Empresas de varejo e e-commerce estão entre as mais visadas por cibercriminosos

Relatórios de empresas de grande calibre em cibersegurança mostra como essas modalidades são visadas mundialmente para a prático dos crimes cibernéticos

Os criminosos virtuais estão sempre em busca de mercados que possam apresentar vulnerabilidades para ciberataques de diversos tipos. O comércio, seja na forma de varejo ou mesmo no e-commerce, que segundo dados da Retail X (Reino Unido) movimentou mais de 81 bilhões de dólares em apenas seis meses de 2022, são alvos constantes de vários tipos de ameaças virtuais que podem causar grandes danos a essas empresas e aos consumidores.

Em relatório publicado pela Apura Cyber Intelligence, empresa de especializada em segurança cibernética e apuração de ameaças, entre as táticas mais usadas por cibercriminosos no e-commerce é o phishing, que visa enganar os usuários para literalmente “pescar” e coletar informações pessoais e dados bancários. Em 2021, esse tipo de ataque cresceu cerca de 295%, muitas vezes através de falsos sites e anúncios de produtos vendidos na internet.

“As formas como essas ameaças ocorrem são por vezes mirabolantes, seja com anúncios e venda de um serviço de telas falsas para roubar de credenciais bancárias, ou ofertas falsas e sites muito semelhantes ao de lojas verdadeiras, que levam os clientes a acreditarem que estão comprando em locais confiáveis”, diz Sandro Suffert, CEO da Apura.

Um caso que chegou às mídias foi o ataque à Kaseya VSA, uma plataforma na nuvem que permite a fornecedores realizarem o gerenciamento e monitoração de clientes em marketplaces, que foi atacada pelo REvil, na época um dos maiores grupos criminosos do mundo, atingindo centenas de empresas. Em apenas uma das extorsões identificadas relacionadas ao caso, os criminosos exigiram 5 milhões de dólares para devolver os dados dos clientes.

O varejo também é muito visado. O mesmo relatório da Apura mostra que essa área esteve entre as 10 mais atacadas no Brasil, na sexta colocação com 6,5% dos ataques registrados, empatando, por exemplo, com setores com tecnologia e prestação de serviços.

No 2022 Data Breach Investigation, lançado pela gigante Verizon, mostra os tipos de ataques mais comuns no varejo. Os ataques de engenharia social, que é quando existe alguma manobra para enganar o cliente e fazer com que ele forneça credenciais, continuou sendo a principal tática, divididos aproximadamente entre Phishing (53%) e Pretexting (47%), que é quando o golpista finge ser um colega, a polícia, o banco, autoridades fiscais, clero, especialistas de companhias de seguro para captar dados.

Em muitos casos, essas credenciais são posteriormente utilizadas para hackear servidores e carregar ransomware (47%). Uma das descobertas é que malwares que capturam dados de aplicativos é 7 vezes maior no varejo em relação a outras indústrias, pois muitas empresas desenvolvem seus aplicativos de compra própria, e os criminosos usam essas informações e realizam crimes de fraudes no e-commerce.

Para Suffert, o que todos esses dados sobre e-commerce e varejo apontam é que, para poder combater as ameaças, é preciso primeiramente monitorar as possíveis causas e ter sistemas que permitam identificar ataques antes que eles ocorram.

O BTTng, plataforma da Apura, foi desenvolvido para averiguar ameaças em grandes quantidades e, via Inteligência Artificial, avaliar milhões de cenários em busca de problemas. A partir de mecanismos robustos de coletas de informações em variadas fontes, o sistema monitora e cruza informações, emitindo alertas.

“Quanto mais rápida a identificação, maiores as chances de se evitar ataques e até se antecipar a golpes, fraudes e outras ações hacktivistas”, explica Suffert.

Entre essas ações do BTTng, está o monitoramento de número de cartões, contas correntes, pix fraudulentos e qualquer tipo de engenharia social que possa abrir uma brecha e permitir o roubo de dados.

Lembrando que com a LGPD, as empresas que lidam com dados pessoas têm que cumprir uma série de obrigações para manter em sigilo e seguridade os dados dos clientes, sendo passíveis de pesadas multas caso isso não aconteça.