TI CorporativaE-CommerceSaiba como diminuir as vulnerabilidades de seu e-commerce

Saiba como diminuir as vulnerabilidades de seu e-commerce

-

Publicidade

Figura - Saiba como diminuir as vulnerabilidades de seu e-commerceSegundo a Clear Sale, uma das principais empresas especializadas em prevenção e identificação de fraudes do Brasil, o índice de tentativas de fraudes no e-commerce em 2013, foi de 3,7%, em 2014 este número aumentou para 3,98% e a expectativa para 2015 é ainda maior. A matemática é simples, quanto maior o número de lojas e clientes, maior o número de tentativas de golpes.

A criatividade dos fraudadores é igualmente proporcional a quantidade de brechas diariamente oferecida por lojistas e desenvolvedores. Vejamos abaixo algumas vulnerabilidades comuns e como evitá-las:

1. Alteração da linha digitável do boleto bancário

Este golpe surgiu em 2013, virou febre em 2014, e ainda assim em 2015 muitos emissores de boleto ainda não estavam preparados para evitá-lo. Um vírus instalado na máquina do usuário altera alguns dados da linha digitável do boleto, direcionando o valor pago para outra conta bancária. Valores e vencimento não são alterados, o que dificultam ainda mais a identificação de qualquer problema. Muitos emissores se esquivam da responsabilidade de proteção ao boleto, com a justificativa de que a máquina do usuário é que está infectada, e não o site. Com o número crescente de reclamações de clientes que pagaram, mas não receberam suas compras, usuários e lojistas devem tomar algumas precauções:

  • Usuário:
    • Compare o número do banco*, que consta nos primeiros dígitos da linha digitável, com a logomarca apresentada no boleto;
    • Com seu smartphone, tente efetuar a leitura do código de barras;
    • Mantenha sempre seu sistema operacional, navegadores e antivírus atualizados.
  • Lojistas:
    • Estude a possibilidade de transformar a linha digitável ou o boleto completo em uma imagem;
    • Valide via javascript se a linha digitável bate com a original.

2. Pagamento de valor parcial do boleto

Outra tentativa comum de golpe é o pagamento parcial do valor do boleto, em grande parte dos casos R$ 0,01 ou R$ 1,00. Se o lojista efetua a validação manual dos pagamentos, verificará apenas que o boleto foi pago, sem validar o valor creditado na conta bancária. Sistemas de confirmação desenvolvidos de forma inadequada também estão suscetíveis a este golpe.

A tratativa neste caso é simples, efetue a conciliação bancária considerando também o valor, preferencialmente utilizando os arquivos de retorno do próprio banco. E claro, fique atento a este cliente.

3. SQL Injection

Young male thief stealing data from computer

Uma das técnicas mais utilizadas por invasores iniciantes e experientes é o SQL Injection, que explora formulários, componentes e URLs vulneráveis no site. O objetivo é obter acesso completo ao sistema, sem a necessidade de acesso prévio a lista de usuários e senhas.

Existem opções pagas que efetuam um scan diário no site em busca de vulnerabilidades potencialmente exploráveis. O custo nem sempre é acessível a todos, e os resultados são duvidosos. Uma solução gratuita e eficaz é o Cloudflare, que atua como um proxy reverso. Sua rede protege, acelera e melhora a disponibilidade da loja, além de fornecer controle sobre sua tabela de DNS, fator que facilita futuras migrações e mudanças de IPs do site.

4. Exploração de senhas e gerenciadores óbvios

Infelizmente, em alguns casos, somos os próprios vilões de nosso negócio. Senhas de acesso simples como “123456”, “mudar123”, “teste”, etc, são muito comuns. Acessos a gerenciadores com caminhos óbvios como “/admin” e “administracao” podem e devem ser evitados.

Estabeleça uma rotina periódica para troca de senhas, exigindo a utilização de números e caracteres especiais. Altere o endereço do gerenciador, preferencialmente configurando para que ele rode através de uma porta específica e sempre em ambiente seguro.

5. Acesso facilitado ao FTP/SSH e Banco de dados

Muitos lojistas possuem acesso aberto ao FTP/SSH e banco de dados da loja.Esses dados disponíveis para acesso a usuários sem qualificação técnica, quase sempre representam garantia de problemas graves. Invasões, acessos e alterações no código-fonte, em alguns casos podem ocasionar erros irreversíveis, além de uma mancha considerável em sua marca.

Certifique-se que seu FTP/SSH está restrito a um IP fixo, localizado em uma rede segura. É interessante que o banco de dados também não possua acesso externo.

A realidade é que por mais criativos que sejam os usuários mal intencionados, grande parte dos problemas poderia facilmente ser evitada com pequenas medidas de segurança, como as citadas acima. Evite o caminho mais fácil, como uma senha simples ou um FTP liberado. Geralmente o caminho simples é o que representa maior vulnerabilidade. E lembre-se, segurança nunca é demais.

* Para consultar o código de seu banco, acesse:
http://www.febraban.org.br/Bancos.asp

[Crédito da Imagem: E-Commerce – ShutterStock]

Nelson Brandão Filhohttp://www.linkedin.com/in/nelsonbrandaofilho
Com quase 20 anos de experiência em gerenciamento de projetos, governança de TI e transformação digital, ele fez a transição de funções técnicas para a liderança estratégica. Sua carreira abrange diversos setores e regiões, onde liderou iniciativas que conectam tecnologia e negócios. É apaixonado por impulsionar a inovação através de soluções digitais, construir equipes fortes e se adaptar continuamente ao cenário tecnológico em constante evolução.

Latest news

4 bons conceitos para apoiar a sua identidade de marca

No mercado, existem marcas que, ao falar seus nomes, rapidamente associamos com determinadas palavras que são boas para quem...

Estratégia de comunicação B2B para redes sociais: dos posts para as vendas!

Adaptar seu conteúdo permite experimentar diferentes maneiras de mostrar sua empresa de TI, os benefícios dos seus serviços e não ser tão repetitivo com algumas táticas.

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial na transformação dos Prestadores de Serviços Gerenciados (MSPs). Mais do...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.
Publicidade

Cibersegurança como pilar da resiliência empresarial: a abordagem estratégica dos MSPs

Na última década, a segurança cibernética deixou de ser um tema restrito às áreas de TI para se tornar...

ADDEE traz HaloPSA ao Brasil, apostando na eficiência para MSPs

Plataforma de atendimento e automação promete otimizar a gestão de serviços com funcionalidades integradas para todo o ciclo de vida...

Must read

4 bons conceitos para apoiar a sua identidade de marca

No mercado, existem marcas que, ao falar seus nomes,...

Estratégia de comunicação B2B para redes sociais: dos posts para as vendas!

Adaptar seu conteúdo permite experimentar diferentes maneiras de mostrar sua empresa de TI, os benefícios dos seus serviços e não ser tão repetitivo com algumas táticas.
- Advertisement -

You might also likeRELATED
Recommended to you