O hacking no varejo não é um fenômeno novo, embora tenha aumentado em frequência nos últimos anos. De fato, os varejistas sofreram mais violações do que qualquer outro setor em 2019 e perderam mais de US $ 30 bilhões em ataques de segurança cibernética.
Tanto as empresas físicas quanto as on-line experimentam hackers de varejo. Os cibercriminosos geralmente precisam trabalhar mais para acessar as lojas on-line porque a reputação dessas empresas depende de transações seguras. No entanto, eles não estão isentos da inundação de arrombamentos que ocorrem durante os períodos de compras de alto volume, incluindo o retorno às aulas, a Black Friday e as férias de inverno.
Os compradores de última hora tornam-se vítimas de hackers de varejo que procuram maneiras simples de entrar. Muitos consumidores correm para comprar presentes antes que as férias cheguem até eles, o que significa que são menos diligentes em relação a golpes e sites fraudulentos. Os compradores podem estar dispostos a visitar lojas e páginas da Web em que nunca estiveram antes, em busca de itens difíceis de encontrar. Os atores de ameaças sabem disso e se aproveitam disso com golpes assustadoramente autênticos .
Mesmo que as férias tenham passado, os compradores devem permanecer vigilantes quanto a golpes e ataques de varejo – especialmente quando os skimmers aumentam a aposta com táticas de engenharia social e métodos de evasão . As empresas também se beneficiarão do fortalecimento de seus protocolos de segurança e da atualização dos métodos mais recentes de hackers.
1. Recheio de credenciais
Os hackers de varejo costumam usar o preenchimento de credenciais , ou o uso de nomes de usuário e senhas roubados, para invadir os sistemas porque é uma das maneiras mais fáceis de desviar dados. Muitas pessoas usam as mesmas senhas em vários sites, o que as deixa abertas à invasão. Os hackers coletam essas credenciais por meio da compra na dark web ou em bancos de dados de informações de identificação pessoal deixadas on-line após violações maciças e as usam para invadir varejistas e comprar produtos.
A Chipotle sofreu uma brecha como essa no início de 2019 , onde os cartões de crédito dos clientes acumulavam centenas de dólares em compras de alimentos. No entanto, muitos clientes argumentaram que suas senhas eram exclusivas da Chipotle, o que levanta a questão de como outros criminosos cibernéticos poderiam acessar suas contas.
2. Comunicação de campo próximo (NFC)
Scanners de preços, telefones celulares e leitores de cartões são alvos notórios para violações de NFC. A tecnologia NFC permite que os clientes usem seus telefones para comprar mercadorias, pressionando-os contra um leitor.
Da mesma forma, alguém pode digitalizar um código QR e obter acesso a um aplicativo exclusivo ou acessar um site onde pode comprar itens. Embora a NFC seja conveniente, os hackers de varejo têm pouco problema em interceptar os dados de suas transações e roubar informações.
Até malware pode passar de telefones infectados para sistemas de varejo. A tecnologia NFC é predominante nas transações cara a cara, mas mais sites estão hospedando códigos QR para os usuários digitalizarem. Os hackers geralmente usam várias maneiras diferentes de manipular dados transmitidos à distância:
- Corrupção: eles usam um terceiro dispositivo para interceptar uma conexão entre dois outros dispositivos eletrônicos, o que destrói as informações enviadas.
- Bisbilhotar: os cibercriminosos captam informações privadas gravando comunicações entre dois dispositivos. O uso dessa técnica pode dar a alguém acesso a cartões de crédito e outras informações de pagamento.
- Modificação: o hacker manipula os dados antes de chegar à fonte pretendida – o que significa que eles podem alterar detalhes importantes ou injetar malware ou outros componentes nocivos.
3. Raspagem de RAM
A raspagem de RAM é um procedimento usado pelos hackers para entrar no software do ponto de venda. Toda transação com cartão deixa dados no sistema de terminais do varejista. Essas informações perduram temporariamente como parte da RAM da máquina, mas os agentes de ameaças podem implantar o malware do POS que lê essa entrada antes que ela desapareça. Ao raspar essas informações, eles obtêm todos os itens armazenados nas faixas de um cartão – como o número da conta, a CVN e a data de validade.
