Black Friday: aumento de compras online também elevam chances de golpes

Período gera expectativa de alta nas transações online durante a data. Especialistas alertam sobre os principais cuidados que as empresas precisam tomar

Compartilhar:

Falta pouco para a Black Friday 2022. Neste ano, a data coincide com a Copa do Mundo e, segundo pesquisa feita pela Associação Brasileira de Comércio Eletrônico (ABComm) a projeção de vendas durante o período da Black Friday deste ano é de R$ 6,05 bilhões no e-commerce brasileiro, sendo que os pedidos online devem ultrapassar os 8,3 milhões, 3,5% a mais quando comparado ao mesmo período do ano passado.

 

Com o aumento das compras, o cuidado com a cibersegurança tanto de consumidores, quanto de empresas, deverá ser redobrado. Thiago Marques, sócio da Add Value Security, empresa focada em cibersegurança, salienta que um modelo Zero Trust é obrigação. Para ele o conceito “nunca confie, sempre verifique” é o diferencial para evitar exposição e falhas de segurança.

 

“Neste período de compras pela internet, como Black Friday e na sequência natal, as atenções devem ser redobradas. Portanto, a adoção de um modelo Zero Trust é essencial para elevar o nível de segurança. Aumentar ainda mais as ações de rever políticas de acesso e soluções como cofre e gestão de senhas, limitação de acesso a sistemas críticos, testes de vulnerabilidade e, claro, atuar nas correções encontradas o quanto antes, além de revisão das políticas e regras de WAF para diminuir falsos-positivos. Todo cuidado é pouco”, diz Marques.

 

Para Guilherme Murakami, diretor da Cipher, empresa de cibersegurança do grupo Prosegur, os varejistas, sobretudo aquelas interligadas a parceiros e franquias que podem representar riscos, precisam cumprir protocolos que incluem testes de vulnerabilidade, monitoramento de ativos, rastreamento de redes e manter uma equipe treinada para respostas a incidentes.

 

“É importante realizar pentests (ação que simula uma invasão), antecipando possíveis ações de hackers maliciosos, para assegurar que hotsites e aplicativos não tragam nenhuma brecha se segurança. Com o aumento dos serviços financeiros e a diversificação de meios de pagamento, operar com instituições que tenham a certificação PCI é uma prática obrigatória”, aconselha Murakami.

 

Bruno Lobo, gerente-geral da Commvault para América Latina e autor do livro “Pronto para o Ransomware?”, reforça que é fundamental ter um plano de contingência. Ele enfatiza que todas as empresas serão atacadas em algum momento de suas vidas, a questão é como responder a este ataque. É essencial elaborar, junto com o time de TI, um plano para prevenção, resposta, recuperação e investigação de incidentes.

 

“É preciso conhecer as ‘joias da coroa’. ‘O que pode fazer meu negócio parar na Black Friday?’ ‘Qual o primeiro item a ser protegido?’ Pode ser o site do e-commerce, o banco de dados dos clientes, as aplicações integradas para meios de pagamento, entre outras. Além disso, certifique-se de incluir no plano a Recuperação de Desastre e um backup bem revisado e monitorado rotineiramente pode salvar sua empresa em um momento crítico, em que o negócio não pode parar. Além de monitorar e testar seus backups, defina tempo (SLA) para reestabelecer os sistemas e táticas para evitar vazamento de dados”, explica Lobo.

 

O prejuízo de ficar algumas horas indisponível durante a Black Friday é muito grande. Segundo o diretor de Pré-Vendas Serviços Profissionais LATAM da Quest Software, fornecedora global de software de gerenciamento de sistemas, proteção e segurança, Rogério Soares, um monitoramento ainda maior e antecipado é essencial e que os ataques são anunciados no dia, mas eles acontecem muito antes com movimentos laterais de ganho de contas de usuários e identidades digitais com privilégio de acesso meses e, por vezes, até anos antes.

