Hoje, o setor do comércio a retalho é um dos principais alvos de agentes maliciosos a nível global. O dinheiro e dados dos consumidores são um prémio apetecível para cibercriminosos, e esta perspetiva tem vindo a tornar-se ainda mais atrativa com o aumento do investimento digital e dos compradores online potenciados pela pandemia.
A forma como os comerciantes fazem frente ao aumento das ciberameaças pode ser crucial para as suas perspetivas – e as dos seus clientes – no mundo pós-pandemia.
Os ativos, físicos e digitais, dos retalhistas são passíveis de serem comprometidos. Nos últimos anos, esta “superfície de ataque” tem vindo a ampliar-se por fatores são distintos como agentes infiltrados com más intenções, funcionários negligentes, assim como software mal configurado ou vulnerável através de redes, endpoints e dispositivos de ponto de venda (“point of sale” – POS).
Neste contexto, a cibersegurança desempenha um papel crítico na proteção dos dados pessoais e financeiros dos clientes. Em última instância, a proteção segura dos ativos é um meio para impulsionar um envolvimento mais próximo com os clientes, além de fazer crescer o negócio.
O novo relatório da ESET a respeito das ameaças em evolução para os dados e pagamentos no setor do comércio a retalho enfatiza o impacto causado pela pandemia. A forma como os retalhistas podem fazer frente ao aumento das ameaças online pode determinar o seu sucesso a longo-prazo num mundo pós-pandemia.
O que está em jogo neste mundo da cibersegurança?
A COVID-19 provocou transformações profundas nas organizações do setor, mas também as expôs a novos riscos de cibersegurança. O trabalho remoto que se vulgarizou tornou ferramentas como o Microsoft Exchange e Kaseya mais populares para a comunicação e gestão de TI. E ambas foram exploradas massivamente para roubo de dados e extorsão.
Genericamente, o comércio a retalho está exposto em múltiplos pontos da sua infraestrutura de TI, incluindo bases de dados de clientes, terminais POS, automação de marketing, ferramentas de otimização de pesquisa na web e plataformas e serviços de processamento de pagamentos.
A ESET detetou de tudo: phishing, ransomware, comunicações intercetadas (ou ataques do tipo “man-in-the-middle”), roubo de números de telefone (ou “SIM swapping”) e, inclusive, aplicações móveis falsificadas.
Do ponto de venda para o e-commerce: Tendências e paisagem de ameaças
No passado, os pontos de venda eram o alvo tradicional dos agentes maliciosos, e essa ameaça continua a existir. No entanto, a adoção generalizada dos cartões EMV (isto é, os cartões de débito ou crédito projetados para autorizar pagamentos em terminais POS compatíveis), que não podem ser clonados tão facilmente usando dados POS roubados, e os novos sistemas de pagamento como o Apple Pay estão a fazer com que a atividade maliciosa se torne mais patente online.
Esta tendência foi impulsionada pela pandemia de COVID-19. Em 2020, globalmente, a quota das vendas no comércio a retalho online no total de vendas aumentou de 16% para 19% em relação ao ano anterior. Abaixo está um retrato de algumas ameaças típicas no e-commerce atualmente:
- Malware de roubo de cartões digitais do estilo “Magecart”, que, por exemplo, no final de 2020 resultou numa multa de 20 milhões de libras à British Airways;
- Outro tipo de malware sofisticado de roubo de cartões, como já foi detetado, por exemplo, em ícones de partilha de redes sociais;
- Malware IIStealer, que, tal como foi descoberto por investigadores pela ESET, compromete os servidores web, aguardando que os utilizadores verifiquem e paguem os artigos, registando a informação do cartão de crédito sem impacto para a experiência do utilizador;
- Malware de plugin de e-commerce, como foi detetado numa campanha de explorou bugs de segurança no plugin WooCommerce para WordPress.
Medidas de mitigação e outras boas práticas de cibersegurança
Não soluções à prova de bala para estes desafios, mas as melhores práticas de cibersegurança – ou seja, cibersegurança com múltiplas camadas de proteção – contribuem para mitigar os riscos, protegendo desde o utilizador final até ao endpoint. A ESET sugere as seguintes dicas:
- Contas dedicadas com palavras-passe fortes e únicas para os administradores;
- Autenticação multifator em todas as contas administrativas e mais privilegiadas para proteção extra;
- Atualização regular do sistema operativo e das aplicações do servidor, considerando ainda cuidadosamente os serviços que estão expostos à Internet para reduzir o risco de exploração;
- Proteção dos dados do cliente com encriptação;
- Utilização de firewall para aplicações web, bem como uma solução de segurança robusta no servidor;
- Implementação de defesas robustas e multicamada para prevenir, detetar e responder a ameaças.
Os ambientes de TI dos comerciantes abrangem desde a logística do back-end e CRM até à loja de comércio eletrónico no front-end, e terminais POS em lojas físicas tradicionais. É um grande alvo para cibercriminosos. À medida que os negócios online continuam a crescer e a transformar-se digitalmente, a chave da vantagem competitiva será cada vez mais definida pela forma como as estratégias de cibersegurança baseadas no risco se reúnem.
Para saber mais, consulte o relatório “ESET Industry Report on Retail: Evolving threats to data and payments”.