidade involuntária do próprio consumidor.

A pouco mais de uma semana da Black Friday, varejistas, gestores de rede de escritório e os próprios usuários têm tempo para rever seus mecanismos e políticas de prevenção.

Phishing, um texto que encontra contexto

Usar um cliente legítimo para violar a segurança da loja é um golpe que acontece fora do domínio do varejista, mas pode dar grande prejuízo e danos à reputação. O fraudador age como um franco atirador e aproveita a experiência comum dos consumidores. Na prática, com vendas 20 vezes maiores do que a média e promoções de maior sucesso, aumenta a probabilidade de pessoas incluídas em uma lista de spam terem comprado o mesmo produto, na mesma loja. A partir de uma mensagem que “faz sentido”, o usuário é induzido a fornecer o login e senha de seu cadastro. O objetivo é mudar endereço de entrega ou inserir pedidos. (Se a aplicação permitir a visualização do número de cartão, facilita a vida do criminoso e o melhor é nem chegar perto dessa loja.)

Diferente dos bancos, o varejo não pode dispensar o e-mail como canal de promoção e pós-venda. Ou seja, as pessoas vão enviar e receber mensagens legítimas relacionadas a ofertas e compras na Black Friday, o que complica ainda mais o cenário.

Do ponto de vista do varejista, fortalecer a autenticação pode interromper o golpe. A contrapartida é que simplesmente pedir informações cadastrais complementares, como CPF, é pouco efetivo, pois os criminosos conseguem obter esses dados. Para neutralizar o agressor que passa “disfarçado de cliente” por firewall, filtro de aplicação e outras fechaduras, a solução é não restringir a monitoração ao ponto de entrada. Visibilidade fim a fim e análise de comportamento em tempo real se torna imprescindível.

Para os administradores de redes locais, o risco não se limita à fraude que o usuário pode sofrer como consumidor. Ansioso pela entrega de um pedido ou preocupado com a aprovação do pagamento, o risco de baixar malware ou acessar sites maliciosos se agrava.

Sistemas desatualizados e aplicações vulneráveis são um risco para todos

A cada escândalo de vazamento de dados se multiplicam as cifras do prejuízo e a quantidade de pessoas afetadas. Em vários casos se exploram vulnerabilidades conhecidas, ou falhas nas aplicações, cuja correção se posterga no dia a dia da operação. Na prática, ataques de injeção de SQL ainda representam um grande percentual das violações de dados em sites de e-commerce.

A capacidade de análise do comportamento no acesso às aplicações é também importante para mitigar ataques de negação de serviço (DDoS), que nesta data frustra ainda mais o esforço de negociação com fornecedores, marketing e todo o investimento na promoção.

Atualmente os bandidos sequer precisa de conhecimento técnico ou da ajuda de um hacker de verdade. Há kits prontos na Internet para explorar vulnerabilidades corrigíveis e falhas evitáveis. A ferramenta busca os servidores com segurança mais precária. Portanto, os procedimentos básicos de proteção já afugentam a maioria dos invasores.

Veja se suas defesas estão preparadas às ameaças de hoje

O atual modelo as a service dos fornecedores de segurança (em que as funcionalidades e inteligência das soluções são constantemente atualizadas) traz mais do que escalabilidade e facilidade de atualização. Além de funcionar como ponto central de atualizações em tempo real, os serviços baseados em nuvem têm a capacidade de monitorar a rede em escala regional, nacional e global. Assim, geradores de tráfego malicioso e outras ameaças são imediatamente identificados e se atualizam as soluções de prevenção da empresa.

Não custa lembrar do perigo 

O comércio eletrônico serve para se economizar algum dinheiro, pela competição entre os varejistas, mas principalmente para economizar tempo. Ninguém precisa esticar o horário de almoço para ir ao shopping. Então, não é razoável adotar medidas como bloquear o acesso a lojas virtuais nos escritórios, menos ainda nos dispositivos pessoais.

• Há competição na Black Friday, mas ofertas com preços muito desfasados da média são pouco críveis. Se a anúncio estiver associado a uma loja conhecida, deve-se verificar se o link ou o endereço realmente correspondem ao site.
• Não é difícil reconhecer um site com níveis mínimos de segurança. Basta conferir se na barra do browser o endereço começa com “htpps”. Isso não significa que o site seja legítimo, pois o fraudador também pode adotar criptografia. A vantagem é que, no caso de interações legítimas, os dados não podem ser    interceptados entre os pontos de origem e destino.
• Mantenha os antivírus dos endpoints atualizados. Ainda assim, no caso de     dispositivos móveis, é bom evitar usar aplicações críticas, que envolvam dados pessoais e financeiros, em redes Wi-fi públicas.
• Antes     de abrir um e-mail e clicar em algum link, verifique se o endereço     do remetente, assim como a URL (o endereço do site) apontada pelo link, são verídicos. No caso do link, basta encostar o cursor, sem clicar, e aparece a URL apontada no e-mail. Extensões de outros países (sem .br) e URLs encurtadas já são uma indicação óbvia de um provável golpe.
  Na dúvida, se a mensagem realmente tem a ver com um pedido em andamento, o melhor é acessar o site por conta própria ou ligar para o SAC.