Por Matheus Borges
No Brasil, com as grandes organizações sofrendo ataques cibernéticos massivos, houve um sensível aumento nos investimentos em infraestrutura e serviços de segurança da informação. Dessa forma, a fim de encontrar outras vítimas, atacantes mal-intencionados passaram a visar também as pequenas e médias empresas (PMEs), que na maioria dos casos, não possuem alto nível de maturidade digital e não investem tanto no desenvolvimento de defesas digitais.
Alguns cuidados com infraestrutura de hardware e software devem fazer uso de equipamento de firewall para sua conexão com a internet. Deve-se instalar, usar e atualizar software antimalware, antivírus e antispyware em todos os computadores da sua empresa e/ou nos equipamentos utilizados pelos funcionários na modalidade homeoffice; baixar e instalar atualizações de software à medida que se tornam disponíveis e proteger as redes WiFi do seu local de trabalho – ou as redes onde seus funcionários executem suas atividades.
Nesse contexto, listo abaixo cinco dicas para pessoas e empresas (principalmente às PMEs) se protegerem não apenas na Black Friday, mas o ano todo, sobretudo em períodos de grande apelo comercial:
1) DDoS podem derrubar sites: os ataques desse tipo direcionam uma quantidade massiva de visitantes fantasmas através da ação de robôs para derrubar um website ou e-commerce. Além disso, podem ser utilizados para ocultar outros tipos de ataque como de roubo de dados e até mesmo ransomware. Estas ameaças foram vistas recentemente em ações de grupos como REvil, BlackCat e Suncrypt. Existem diversas ferramentas no mercado e empresas especializadas que podem ajudar PME´s a levantar barreiras contra este tipo de ataque – que pode paralisar as operações das lojas virtuais no período em que elas mais lucram.
2) Opte por uma forma de pagamento consolidada: existem plataformas e ferramentas que disponibilizam e efetuam transações financeiras que oferecem uma camada a mais para segurança das PMEs. Evite disponibilizar pagamentos pelo próprio site e centralize as informações de pagamento com o fornecedor contratado. Desta maneira, dados, como número de cartão de crédito, não passam pelo sistema da empresa.
3) LGPD e atenção redobrada com dados de clientes – Em caso de vazamento, a empresa responderá legalmente pelas informações vazadas de seus consumidores, passível a aplicação de multas. Busque coletar o mínimo de dados possível. Se a empresa não precisar reter, guardar ou armazenar dados, o ideal é que não o faça.
4) Spoofing e phishing: neste tipo de ataque Spoofing (do inglês imitar, fingir), o criminoso tenta se passar por uma empresa legítima por meio de sites falsos – por exemplo, alterando uma letra para se aproveitar de erros de digitação ou falta de atenção. No phishing, muito comum na época de Black Friday, um e-mail falso é enviado para roubar dados, direcionar pagamentos para contas falsas ou produtos que não existem. Aqui vale uma campanha de conscientização com seus clientes ou demais públicos-alvo (funcionários, parceiros, fornecedores etc) para alertá-los sobre sites e e-mails falsos.
5) Cartão Virtual: Nesta modalidade o banco gera um número de cartão apenas para uma compra ou determinado período, depois disso, perde sua validade evitando fraudes e clonagens. As empresas podem incentivar seus clientes a utilizarem este método para elevar a segurança com mensagens indicando esta função.
É importante reforçar que o ser humano ainda é o maior ponto vulnerável no ambiente corporativo. Nesse sentido, é fundamental capacitar regularmente seus profissionais. Treine sua equipe sobre as melhores práticas em segurança cibernética e sinais de alerta de ataque, bem como procedimentos a serem seguidos se um ataque acontecer.
*Matheus Borges, CCO da Redbelt Security