O negócio de E-Commerce está projetado para crescer em mais de 100% por ano, com o valor total da indústria atingindo a marca de US$3,53 trilhões. Com tanto dinheiro em jogo, não é surpresa que websites de E-Commerce são alvos lucrativos para os criminosos cibernéticos. Neste artigo, exploraremos como é possível manter seguro grandes sites de E-Commerce: os tipos de ameaças que grandes plataformas como o eBay enfrentam e o que está sendo feito para mitiga-las.
Frustrando os principais vetores de ataques
O varejo online é um dos maiores alvos para os ataques cibernéticos e eles acabam lidando com um centro padronizado de ataques, principalmente nos maiores sites. Claro, todo negócio com presença na Web deve se proteger do ambiente hostil da internet atual. Entretanto, grandes sites de varejo tendem a ter grandes recursos de segurança cibernética à disposição para que as ameaças básicas sejam mitigadas.
Extorsão DDoS
Botnets de caráter hostil representam um dos maiores desafios aos administradores do website, porém o DDoS (distributed denial of service) é uma forma particularmente lucrativa de extorquir grandes plataformas E-Commerce pois a sua receita é diretamente proporcional ao tráfego que o site recebe. Durante o período de pico no tráfego esses sites se tornam particularmente vulneráveis. Por exemplo, durante a Black Friday os ataques de DDoS podem aumentar em cerca de 70%.
Na extorsão de DDoS, o atacante lança um ataque e inunda a rede da vítima com uma grande quantidade de tráfego de botnet. O atacante então contata a vítima e exige um pagamento como forma de resgate (normalmente com moedas virtuais como o bitcoin), sendo esse o preço para cessar o ataque. A não ser que e até que o pagamento seja feito, o ataque continuará e o site alvo sofrerá disponibilidade degradada aos clientes, caso esteja de fato disponível.
Logo, os donos de sites de varejo encaram um desafio técnico: Eles precisam manter um website em execução em alta performance, capaz de servir o tráfego em uma escala suficiente ao mesmo tempo em que tentam filtrar todo o tráfego malicioso sendo realizados por aqueles que tentam realizar a extorsão. Para que a proteção contra DDoS ocorra, o filtro deve ser executado em tempo real e em larga escala.
Roubo de dados do cartão de crédito
Números do cartão de crédito são comodidades valiosas na dark web. Se um site de varejo processa os próprios pagamentos, então os hackers sabem que muito usuários provavelmente salvaram suas informações do cartões de crédito no backend do site. E os dados do cartão podem ser considerados alvos primários para o roubo seguido da venda dessas informações.
Para roubar os dados de cartão de crédito de um site, os bots são enviados para fazer um scan de vulnerabilidade. Quando uma vulnerabilidade é encontrada, o hacker invade o site e rouba os dados. Um ataque bem sucedido pode levar a uma série de roubos de cartões, podendo chegar até a dezenas de milhares de números roubados.
Os sites de varejos sofrem diversos tipos de danos quando sofrem esse tipo de ataque. Primeiramente as perdas financeiras que ocorrem quando os números dos cartões são roubados e usados em compras fraudulentas. Os proprietários do site também perdem reputação uma vez que as brechas vem a público, além de lidarem com multas das regulações de privacidade e o potencial acumulo de responsabilidade legal pela violação e roubos de identidade subsequentes.
Além disso, os proprietários podem se tornar cúmplices involuntários de roubos de cartão de crédito. Dados de cartão validados são bem mais valiosos na dark web, o que faz com que os hackers usem bots para validar os números dos cartões roubados; eles utilizam os números roubados em sites de varejo para ver se eles serão aceitos ou rejeitados. Uma técnica similar é usada para descobrir novos cartões. Os bots procuram potenciais números de cartão de crédito e os preenchem em aplicações na web. Apesar de bruto, é uma forma efetiva de roubar cartões de crédito adicionais que não eram conhecidos pelo atacante.
Prevenindo o roubo de dados de cartão de crédito
Prevenir atividades maliciosas de cartão de crédito é difícil, mas um dos fatores principais desse tipo de ataque é a dependência dos bots.
