Segurança no comércio eletrônico: Se previna das principais falhas de segurança no varejo
O forte aumento nas compras online desde o início do surto de COVID-19 levou a um aumento significativo nos ataques cibernéticos em sites e aplicativos de varejistas online, tornando imperativo que os comerciantes fiquem alertas aos riscos mais recentes.
O comércio eletrônico passou por uma grande pressão adicional desde o início da pandemia. Restrições de bloqueio e preocupações com a saúde tiveram um impacto significativo no comportamento de compra, criando condições sem precedentes para os varejistas.
Com os consumidores incapazes de visitar lojas físicas, a dependência do comércio eletrônico cresceu significativamente e as empresas foram forçadas a se adaptar rapidamente.
A BDO descobriu que as vendas online no Reino Unido mostraram um crescimento recorde durante maio de 2020, – 129,5% maior do que no mesmo período em maio de 2019.
Infelizmente, o crescimento do comércio eletrônico foi acompanhado por um aumento no número de cibercriminosos visando varejistas online.
O crescimento das compras online aumentou a pressão sobre as cadeias de suprimentos dos varejistas, gerenciamento de pedidos e sistemas de atendimento, adicionando mais desafios de segurança à mistura.
Principais riscos cibernéticos para varejistas online
Durante esse tempo, é importante que as organizações estejam totalmente cientes dos problemas de segurança que podem prejudicar seus negócios e relacionamentos com os clientes.
Além disso, o aumento no volume de clientes pode ter um impacto importante em sua capacidade contínua de cumprir o GDPR e o PCI DSS. Os principais riscos sobre os quais as organizações devem estar atentas incluem:
Instalação e configuração insegura de sites
Na pressa de responder ao forte aumento nas compras online, muitos varejistas começaram a receber pedidos e a introduzir novos sistemas de comércio eletrônico.
Como resultado disso, muitos podem não ter considerado e avaliado totalmente o impacto dessas alterações na perspectiva da segurança. Todos esses aspectos podem criar vulnerabilidades potenciais para os hackers explorarem.
Durante esse período de intensa pressão para o varejo online, também há um risco maior de introdução de vulnerabilidades de aplicativos, especialmente se as mudanças estiverem sendo implementadas sem que os testes de segurança adequados tenham ocorrido.
Vulnerabilidades comuns de aplicativos que podem permitir que um invasor acesse informações confidenciais de clientes e financeiras incluem criptografia de dados, autenticação, script entre sites (XXS) e falhas de injeção de SQL.
As configurações incorretas de segurança na nuvem também são um problema significativo para as empresas.
Vulnerabilidades de aplicativos móveis
Os aplicativos de compras móveis provaram ser uma forma valiosa de construir e manter relacionamentos com os clientes durante o bloqueio, mas também são um alvo atraente para os cibercriminosos.
Cerca de 26% das transações fraudulentas de comércio eletrônico nos primeiros três meses de 2020 ocorreram como resultado de aplicativos comprometidos – o dobro dos três meses anteriores.
O impacto da fraude em aplicativos de mobile banking destaca a vulnerabilidade de outros tipos de aplicativos.
Nos Estados Unidos, o uso de aplicativos bancários aumentou 50% durante a pandemia e o FBI teve que emitir um aviso aos usuários de que eles podem estar sob maior risco de comprometimento.
Riscos da cadeia de abastecimento
Nenhuma empresa opera no vácuo. Todo varejista depende de fornecedores e parceiros. Embora a colaboração seja boa para os negócios, ela também aumenta as possibilidades de ataques à segurança da cadeia de suprimentos.
Isso ocorre porque os fraudadores procuram comprometer as organizações explorando seus relacionamentos com outras empresas.
De acordo com uma pesquisa de violação recente, apenas um pequeno número de empresas do Reino Unido definiu padrões mínimos de segurança para seus fornecedores.
Com o aumento dos ataques à cadeia de suprimentos, ignorar esse risco é potencialmente muito prejudicial.
Os atores da ameaça agiram rapidamente para explorar as circunstâncias criadas pela pandemia. A combinação de uma situação de movimento rápido e um aumento nas compras online criou as condições ideais para eles.
Os hackers procuram comprometer as organizações tanto diretamente quanto por meio de fornecedores terceirizados por meio de phishing.
Business Email Compromise (BEC) é um tipo de ataque no qual os criminosos se disfarçam de colegas e contatos confiáveis para fazer solicitações de pagamento fraudulentas. Os ataques de BEC aumentaram drasticamente durante a pandemia.
Ataques com cartões clonados
Outra atividade criminosa que aumentou desde o início da pandemia é a clonagem de cartões, embora um número surpreendente de empresas ainda não esteja protegendo seus sites de maneira eficaz.
Magecart é um exemplo particularmente agressivo de malware skimming de cartão que é usado para injetar JavaScript em um checkout de site ou página de carrinho.
