No Brasil, o varejo foi o setor mais atacado pelos cibercriminosos em 2022, de acordo com mapeamento da IBM. Trago esse dado para discussão porque, globalmente, a preferência dos atacantes tende a ser por organizações da indústria, o que pode gerar em muitos executivos das varejistas a falsa sensação de estarem com as boas práticas em dia.
Nas organizações mais bem protegidas, há tempos, a segurança da informação deixou de ser uma preocupação apenas dos executivos de TI e SI. O tema permeia todas as discussões estratégicas do board, incluindo o CEO, COO, CFO e, até mesmo, os conselheiros. A falta de envolvimento ou de aprovação de membros desse grupo de decisores em iniciativas do tema, aliás, é um dos grandes riscos cibernéticos para qualquer negócio.
Considerando as ocorrências que temos atendido e as minhas constantes trocas com clientes e colegas das áreas de TI e SI, apurei que três ameaças têm se destacado quando o alvo são transações em aplicativos de e-commerce:
- Sequestro de dados/Infostealers
O que é? O infostealer é um malware capaz de coletar informações pessoais salvas em aplicativos, como senhas, logins, dados de cartões, wallets e cookies. Se trata, no entanto, de um vetor inicial que pode desencadear diversos tipos de ataques, como em golpes com mensagens e links fraudulentos por e-mail ou WhatsApp (phishing) e até mesmo na instalação de aplicativos maliciosos que possam afetar o dispositivo.
Como prevenir? Utilizar métodos de desenvolvimento seguro de códigos para aplicações móveis, que permitam a identificação e correção rápida de vulnerabilidades a partir de testes constantes de invasão. Outra forma é realizar campanhas de conscientização junto aos clientes para não cair em mensagens fraudulentas em nome da empresa, que costumam ter recados alarmantes ou de promoções atrativas.
- Man In The Middle (MitM)
O que é? O ataque envolve um cibercriminoso que se posiciona entre um usuário e uma aplicação para interceptar os dados que estão sendo transacionados, levando ao vazamento de dados. Embora esse tipo de ataque seja possível em diversos sistemas, são mais recorrentes entre dispositivos móveis. É uma ameaça desafiadora principalmente por acontecer de maneira despercebida, sem interferir visivelmente na experiência do usuário que está acessando a aplicação.
Como prevenir? Algumas das boas práticas em segurança envolvem o armazenamento de dados do usuário com criptografia atualizada, autenticação multifator, monitoramento de APIs ocultas e documentação de alterações de código do app. Para o usuário, o uso de Virtual Private Network (VPN) permite conexões seguras, especialmente no uso de Wi-fi público (que preferencialmente deve ser evitado), protegendo o tráfego de maneira a dificultar a interceptação por cibercriminosos.
- Aplicativos falsos/Fraude digital
O que é? Os casos mais comuns de fraude digital envolvem a exportação de um banco de dados de uma plataforma de e-commerce para vender informações como o cartão de crédito do usuário, na Deep Web. Essa venda de dados também acontece de maneira ainda mais sofisticada ao replicar um aplicativo inteiro de uma loja para parecer que é o verdadeiro e induzir ao preenchimento de informações confidenciais pelo suposto cliente na simulação de compra.
Como prevenir? Para evitar que seus produtos ou serviços fiquem nas mãos dos cibercriminosos, é preciso adotar uma ferramenta de monitoração de marca para detectar e remover vendas irregulares usando a propriedade intelectual da sua empresa, bem como impedir que os consumidores sejam desviados dos canais oficiais de venda. Isso demanda de uma ampla cobertura de monitoramento entre os diversos aplicativos de marketplaces, inclusive integrando o uso de inteligência artificial para auxiliar na inspeção dos fraudadores.
Costumo dizer que só acha caro investir na segurança da informação aquele que nunca teve de lidar com os danos da insegurança. As ações corretivas, além de serem muito desgastantes tanto para o board quanto para as equipes de TI e SI, são extremamente caras.
Engana-se, também, quem pensa que os criminosos estão de olho apenas nas grandes marcas do varejo. É claro que lá está o maior montante de dinheiro, mas eles têm encontrado nas marcas de menor porte um retorno financeiro rápido, além de acesso a outras importantes companhias da cadeia.
Enquanto você pensa se vale a pena ou não investir em segurança da informação do seu varejo, os criminosos avançam cada vez mais rumo a dados e ambientes digitais estratégicos do seu negócio em uma jornada extremamente silenciosa. Quando você se der conta, já pode ser tarde demais.