A enorme violação do Target de 2013 é um exemplo de raspagem de RAM em ação. Seqüências de texto contendo informações de cartão de crédito podem permanecer no banco de dados de um varejista por segundos, minutos ou horas. Quanto mais tempo ele permanece, mais chances os hackers têm de agarrá-lo antes que ele vá.
4. Leitores de cartões
As tiras magnéticas nos cartões de crédito e débito os tornam alvos frequentes de ataques de segurança cibernética. Os hackers nem sempre precisam entrar nas contas on-line – eles podem coletar dados com um único toque no cartão. Os dados do cartão, que incluem PINs e números de cartão, permanecem criptografados até o momento do furto. Os criminosos habilidosos podem aproveitar esta oportunidade para pegar as informações e usá-las para si ou vendê-las a outras pessoas.
Muitos varejistas e empresas de cartões mudaram para chips em vez de tiras magnéticas. Os chips criam um código exclusivo que é usado apenas para uma única compra. Essa forma de tecnologia EMV – que significa Europay, Mastercard e Visa – dificulta a duplicação de informações e a utilização para transações subsequentes.
5. Web skimming
Os skimmers da Web tiveram um ano e meio em 2019, ajudados pelos grupos criminosos conhecidos coletivamente como Magecart , responsáveis pelo desenvolvimento de uma série de novas técnicas para roubar varejistas e consumidores on-line.
Os skimmers da Web furtam malware nos códigos dos sites para coletar informações pessoais dos clientes. Todos os sites de comércio eletrônico têm uma página de pagamento para concluir as compras, a maioria das quais é criptografada com segurança. No entanto, aqueles sem segurança hermética são os principais alvos dos skimmers da web. Esse malware é difícil de detectar – especialmente para pequenas empresas sem tecnologia avançada – e pode afetar centenas de clientes por vez, tornando-o favorito entre os atores de ameaças.
Os skimmers acessam sites por meio de terceiros, como plug-in ou uma página de comércio eletrônico. Essas entradas são mais fáceis de passar porque geralmente contêm uma estrutura de código mais fraca. (A entrada de terceiros geralmente acontece apenas em sites pequenos sem medidas fortes de segurança cibernética.) Quando o script infecta a página da Web, ele canaliza senhas, números de previdência social e números de cartão de crédito de volta aos servidores dos criminosos cibernéticos.
6. Engenharia social
Engenharia social pode parecer um termo muito vago para ser real, mas essa tática é uma das mais antigas do livro criminal, útil para explorar emoções. Nos dias anteriores à Internet, alguém poderia se vestir como funcionário de uma loja de departamentos e fingir trabalhar lá para acessar informações particulares. Eles podem pedir informações a outros funcionários, sabendo que alguns trabalhadores estressados o fornecerão prontamente para que possam retornar às suas tarefas. Outros podem passear na frente de uma loja e enganar as pessoas sem dinheiro usando a velha técnica de engraxate.
A engenharia social on-line parece um pouco diferente para varejistas e compradores. Os sites podem vender produtos falsificados a preços muito bons para serem verdadeiros e , em seguida, capturar as informações pessoais dos clientes enquanto estão nisso. As estratégias de ataque a watering hole visam centenas de usuários de cada vez , analisando seus hábitos de navegação na Internet e sitiando sites conhecidos por atrair grupos específicos de usuários, como blogs de mamãe, jogadores ou gourmets. Os e-mails de phishing podem se apresentar como revendedores favoritos, solicitando atualizações da conta, enquanto entregam malware ou ransomware.
Superando ameaças da web
Com tantas maneiras de roubar informações, é fácil entender por que os cibercriminosos do varejo costumam ter sucesso durante as férias ou não. Embora os hackers de varejo sejam desenfreados durante as altas temporadas de compras, ele não precisa impedir que os compradores concluam suas compras de última hora. O ônus está nas empresas para proteger seus dados e criar confiança com seus consumidores e parceiros.
Embora nenhum sistema seja totalmente infalível, as empresas devem seguir os procedimentos padrão de segurança cibernética e buscar as melhores defesas possíveis. Priorizar a segurança do usuário permitirá que eles construam relacionamentos confiáveis com seus compradores.
FONTE: MALWAREBYTES