E-Commerce

Ξ Deixe um comentário

Saiba como diminuir as vulnerabilidades de seu e-commerce

publicado por Nelson Brandão Filho

Figura - Saiba como diminuir as vulnerabilidades de seu e-commerceSegundo a Clear Sale, uma das principais empresas especializadas em prevenção e identificação de fraudes do Brasil, o índice de tentativas de fraudes no e-commerce em 2013, foi de 3,7%, em 2014 este número aumentou para 3,98% e a expectativa para 2015 é ainda maior. A matemática é simples, quanto maior o número de lojas e clientes, maior o número de tentativas de golpes.

A criatividade dos fraudadores é igualmente proporcional a quantidade de brechas diariamente oferecida por lojistas e desenvolvedores. Vejamos abaixo algumas vulnerabilidades comuns e como evitá-las:

1. Alteração da linha digitável do boleto bancário

Este golpe surgiu em 2013, virou febre em 2014, e ainda assim em 2015 muitos emissores de boleto ainda não estavam preparados para evitá-lo. Um vírus instalado na máquina do usuário altera alguns dados da linha digitável do boleto, direcionando o valor pago para outra conta bancária. Valores e vencimento não são alterados, o que dificultam ainda mais a identificação de qualquer problema. Muitos emissores se esquivam da responsabilidade de proteção ao boleto, com a justificativa de que a máquina do usuário é que está infectada, e não o site. Com o número crescente de reclamações de clientes que pagaram, mas não receberam suas compras, usuários e lojistas devem tomar algumas precauções:

  • Usuário:
    • Compare o número do banco*, que consta nos primeiros dígitos da linha digitável, com a logomarca apresentada no boleto;
    • Com seu smartphone, tente efetuar a leitura do código de barras;
    • Mantenha sempre seu sistema operacional, navegadores e antivírus atualizados.
  • Lojistas:
    • Estude a possibilidade de transformar a linha digitável ou o boleto completo em uma imagem;
    • Valide via javascript se a linha digitável bate com a original.

2. Pagamento de valor parcial do boleto

Outra tentativa comum de golpe é o pagamento parcial do valor do boleto, em grande parte dos casos R$ 0,01 ou R$ 1,00. Se o lojista efetua a validação manual dos pagamentos, verificará apenas que o boleto foi pago, sem validar o valor creditado na conta bancária. Sistemas de confirmação desenvolvidos de forma inadequada também estão suscetíveis a este golpe.

A tratativa neste caso é simples, efetue a conciliação bancária considerando também o valor, preferencialmente utilizando os arquivos de retorno do próprio banco. E claro, fique atento a este cliente.

3. SQL Injection

Young male thief stealing data from computer

Uma das técnicas mais utilizadas por invasores iniciantes e experientes é o SQL Injection, que explora formulários, componentes e URLs vulneráveis no site. O objetivo é obter acesso completo ao sistema, sem a necessidade de acesso prévio a lista de usuários e senhas.

Existem opções pagas que efetuam um scan diário no site em busca de vulnerabilidades potencialmente exploráveis. O custo nem sempre é acessível a todos, e os resultados são duvidosos. Uma solução gratuita e eficaz é o Cloudflare, que atua como um proxy reverso. Sua rede protege, acelera e melhora a disponibilidade da loja, além de fornecer controle sobre sua tabela de DNS, fator que facilita futuras migrações e mudanças de IPs do site.

4. Exploração de senhas e gerenciadores óbvios

Infelizmente, em alguns casos, somos os próprios vilões de nosso negócio. Senhas de acesso simples como “123456”, “mudar123”, “teste”, etc, são muito comuns. Acessos a gerenciadores com caminhos óbvios como “/admin” e “administracao” podem e devem ser evitados.

Estabeleça uma rotina periódica para troca de senhas, exigindo a utilização de números e caracteres especiais. Altere o endereço do gerenciador, preferencialmente configurando para que ele rode através de uma porta específica e sempre em ambiente seguro.

5. Acesso facilitado ao FTP/SSH e Banco de dados

Muitos lojistas possuem acesso aberto ao FTP/SSH e banco de dados da loja.Esses dados disponíveis para acesso a usuários sem qualificação técnica, quase sempre representam garantia de problemas graves. Invasões, acessos e alterações no código-fonte, em alguns casos podem ocasionar erros irreversíveis, além de uma mancha considerável em sua marca.

Certifique-se que seu FTP/SSH está restrito a um IP fixo, localizado em uma rede segura. É interessante que o banco de dados também não possua acesso externo.

A realidade é que por mais criativos que sejam os usuários mal intencionados, grande parte dos problemas poderia facilmente ser evitada com pequenas medidas de segurança, como as citadas acima. Evite o caminho mais fácil, como uma senha simples ou um FTP liberado. Geralmente o caminho simples é o que representa maior vulnerabilidade. E lembre-se, segurança nunca é demais.

* Para consultar o código de seu banco, acesse:
http://www.febraban.org.br/Bancos.asp

[Crédito da Imagem: E-Commerce – ShutterStock]

Autor

MBA em Gestão de Projetos, MBA em Gestão Estratégica e Econômica de Negócios, Professional Scrum Master Certification I, ITIL Managing Professional (ITIL Expert), COBIT, ITSM based on ISO/IEC 20000, Information Security Foundation based on ISO IEC 27002 and Green IT Citizen.

Nelson Brandão Filho

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes