Saiba como diminuir as vulnerabilidades de seu e-commerce

AGRADEÇA AO AUTOR COMPARTILHE!

Os números do e-commerce não param de crescer, logo, a matemática é simples: quanto maior o número de lojas e clientes, maior o número de tentativas de golpes.

A criatividade dos fraudadores é igualmente proporcional a quantidade de brechas diariamente oferecida por lojistas e desenvolvedores. Vejamos abaixo algumas vulnerabilidades comuns e como evitá-las:

Imagem via Shutterstock

Imagem via Shutterstock

1. Alteração da linha digitável do boleto bancário

Este golpe surgiu em 2013, virou febre em 2014, e ainda assim em 2015 e 2016 muitos emissores de boleto ainda não estavam preparados para evitá-lo. Um vírus instalado na máquina do usuário altera alguns dados da linha digitável do boleto, direcionando o valor pago para outra conta bancária. Valores e vencimento não são alterados, o que dificulta ainda mais a identificação de qualquer problema. Muitos emissores se esquivam da responsabilidade de proteção ao boleto, com a justificativa de que a máquina do usuário é que está infectada, e não o site. Com o número crescente de reclamações de clientes que pagaram, mas não receberam suas compras, usuários e lojistas devem tomar algumas precauções:

Usuário:

  • Compare o número do banco*, que consta nos primeiros dígitos da linha digitável, com a logomarca apresentada no boleto;
  • Com seu smartphone, tente efetuar a leitura do código de barras;
  • Mantenha sempre seu sistema operacional, navegadores e antivírus atualizados.

Lojistas:

  • Estude a possibilidade de transformar a linha digitável ou o boleto completo em uma imagem;
  • Valide via javascript se a linha digitável bate com a original.

2. Pagamento de valor parcial do boleto

Outra tentativa comum de golpe é o pagamento parcial do valor do boleto, em grande parte dos casos R$ 0,01 ou R$ 1,00. Se o lojista efetua a validação manual dos pagamentos, verificará apenas que o boleto foi pago, sem validar o valor creditado na conta bancária. Sistemas de confirmação desenvolvidos de forma inadequada também estão suscetíveis a este golpe.

A tratativa neste caso é simples, efetue a conciliação bancária considerando também o valor, preferencialmente utilizando os arquivos de retorno do próprio banco. E claro, fique atento a este cliente.

3. SQL Injection

Uma das técnicas mais utilizadas por invasores iniciantes e experientes é o SQL Injection, que explora formulários, componentes e URLs vulneráveis no site. O objetivo é obter acesso completo ao sistema, sem a necessidade de acesso prévio a lista de usuários e senhas.

Existem opções pagas que efetuam um scan diário no site em busca de vulnerabilidades potencialmente exploráveis. O custo nem sempre é acessível a todos, e os resultados são duvidosos. Uma solução eficaz e que oferece plano gratuito é o Cloudflare, que atua como um proxy reverso. Sua rede protege, acelera e melhora a disponibilidade da loja, além de fornecer controle sobre sua tabela de DNS, fator que facilita futuras migrações e mudanças de IPs do site.

4. Exploração de senhas e gerenciadores óbvios

Infelizmente, em alguns casos, somos os próprios vilões de nosso negócio. Senhas de acesso simples como “123456”, “mudar123”, “teste”, etc, são muito comuns. Acessos a gerenciadores com caminhos óbvios como “/admin” e “administracao” podem e devem ser evitados.

Estabeleça uma rotina periódica para troca de senhas, exigindo a utilização de números e caracteres especiais. Altere o endereço do gerenciador, preferencialmente configurando para que ele rode através de uma porta específica e sempre em ambiente seguro.

5. Acesso facilitado ao FTP/SSH e Banco de dados

Muitos lojistas possuem acesso aberto ao FTP/SSH e banco de dados da loja. Esses dados disponíveis para acesso a usuários sem qualificação técnica, quase sempre representam garantia de problemas graves. Invasões, acessos e alterações no código-fonte, em alguns casos podem ocasionar erros irreversíveis, além de uma mancha considerável em sua marca.

Certifique-se que seu FTP/SSH está restrito a um IP fixo, localizado em uma rede segura. É interessante que o banco de dados também não possua acesso externo.

A realidade é que por mais criativos que sejam os usuários mal intencionados, grande parte dos problemas poderia facilmente ser evitada com pequenas medidas de segurança, como as citadas acima. Evite o caminho mais fácil, como uma senha simples ou um FTP liberado. Geralmente o caminho simples é o que representa maior vulnerabilidade.

E lembre-se: segurança nunca é demais.

* Para consultar o código de seu banco, acesse: http://www.febraban.org.br/Bancos.asp

AGRADEÇA AO AUTOR COMPARTILHE!

Nelson Brandão Filho

Mais artigos deste autor »

Gerente de TI, Consultor em E-commerce, MBA em Gestão de Projetos, PSM I, ITIL ® OSA, COBIT, ISO/IEC 20000, ITSM ISO/IEC 27002.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">