 

“Pensar na segurança de forma antecipada é a única forma de consolidar uma estratégia eficiente. A Black Friday do ano que vem tem que estar no planejamento deste ano. Durante o período, é aconselhável o monitoramento de elevação de privilégios, bem como a revogação de acessos e revisão de hierarquias não adequadas ao protocolo padrão de cada empresa”, avalia Soares.

 

No Brasil, com as grandes empresas protagonizando ataques massivos. Agora, atacantes voltam seus olhos para pequenas e médias empresas (PMEs), que podem não ser tão maduras no desenvolvimento de defesas digitais. De acordo com Eduardo Lopes, CEO da Redbelt Security, consultoria especializada em Segurança da Informação.

 

“Ataques de DDoS podem derrubar sites. Ataques deste tipo direcionam uma quantidade massiva de visitantes fantasmas para derrubar um website ou e-commerce. Além disso, podem ser utilizados para ocultar outros tipos de ofensivas como de roubo de dados e até mesmo ransomware. Estas ações de grupos hackers como REvil, BlackCat e Suncrypt podem ser coibidas com diversas ferramentas no mercado e empresas especializadas que podem ajudar PMEs a levantar barreiras contra avanços do cibercriminosos”, afirma Lopes.

 

Dicas para o consumidor 

 

Os especialistas também recomendam às empresas que orientem o consumidor sobre como fazer suas compras com segurança e aproveitar os descontos sem correr riscos. Eles sugerem algumas iniciativas ao consumidor final, que acaba sendo a vítima preferida das táticas de Engenharia Social:

 

• Desconfiar de promoções milagrosas – antes de clicar num produto com preço muito abaixo do mercado, faça comparativos em lojas confiáveis e sites de cotações reconhecidos;

 

• Checar se a plataforma de e-commerce escolhida para a transação tenha um selo de segurança – normalmente representado pelo símbolo cadeado, que comprova se uma página é de fato a oficial;

 

• Conferir se está navegando em tráfego seguro – em sua grande maioria, endereços de sites seguros iniciam com https;

 

• Cuidado com promoções via e-mail, SMS e WhatsApp – se receber alguma oferta irrecusável, diretamente no dispositivo pessoal, não clique no link antes de validar a URL (um número ou letra trocados podem levar a uma página de phishing);

 

• Spoofing e phishing: neste tipo de ataque Spoofing (do inglês imitar, fingir), o criminoso tenta se passar por uma empresa legítima por meio de sites falsos – por exemplo alterando uma letra para se aproveitar de erros de digitação ou falta de atenção. No phishing, muito comum na época de Black Friday, um e-mail falso é enviado para roubar dados, direcionar pagamentos para contas falsas ou produtos que não existem. Aqui vale uma campanha de conscientização com seus clientes para alertá-los sobre sites e e-mails falsos;

 

• Cartão Virtual: Nesta modalidade o banco gera um número de cartão apenas para uma compra ou determinado período, depois disso, perde sua validade evitando fraudes e clonagens. As empresas podem incentivar seus clientes a utilizarem este método para elevar a segurança com mensagens indicando esta função.

Conteúdos Relacionados

Security Report | Overview

Custo médio de ciberataques na Saúde foi de US$ 5,3 milhões em 2023

Diante do contexto de violação, PwC lista seis ações essenciais para segmentos impactados no setor
Security Report | Overview

Ataques DDoS podem ameaçar a Segurança Cibernética das eleições de 2024?

Em tempos de instabilidade política global, como a guerra na Ucrânia, os conflitos em Israel e as eleições nos EUA,...
Security Report | Overview

IA Generativa é incluída em nova oferta de SASE da indústria de Cyber Security

A nova oferta e a integração inteligente de IA generativa demonstram o compromisso da companhia com a inovação em SASE
Security Report | Overview

3,5 milhões de brasileiros foram vítimas de phishing em 2023, estima estudo

A expectativa é que o número seja, ao menos, 30% maior até o final deste ano. Finanças, Saúde e Governo...