Cibersegurança no e-commerce não se conquista com “promoções” e “poucos cliques”


* Por Gustavo de Camargo


A alta da inflação não reduziu o gosto do brasileiro pelas compras on-line, que no primeiro trimestre deste ano registraram aumento de 12,59%. Com este hábito mais incorporado, o lojista se mobiliza para crescer tecnologicamente com a adoção de novas estratégias como o omnichannel — quando, por exemplo, o consumidor compra on-line e pega o produto na loja — e em serviços financeiros, oferecendo todas as operações na mesma plataforma, sem que o consumidor precise sair de seu ecossistema para realizar o pagamento. Enquanto os serviços do varejo se aproximam cada vez mais do financeiro, sua maturidade em cibersegurança está longe de chegar lá. Muitos varejistas não possuem sequer duplo fator de autenticação via token, o que hoje é considerado recurso básico de segurança.
 

Mas crescer digitalmente também traz desafios. Enquanto as empresas expandem seu universo on-line, criminosos também aumentam suas operações. É cada vez mais recorrente a invasão aos sistemas de sites de e-commerce com ataques cibernéticos, fazendo com que o lojista virtual “feche suas portas”, ao menos temporariamente, e deixe de completar a sua missão maior e interrompendo seu maior objetivo: vender. Um exemplo recente é o das Lojas Americanas e o do site Submarino que tiveram suas operações paralisadas por quatro dias após um ataque em sua plataforma de e-commerce.
 

Quais as mais comuns? A pesquisa inédita Perfil do Fraudador no Brasil, realizada pela KPMG no Brasil, revelou que as fraudes mais comuns por aqui são relativas a conflitos de interesses (68%); furto ou roubo de ativos (52%); adulteração de documentos (49%); vazamento/ violação de dados ou informações (24%). Segundo outra consultoria, a alemã Roland Berger, a cada segundo uma empresa no Brasil recebe uma tentativa de ataque hacker, fazendo o país ocupar mundialmente o 4º lugar em volume de tentativas de ataques ransomwares, quando é bloqueado o acesso ao sistema ou os dados são criptografados e exige-se dinheiro de resgate em troca da liberação.
 

Estima-se que os varejistas de comércio eletrônico perderam mais de US$ 20 bilhões em 2021 devido a atividades fraudulentas online, segundo um balanço de pesquisa global da Juniper. Essa perda representaria um aumento de 18%, em comparação aos US$ 17,5 bilhões registrados no ano passado.
 

Entre os crimes mais comuns, temos o Roubo de Identidade, golpe onde o fraudador se apodera de informações pessoais como nome de usuário, número de cartão de crédito e dados bancários. Não se trata apenas do custo financeiro – a fraude também afeta a fidelidade da marca e do cliente. Como os consumidores não estão cientes de como a fraude funciona, eles geralmente culpam o vendedor on-line e são menos propensos a comprar em seu site novamente. Uma vez que o cliente perde a confiança, deixa de comprar ou usar os serviços oferecidos, trazendo perdas financeiras significativas à empresa e até mesmo colocando-a em risco legal.
 

Ficar atento às principais recomendações de mitigação é fundamental para manter um ambiente virtual seguro e a experiência do seu cliente satisfatória. A implementação de autenticação robusta com base em risco melhora a usabilidade do usuário dentro da loja online, uma vez que esse pode realizar compras de uma maneira mais segura sem essencialmente ter que inserir dados como login e senha todas as vezes em que realizar uma transação.
 

Mas como empresas do porte das lojas Americanas, do Submarino, da Renner, entre outros casos recentes sofrem esses ataques? Por meio de brechas. E elas são ainda muito mais frequentes quando o varejista está em um processo de digitalização forçada – muito acelerado pela pandemia – e precisa adequar seu modelo de negócios rapidamente, sacrificando a devida atenção à cibersegurança como prioridade estratégica.
 

Durante os ataques não são só as vendas que podem parar temporariamente. Há outros prejuízos, considerados ainda maiores por muitos especialistas que ferem a imagem das empresas: o vazamento de dados dos consumidores, de parceiros, de terceiros etc. Uma das graves consequências são possíveis sanções de órgãos reguladores que podem aplicar multas como o Procon, o Ministério Público, a Secretaria Nacional do Consumidor, além da Autoridade Nacional de Proteção de Dados que fiscaliza a Lei Geral de Proteção de Dados.

Como resolver essas brechas virtuais? A situação é complexa e exige alguns passos. O primeiro deles é olhar para a governança da empresa, o que envolve não apenas a tecnologia em si, como também os processos e, claro, as pessoas. A partir desta visão é possível analisar os riscos de fraude, implantando indicadores de monitoramento que apresentem as ameaças presentes como também às futuras, se antecipando a eventuais perdas.
 

Uma atenção especial deve ser dada às ameaças internas, ou seja, os usuários do sistema, incluindo em primeiro lugar os funcionários. Isso pode ser feito a partir do desenvolvimento de uma cultura forte, em que eles estejam cientes dos riscos da fraude e entendam como reagir a elas. Deve-se incluir nesta lista interna também parceiros e fornecedores que podem criar ou serem vítimas das brechas existentes por pura falta de informação.
 

Para isso é importante pensar na criação de uma política de classificação de informação, que se materializa com o mapeamento de dados que precisam ser protegidos, com a implantação de uma estrutura de cibersegurança e com o treinamento de todos os usuários. Além disso, as empresas precisam contar com soluções de autenticação de acessos, já que muitos usuários, internos ou externos, são vítimas de phishing, que ocorre quando o usuário clica em um link acreditando se tratar de algo legítimo e, assim, abrem as portas do sistema. Já outros estão envolvidos no crime. A mesma pesquisa da KPMG citada anteriormente revela que o fraudador trabalha na empresa por um período de um a quatro anos (45%) e 34% estava na organização há mais de seis.
 

Outra iniciativa importante é a adoção de diferentes formas de proteção ao invés de uma só. A combinação de diversos mecanismos de defesa potencializa os efeitos e reduz as chances de o fraudador conseguir burlar o sistema. Investimentos são necessários em infraestrutura de redes e backup como também a atenção redobrada à gestão de senhas das organizações. Por fim, é imprescindível que os varejistas conheçam seu consumidor e contem com ferramentas que lhes permitam identificar comportamentos anômalos para prevenir fraudes.
 

Mas nada disso dará certo sem que as lideranças da empresa vistam a camisa da cibersegurança e coloquem o tema como prioridade estratégica do seu e-commerce. É isso que fará com que sua “loja virtual” tenha vantagem competitiva, boa reputação, e garanta a satisfação de quem mais importa: seus consumidores.

* Gustavo de Camargo é VP de Venda da VU, empresa líder em segurança cibernética especializada na prevenção de fraudes digitais e proteção da identidade do usuário.