O varejista de roupas para atividades ao ar livre, Páramo, foi infectado com o malware por mais de oito meses antes de ser detectado. Durante esse tempo, os dados pessoais de mais de 3.500 clientes foram comprometidos.
A varejista de acessórios Claire’s também foi atingida recentemente, com um ataque supostamente coincidindo com o fechamento de suas lojas físicas pela empresa.
Os cibercriminosos roubaram um volume desconhecido de detalhes de cartões de pagamento dos clientes infiltrando-se no ambiente do Salesforce Commerce Cloud da empresa por pelo menos sete semanas.
Plugins inseguros
Embora os plug-ins de sites ofereçam funcionalidade e recursos aprimorados para varejistas online, eles também criam riscos de segurança adicionais.
Nem todos os plug-ins são avaliados quanto à segurança antes de serem instalados ou atualizados regularmente, deixando os sites vulneráveis a ataques que podem tentar explorá-los.
Uma pesquisa recente identificou que mais de 20 milhões de ataques foram tentados contra mais de meio milhão de sites WordPress individuais em um dia apenas em maio de 2020.
É essencial verificar se todos os plug-ins em uso são validados, mostrando que são provenientes de uma fonte confiável e regularmente atualizados.
Uma boa higiene de segurança também se estende a todos os outros softwares que as organizações usam para oferecer suporte a seus sites e aplicativos.
4 Etapas práticas para proteger seu negócio online
A mudança de hábitos dos compradores online e dos cibercriminosos exige que os varejistas adotem uma abordagem em várias camadas para proteger a segurança de seus sites e aplicativos. As empresas devem proteger seus dados e ativos:
-
Aplicativos Secure by Design
Secure by Design refere-se ao princípio de projetar software e sistemas levando em consideração a segurança desde o início do processo de desenvolvimento.
Isso significa que a segurança é a consideração central para todos os aspectos de um site ou software, incluindo sua arquitetura.
A priorização dessa abordagem ao desenvolver sites e aplicativos, bem como ao lançar novos produtos e serviços, garantirá que a segurança seja sempre uma prioridade, em vez de ser deixada de lado ou totalmente esquecida.
-
Realizar avaliações de vulnerabilidade regulares
As organizações devem realizar avaliações regulares de vulnerabilidade para avaliar a segurança de seus sites e aplicativos.
O teste de segurança do aplicativo precisa ser realizado antes de lançar um novo site ou aplicativo e depois de lançar novos recursos e serviços.
As avaliações podem ajudar a identificar configurações incorretas, plug-ins de software desatualizados e uso de credenciais de usuário não seguras.
Os pen tests de aplicativos também devem ser comissionados periodicamente para ajudar a identificar as vulnerabilidades que as ferramentas de varredura automatizadas podem perder.
-
Fornecimento de treinamento de funcionários
Os funcionários de uma empresa constituem uma das linhas de defesa mais importantes contra os cibercriminosos. Infelizmente, uma abordagem comum usada por hackers é obter acesso inicial aos sistemas comprometendo primeiro a conta de um membro da equipe.
Os varejistas devem fornecer treinamento abrangente à equipe sobre medidas de segurança e práticas recomendadas.
Como parte disso, a equipe precisa entender a importância de definir senhas fortes e manter os funcionários atualizados sobre as últimas campanhas de phishing para evitar a abertura de links e anexos de remetentes desconhecidos.
-
Manter-se ativo em relação ao endpoint e monitoramento de rede
É essencial que os varejistas estejam atentos ao status de seus sites, para que possam agir rapidamente se algo suspeito ocorrer.
As empresas de comércio eletrônico devem monitorar regularmente seus sites, servidores da web, bancos de dados e infraestrutura de back-end em busca de sinais de comportamento suspeito que possam indicar a ocorrência de uma violação.
Essa é uma tarefa que pode ser executada manualmente por um administrador ou automaticamente por meio do uso de tecnologias de monitoramento, como as ferramentas de Gerenciamento de Informações e Eventos de Segurança (SIEM) e Detecção e Resposta de Endpoint (EDR).
Garantindo o sucesso do comércio eletrônico em longo prazo
A adaptação às mudanças é parte integrante do negócio. Mas os riscos de segurança cibernética criados pela pandemia COVID-19 criaram desafios significativos e continuarão ao longo do tempo.
Os cibercriminosos são extremamente oportunistas e o grande número de novos sites de comércio eletrônico criados em resposta à pandemia oferece a eles muitas novas oportunidades para lançar ataques.
O fim das restrições de bloqueio não significa necessariamente uma redução na demanda por comércio eletrônico. Apesar da atenuação do bloqueio, os hábitos de compra mudaram. A estratégia de segurança e as proteções também precisam mudar.
Para proteger a segurança de seus clientes e negócios, os varejistas precisam se concentrar tanto na tecnologia que usam para vender seus produtos quanto nos próprios produtos.
Manter-se atualizado com a segurança cibernética e acessar o suporte especializado no momento certo pode ajudar os varejistas a prosperarem em condições comerciais voláteis.