Atualmente, o varejo é um dos setores que mais correm risco de sofrer ataques cibernéticos. A vulnerabilidade crescente desse segmento se deve a uma série de fatores, como maior uso de dispositivos móveis, serviços distribuídos, aumento das expectativas dos clientes, sistemas virtuais e mudanças nos objetivos de negócios.
Na era da transformação digital, a falta de cuidados com a segurança dos dados pessoais dos clientes pode prejudicar profundamente a fidelidade às marcas e afetar de maneira crítica a imagem delas. De acordo com pesquisa da Verint, 89% dos pesquisados desejam saber o quão seguras estão as suas informações pessoais, e 86% querem ser informados se os seus dados serão transmitidos a terceiros.
Diante disso, falhas na segurança dos dados pode impedir que alguns consumidores interajam com as marcas, principalmente em ambientes on-line. As empresas afetadas por uma violação também correm o risco de ter suas operações comerciais normais interrompidas, bem como de perder dados valiosos e de prejudicar a sua imagem no mercado.
Para agravar a situação, a grande maioria dos consumidores brasileiros teme fraudes e percebe o crescimento dos crimes virtuais. Segundo pesquisa da Febraban, 86% das pessoas afirmam ter medo de serem vítimas de fraudes ou violações dos seus dados pessoais. Ainda segundo o levantamento, os ataques de phishing cresceram 100% no primeiro bimestre de 2021, enquanto os golpes da falsa central telefônica e falso funcionário de banco tiveram aumento ainda maior: 340% em relação ao ano passado.
Nesse cenário, os varejistas precisam entender que a proteção contra os ataques cibernéticos é vital para garantir a continuidade dos negócios, fortalecer a relação com os cientes, gerar vantagens competitivas e mesmo aumentar os rendimentos. Neste artigo, vamos abordar quais são os principais ataques cibernéticos às empresas de varejo e como se proteger contra eles.
Os desafios de segurança no setor de varejo
No varejo, a segurança cibernética deve incluir preocupações como a proteção dos dados do portador dos cartões de pagamento e dos dados proprietários das empresas. De acordo com um levantamento do Ponemon Institute, as empresas de varejo são vítimas de, pelo menos, oito ataques cibernéticos por ano (quase um por mês). A mesma pesquisa aponta que quase um quarto das empresas que sofreram um ataque perdeu clientes, receitas e oportunidades comerciais substanciais.
Em agosto de 2021, o site da marca de roupas Renner sofreu um ataque cibernético e ficou fora do ar por dois dias. Em consequência, o sistema de cartões da rede passou a apresentar lentidão e falhas, deixando o sistema de e-commerce inoperante. O dano só não foi maior porque a empresa contava com um bom plano de proteção e recuperação, assim como protocolos de controle e segurança adequados. Em um comunicado, a Lojas Renner ressaltou que faz o uso de tecnologias e padrões rígidos de segurança, e que seguirá investindo na infraestrutura de proteção de dados e sistemas.
Infelizmente, esse não é um caso isolado. Entre o fim de 2017 e o início de 2018, falhas no sistema da empresa de comércio eletrônico Netshoes possibilitaram o vazamento de dados de aproximadamente 2 milhões de clientes do e-commerce. Entre as informações vazadas estavam nome, CPF, e-mail e compras efetuadas pelos usuários da plataforma. O Ministério Público classificou o episódio como “um dos maiores incidentes de segurança registrados no Brasil” e multou a Netshoes em R$ 500 mil.
Outro caso conhecido é o da C&A, uma das maiores redes varejistas do Brasil, que em 2018 viu cerca de 2 milhões de dados de clientes cadastrados no sistema de vales-presente e trocas de suas lojas vazarem depois de um ciberataque realizado por hackers. Com o vazamento, os clientes da empresa tiveram expostos dados como número de identificação, endereço de e-mail e valor carregado nos vales-presente. E a empresa foi alvo de inquérito do Ministério Público.
