Digital Fraud

Lojas virtuais: o pote de ouro dos cibercriminosos

Por Rodrigo Dutra em
COMPARTILHAR

Chega a ser estranho imaginar alguém se dirigindo até uma loja física para adquirir um celular ou outro tipo de gadget que esteja na moda. Desde que as lojas virtuais — setor também conhecido pelo termo eCommerce — se popularizaram, ficou muito mais fácil (e muitas vezes até mais barato) adquirir produtos de consumo: basta navegar pelo site, escolher o item desejado e pagar por boleto, transferência bancária ou cartão de crédito. As redes sociais e as avaliações em páginas especializadas auxiliam na escolha e passam a fazer o papel do atendente na hora de tirar as dúvidas do consumidor.

Porém, nem tudo são flores. Desde os primórdios da humanidade os mercadores tiveram que lidar com roubos, furtos e fraudes de forma constante — não há motivos para acreditarmos que na internet as coisas seriam diferentes. Com a chegada do eCommerce, também surgiram os riscos cibernéticos específicos dessa indústria. Visto que é cada vez mais fácil criar uma loja virtual, nem sempre os comerciantes respeitam os princípios básicos de segurança cibernética.

É fácil entender o porquê do eCommerce ter sido o segundo maior alvo de ataques de phishing ao longo do ano de 2018, com 6 mil ocorrências identificadas pela Axur — o setor só ficou atrás do segmento financeiro, que registrou incríveis 10 mil ameaças. Lojas virtuais são alvos fáceis e lucrativos para os criminosos cibernéticos, que já utilizam uma série de técnicas para causar prejuízos e danos morais (especialmente para sites de pequeno porte, desenvolvidos com pouco esmero e sem as devidas soluções para a proteção de dados digitais).

 

O paraíso para os golpistas

Existem diversos motivos que tornam o eCommerce tão atraente para quem deseja aplicar golpes online. Vejamos alguns exemplos:

  • Facilidade em fraudar: o comércio de cartões de crédito roubados ou clonados é uma realidade e você já sabe disso. Sendo assim, basta usar um cartão desviado para adquirir itens de uma loja e tê-los entregues no conforto de sua residência. Se determinado site tiver mecanismos antifraude, basta procurar algum outro — existem milhares vendendo o mesmo produto. Da mesma forma, se o cartão for recusado, um hacker não terá dificuldades em conseguir outro e continuar tentando até obter sucesso;
  • Pouca segurança: é claro que grandes varejistas investem apropriadamente em segurança da informação, mas o mesmo não pode ser dito das “lojas de garagem”. Como citamos anteriormente, hoje em dia, existem dezenas de serviços e plataformas prontas que lhe permitem criar um comércio eletrônico do zero sem esforço algum. Infelizmente, quem segue esse caminho costuma se esquecer de se proteger desde o início contra o ataque de agentes maliciosos;
  • Ótima relação risco-recompensa: uma fraude mal-sucedida dificilmente terá alguma consequência negativa para o criminoso — ainda mais no Brasil, país que ainda não conta com uma legislação apropriada para lidar com o crime cibernético. Os hackers sabem que dificilmente serão presos. Mesmo uma fraude bem-sucedida pode demorar meses até ser identificada, já sendo tarde demais para rastrear seu responsável ou recuperar os danos. Ou seja, trata-se de uma prática que possui baixo risco, mas que oferece ótimas recompensas financeiras;
  • Símbolo de status: tais como os criminosos “convencionais”, por assim dizer, os cibercriminosos também gostam de ostentar sua vida fora-da-lei. Não é difícil encontrar golpistas se gabando em fóruns ou comunidades fechadas após adquirir itens de luxo — celular de última geração, roupas de grife, relógios importados — de determinada loja. Quanto mais eles têm sucesso em suas fraudes, mais status, fama e respeito eles ganham dentro da “cena” do cibercrime.

Todos esses fatores (e alguns outros), juntos, fazem do eCommerce um verdadeiro pote de ouro para quem deseja obter lucro fácil lesando terceiros através da internet. Essas características do setor o tornam sedutor até mesmo para quem está iniciando agora no mundo do crime cibernético, visto que muitos dos golpes não exigem grandes habilidades ou conhecimento técnico para serem aplicados.

 

A criatividade de uma mente criminosa

 Por exemplo, ao falarmos sobre phishing no eCommerce, basta que o criminoso desenvolva ou compre uma tela falsa pronta que simula com perfeição a página de um produto da loja em questão. Em seguida, basta enviar um email convidando as vítimas a acessar tal tela falsa e incentivá-los a adquirir o item (que nem sequer existe). Todo o dinheiro vai para o golpista, enquanto o consumidor vai esperar para sempre que sua compra chegue pelos Correios. Trata-se de uma situação que traz danos tanto ao internauta quanto à presença digital da loja real.

Também está se tornando cada vez mais comum a exploração dos gift cards — os famosos cartões de presente. Visto que não é necessário provar sua identidade para utilizá-los, eles passaram a ser roubados, vendidos e trocados na deep web. Hoje em dia, os criminosos mais habilidosos já conseguem até mesmo gerar gift cards de determinada loja de forma indefinida, caso eles consigam aprender o algoritmo utilizado pelo varejista para gerar os códigos teoricamente aleatórios de cada cartão. Trata-se de um golpe que pode trazer prejuízos financeiros milionários para o empreendimento.

Dentre outras táticas comuns que podemos citar a verificação automática de SMS (que nada mais é do que a técnica de transpor a autenticação de dois fatores feita através de mensagens de texto para identificar um cliente), a exploração de brechas estruturais no site (que existem, novamente, por conta da falta de preocupação com segurança digital no desenvolvimento da loja) e até mesmo o uso de credenciais de administrador para invadir os sistemas do site em questão. Essas credenciais podem ser adquiridas em vazamentos, através de ataques de força bruta ou via credential stuffing.

 

Como diria o ditado: é melhor prevenir...

É justamente por conta desses perigos que é tão importante monitorar todos os canais possíveis da internet — abertos e fechados, da surface ou da deep web — para identificar eventuais ameaças antes que elas efetivamente causem algum dano financeiro ou moral para a sua empresa. As soluções da Axur existem para ajudá-lo nisso, emitindo notificações caso algo relacionado com a sua marca seja detectado (um vazamento, um serviço de falsificação de vouchers ou até mesmo uma simples discussão de como usufruir de uma brecha em seus sistemas). Entre em contato conosco e saiba como podemos te ajudar a se livrar dos cibercriminosos!

 Infográfico riscos eCommerce

Compartilhe o Infográfico no seu site

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Rodrigo Dutra

Profissional de marketing holístico formado em comunicação pela ESPM e Administração pelo Insper. Sou guiado pela curiosidade e não tenho medo de sujar as mãos. Estou fazendo meu melhor trabalho quando junto criatividade e estratégia.