BLOG


Black Friday: os cuidados para proteger lojas e consumidores

DDoS, violação de dados, fraudes e golpes fora do domínio das lojas são riscos que se multiplicam em dias de vendas 20 vezes maior do que a média. Alguns cuidados básicos podem evitar que criminosos estraguem a festa de varejistas e clientes

As pessoas com celular desatualizado, eletrodomésticos velhos ou com necessidade de renovar o guarda-roupa apertaram o cinto nos últimos meses para gastar na Black Friday, que neste ano ocorre em 24 de novembro. Segundo pesquisa da Google, divulgada em agosto, 68% das pessoas pretendem comprar algo nesta Black Friday. As vendas durante o período devem somar R$ 2,2 bilhões. A empresa estima que o volume durante o período de promoções, entre quinta e domingo, corresponda a 4% das vendas totais do e-commerce.

Em termos relativos, o percentual de tentativas de fraude na Black Friday é até menor do que nos dias normais, pelo alto volume de transações legítimas. No entanto, além do volume de operações, a visibilidade que o e-commerce ganha nesse período acentua os prejuízos à reputação da loja, à confiabilidade dos meios de pagamento, com o risco ainda de afugentar novos consumidores.

Evidentemente, manter o estabelecimento seguro é um trabalho do dia a dia. Contudo, alguns fatores devem ser verificados e algumas medidas preventivas ainda estão em tempo de ser tomadas a menos de um mês da grande promoção.

Phishing, um golpe com sua marca, fora de seu domínio – com o alto volume de compradores da Black Friday, a probabilidade de uma vítima associar a marca mencionada em e-mails com compras ou consultas que ela realmente fez é bem maior. Um link para um site falso é o suficiente para induzir o consumidor a revelar seu nome e senha usados no site legítimo. A partir disso, o criminoso tenta mudar endereço de entrega, colocar novos pedidos e, nos piores casos, até tem acesso aos dados de pagamento. É importante observar que, nesta modalidade, não há um enfrentamento direto à estrutura de segurança da loja. O ataque é realizado no domínio do consumidor, onde não se tem controle.

Eliminar o e-mail como canal de comunicação, como fazem os bancos, não é uma opção para o varejo virtual. Pelo contrário, as campanhas de e-mail marketing, principalmente nos dias que antecedem a promoção, têm sido fundamentais para gerar visitas e conversões.

Uma forma de mitigar futuros golpes de phishing é já incluir algumas dicas de segurança no material promocional, ou criar uma seção de orientações para compras seguras em seu site. Mais do que evitar futuros problemas, se essa ação for bem feita, o consumidor passa a associar a marca a uma prestação de serviços, de uma loja realmente preocupada com a integridade para ambos os lados.

Fortalecer os mecanismos de autenticação no site, com a solicitação de dados não capturados pelo fraudador, é outra medida comum para se interromper uma tentativa de golpe por phinshing.

Mesmo com todas as medidas de mitigação, sempre haverá o risco dessa modalidade de golpe, que passa por firewall, filtro de aplicação e outras defesas no ambiente da loja. Portanto, não basta controlar apenas o ponto de entrada, com uma política de simplesmente liberar ou bloquear. É preciso acompanhar o passo a passo de todo o ciclo da transação, para identificar operações que, ainda que tecnicamente “corretas”, fujam do contexto em que as compras fazem sentido.

Sistemas desatualizados e aplicações vulneráveis – por mais que pareça uma recomendação repetitiva, brechas não corrigidas no software (sistema operacional e banco de dados, principalmente) e falhas nas aplicações continuam a ser buscadas e exploradas, com relativo sucesso, pelos criminosos.

Proteção dos dados financeiros e informações de clientes – vazamentos de números de cartão ou de dados pessoais são incidentes que perturbam a vida de muita gente e arruínam marcas tradicionais. A medida básica para proteger essas informações é implementar criptografia na sessão (TSL e SSL, por exemplo). Criptografar bases de dados e senhas é também outro cuidado imprescindível, ainda que lamentavelmente negligenciado por alguns lojistas.

A adoção de mecanismo de tokenização, em que se substitui o dado real por uma referência conhecida apenas pelos elos legítimos da cadeia de pagamentos, restringe muito a ação de um eventual fraudador, uma vez que o token só é válido em determinado domínio e se restringe o contexto em que pode se realizar a transação.

Disponibilidade e desempenho – a frase de para-choque de caminhão sobre a inveja já define parte dos ataques de Negação de Serviço (DoS, deny of service) como prática de concorrência desleal ou sabotagem à marca. Hoje as modalidades criminosas também se diversificam e o golpe pode ser associado a chantagem e extorsão.

A proteção a DDoS (o primeiro D é de “distribuído”, pois várias máquinas zumbi são contaminadas para colaborar no ataque) é imprescindível para não se frustrar todo o esforço das diversas áreas (negociação com fornecedores, estoque, marketing etc.) para a Black Friday.

Tão importante quanto se defender dos ataques é assegurar que o varejista não se afogue em seu próprio sucesso. Ou seja, é preciso garantir que o serviço mantenha seu nível de disponibilidade e performance nos momentos de pico de tráfego.

Segurança em todos os canais – fraudadores estudam os sistemas de relacionamento dos estabelecimentos e muitas vezes conjugam ações em vários canais, web, call center e loja física, para realizar seus golpes. Brechas de segurança em processos omnichannel (por exemplo, quando começa o pedido pelo mobile, mas por algum motivo fecha a compra no call center) também abrem espaço para aliciamento de insiders (funcionários corrompidos).

Mecanismos para cumprimento de políticas, autenticação confiável e análise de comportamento em todo o ciclo de compra devem ser disseminados, de forma integrada, em todos os canais.

Ainda dá tempo – a Black Friday é um excelente momento para se enfatizar a prioridade de mapear, proteger e monitorar os riscos às operações de e-commerce. Aqueles projetos para atualizar ou reforçar a estrutura de segurança passam a contar com argumentos bem tangíveis: vendas e faturamento.


Vanderlei Campos - Jornalista