Uma percepção comum em todos os setores é que a segurança é um problema extremamente complexo a ser resolvido, principalmente para as pequenas e médias empresas, que não contam com uma grande estrutura interna de TI e não dispõem de muitos recursos para investir em segurança. No entanto, essa situação não precisa ser assim.
Para enfrentar as ameaças atuais, as empresas não precisam mais investir em soluções caras e difíceis de manter. Já estão disponíveis no mercado tecnologias que permitem uma gestão facilitada das soluções de segurança e uma detecção automatizada das ameaças, acessíveis mesmo a pequenas e médias empresas.
Até porque não são apenas as grandes empresas que estão na mira dos criminosos. Cerca de 63% das pequenas e médias empresas dizem já ter sofrido ciberataques que levaram à perda de dados sensíveis, segundo pesquisa do Ponemon Institute.
Por outro lado, um perfil de alta segurança, conforme determinado pela implantação de práticas e tecnologias específicas, apoiará a inovação empresarial e reduzirá o custo do crime cibernético.
A importância de proteger os endpoints na nuvem híbrida
Os ataques cibernéticos estão cada vez mais numerosos, sofisticados e capazes de ultrapassar as proteções de segurança. Tecnologias avançadas, como Inteligência Artificial e aprendizado de máquina, são agora utilizadas para desenvolver ataques direcionados e com maiores chances de sucesso. Essas ameaças podem interromper processos essenciais aos negócios, prejudicando assim a produtividade e aumentando os custos operacionais.
As empresas devem avaliar os riscos de segurança potenciais para melhorar a sua postura de segurança e adotar as soluções necessárias. Isso inclui o uso persistente de tecnologias de segurança, como sistemas avançados de gerenciamento de acesso, ampla implantação de tecnologias de criptografia e ferramentas de proteção.
A seguir, listamos algumas das principais ameaças atuais para o setor de varejo e outras áreas e as medidas necessárias para combater cada uma delas.
Campanhas de phishing: O phishing é uma técnica usada por criminosos para roubar dados de usuários a partir de sites, e-mails e mensagens SMS falsos. Nesses golpes, mensagens de texto parecem ser de uma empresa legítima solicitando informações confidenciais, como dados de cartão de crédito ou informações de login. Para se proteger contra esses ataques, é preciso desenvolver treinamentos periódicos entre os colaboradores, fazer auditorias para analisar riscos, usar ferramentas EDR e filtros antispam especializados e criar simulações de phishing.
Ataques de ransomware: O ransomware é a ameaça de malware global de crescimento mais rápido em todo o mundo. O hacker utiliza um malware para invadir o computador do usuário e depois ameaça destruir os dados, exigindo em troca o pagamento de um resgate. Para se proteger contra esses ataques, é recomendável o uso de ferramentas como antivírus, firewall e filtro antispam, além de usar senhas fortes, uma Virtual Private Networks (VPN) confiável, criptografia e duplo fator de autenticação.
Engenharia social: Esse tipo de ataque não requer o comprometimento ou a exploração de softwares ou sistemas. Geralmente, o criminoso se passa por alguém confiável e a própria vítima consente em fornecer dados sigilosos ou acesso a sistemas. Para se proteger contra-ataques de Engenharia Social, é preciso criar uma política de segurança da informação, treinar os colaboradores, usar uma VPN confiável, adotar o Zero Stand Privileges (ZSP), escolher um bom antivírus, entre outras medidas.
Ameaças internas: Funcionários atuais, ex-funcionários ou parceiros de negócios podem ser considerados uma ameaça interna se abusarem de suas permissões de acesso.
Para se proteger contra esse problema, é importante usar ferramentas como Data Loss Prevention (DLP), firewall, adotar o Zero Stand Privileges (ZSP), entre outras medidas.
A AIM7 conta com soluções capazes de ajudar a sua empresa a resolver quaisquer desafios que possam surgir na área de Segurança da Informação.