Nem todo tráfego de bot é hostil. Por exemplo, os varejistas recebem bem as engine spiders e os shopping engine bots (mecanismos que influencia a aparição destes sites em mecanismos de pesquisas). Mesmo assim os sites de E-Commerce e aplicações web precisam inspecionar todo o tráfego que chega e identificar sua origem para que todas as solicitações que se originam de origens não humanas e suspeitas sejam bloqueadas.
[wpdiscuz-feedback id=”ntl23kvnp3″ question=”Gerencia algum E-Commerce? Conta pra gente quais são as principais ocorrências e preocupações relacionadas a segurança que você enfrenta?” opened=”1″]E você, gerencia algum E-Commerce? Conta pra gente quais são as principais ocorrências e preocupações relacionadas a segurança que você enfrenta?[/wpdiscuz-feedback]
Outros padrões de ataque
Além das ameaças descritas acima, os times de segurança cibernético precisam se defender de uma variedade de ataques como:
Acúmulo de inventário
Autores maliciosos, incluindo de companhias rivais, podem configurar bots para adicionar aos carrinhos mercadorias de forma automática. Essa tática é frequentemente usada para tentar frustrar as vendas e prevenir a reposição precisa de estoque durante os picos de compra. Dependendo da configuração do site do E-Commerce e do ERP do backend, elas podem ter o mesmo efeito de pedidos reais nos sistemas de gerenciamento de inventário. Isso acaba com o inventário de forma artificial e faz com o que produto seja mostrado como fora de estoque para os clientes que realmente desejam o produto. Claramente esse tipo de ataque de bot pode trazer graves perdas no negócio da empresa.
Fraude de PPC
Fraude de propaganda envolve um bot mimicar o comportamento de usuários reais clicando em banners pay-per-click (PPC) e textos de publicidade que aparecem em diversos sites. Como resultado, a empresa pagará mais a empresa que propaga o PPC degradando o ROI e desencorajando-os de continuarem a lançarem campanhas no ramo desejado. Ao longo do tempo, também irá prejudicar a possibilidade do site de executar anúncios dessa rede.
Criação de contas falsas e ofertas de bot
Em mercados de leilão, os bots podem ser usados artificialmente para aumentar as ofertas. Para isso, contas de bot falsas devem ser criadas. É importante inspecionar não apenas os parâmetros técnicos (como o agente do usuário e o endereço de IP) de novas contas registradas, mas também o comportamento desses “usuários” comparando suas ações com outros perfis com comportamento biométrico construídos a partir de Machine Learning que acumulou os dados comportamentais de usuários legítimos. Além disso, o bloqueio de tentativas de criação de contas automatizadas e a criação de uma segunda linha de defesa vital aos métodos como reCAPTCHA, assegura que apenas usuários legítimos sejam permitidos criar as contas, não apenas em sites de leilão, mas em todo tipo de sites de E-Commerce e aplicações na Web.
Credential stuffing e apropriação de contas
O Credential stuffing envolve bots maliciosos preenchendo nomes de usuário e senhas em sites de E-Commerce para ter acesso as contas. As credenciais usadas normalmente são conseguidas através de vazamento de dados ou outros sites, seja conseguidos de forma direta ou comprados no mercado negro. Uma vez que o bot consegue o acesso, eles podem tentar alterar as credenciais para impedirem que os donos entrem na conta novamente. Aqueles que operam a conta então podem usa-las para comprar bens de forma fraudulenta e realizar outras atividades ilícitas
A necessidade de aproximação multifacetada
Grandes websites de E-Commerce apresentam uma grande variedade de oportunidades para ganho ilícito. Logo, eles são mais suscetíveis a serem alvos dos criminosos cibernéticos no futuro.
Os sites de E-Commerce enfrentam uma variedade de ameaças: Tudo desde competir com outros revendedores tentando suprimir os competidores orquestrando ataques de DDoS durante os picos de compra, a criminosos cibernéticos criando redes de contas falsas ou comprometidas com credenciais obtidas em brechas.
Para se proteger contra essas ameaças, os proprietários de site de E-Commerce devem operar sistema de proteção multifacetada que incluam WAF de próxima geração, proteção contra DDoS, detecção de bots sofisticada e ferramentas de análise comportamental.
Proteja-se agora
Um pensamento em “E-Commerce: Como manter seguro?”
Este foi o quarto artigo que acabei de ser relacionado a esse item e foi o que mais deixou claro para mim. Gostei.