Com as festas de final de ano e as compras de Natal, o comércio tem um período muito agitado e com uma maior movimentação financeira, porém, o que pode ser uma época de boas expectativas também se torna um prato cheio para ataques cibernéticos.
Como a grande maioria das compras é feita on-line, os cibercriminosos conseguem achar mais brechas para realizar ataques em busca de dados sigilosos e fraudes monetárias.
De acordo com um levantamento do BTTng, plataforma de inteligência em fontes abertas e ameaças cibernéticas, no período de 31 de outubro a 31 de dezembro de 2021, houve um aumento de 126% nos eventos relacionados a fraudes se comparado com a quantidade de eventos nos outros meses do ano.
Os dados podem se repetir em 2022, por isso os consumidores devem estar atentos aos golpes e fraudes mais recorrentes no período.
De acordo com o Coordenador de Reports da Apura, Marco Romer, entre as fraudes mais frequentes no período estão os sites falsos, que são registrados com endereços similares ou fazendo alusão aos sites de lojas verdadeiras, utilizando um design idêntico ao original que leva o consumidor a acreditar estar comprando na loja legítima
“Esses sites são utilizados para roubar as informações pessoais e de cartão de crédito das vítimas e, depois, são utilizadas para outras fraudes ou mesmo são ofertadas em mercados dedicados à venda dessas informações”, explica.
Outra prática muito comum nessa época é o phishing (seja por e-mail, SMS, ou quaisquer outros meios), que apresentam mensagens com links para promoções aparentemente imperdíveis, com a oferta de produtos por preços muito abaixo do usual. Ao clicar nesses links, a pessoa instala o vírus no aparelho e tem roubada informações bancárias, credenciais de acesso a outros serviços, além de ter toda atividade do aparelho espionada e toda a atividade do usuário no dispositivo.
Alguns criminosos chegam a utilizar os recursos do aparelho para mineração de criptomoedas, colocando o dispositivo para fazer parte de botnets (grandes colônias de dispositivos “robôs” comandados por um servidor para realizar tarefas para os atores responsáveis pela ameaça).
Para os varejistas das grandes lojas, que podem ter as vendas comprometidas e até mesmo ficarem fora de operação em uma época tão importante, o ataque conhecido como Distributed Denial of Service (DDoS) é muito comum, no qual os atores sobrecarregam os servidores das lojas on-line com requisições falsas em quantidades avassaladoras, impedindo requisições legítimas, no caso, as compras dos consumidores, de serem concretizadas.
Esse tipo de ataque, por requerer uma infraestrutura mais sofisticada para ser realizado, normalmente é feito por hacktivistas, que são os atores de ameaça que utilizam seus ataques para protestar por alguma causa específica.
“Muitas vezes é a falta de monitoramento de ameaças, e em especial com o aumento de volume de compras que aumentam a chance de uma falha pode passar despercebida, só sendo descoberta dias depois, o que pode gerar um prejuízo considerável, tanto financeiro quanto para a imagem da empresa”, ressalta Romer.
Com a engenharia social, os atacantes se valem da ingenuidade ou imperícia tanto de clientes quanto de funcionários de grandes lojas, para enganá-los a fim de obter alguma informação ou benefício indevidos.
Como minimizar os riscos de sofrer um golpe cibernético no final de ano
É de extrema importância que os comércios se preparem de antemão, tomando medidas de cuidado para evitar o ataque. O primeiro cuidado é manter as plataformas sempre atualizadas com as mais novas versões de tecnologias, a fim de evitar que vulnerabilidades sejam exploradas.
Ter a proteção adequada contra ataques de DDoS vai evitar muitas dores de cabeça, além de manter uma infraestrutura robusta para suportar os milhares de acessos simultâneos.
Mesmo que isso gere um pouco mais de trabalho, os clientes devem ser forçados, sempre que possível, a utilizar múltiplo fator de autenticação (MFA) a fim de evitar que terceiros utilizem as contas para fins maliciosos, e contas antigas sem atividade devem ser bloqueadas e só liberadas mediante criterioso processo de identificação.
Os funcionários das empresas devem ser bem treinados para evitar que sejam vítimas de ataques de engenharia social e, também, para não serem vítimas de ataques de phishing nas mais diversas formas.
Por isso, uma solução é que as empresas tenham uma ferramenta de threat intel que forneça sempre informações atuais e de forma contínua. Dessa forma, muitas vezes é possível identificar campanhas maliciosas focadas na empresa, além de estar a par de possíveis falhas e vulnerabilidades que venham a ser descobertas e que estejam sendo discutidas ou disseminadas.
“É importante ter em mente que ser vítima de um ataque cibernético não é somente sobre o prejuízo financeiro a que as empresas são submetidas, mas também sobre a perda de confiança do consumidor e o dano à imagem que podem levar tempo para serem revertidos”, diz o Coordenador de Reports da Apura.
Fonte: Engenharia da Comunicação