Os números do e-commerce não param de crescer, logo, a matemática é simples: quanto maior o número de lojas e clientes, maior o número de tentativas de golpes.
A criatividade dos fraudadores é igualmente proporcional a quantidade de brechas diariamente oferecida por lojistas e desenvolvedores. Vejamos abaixo algumas vulnerabilidades comuns e como evitá-las:
Imagem via Shutterstock
1. Alteração da linha digitável do boleto bancário
Este golpe surgiu em 2013, virou febre em 2014, e ainda assim em 2015 e 2016 muitos emissores de boleto ainda não estavam preparados para evitá-lo. Um vírus instalado na máquina do usuário altera alguns dados da linha digitável do boleto, direcionando o valor pago para outra conta bancária. Valores e vencimento não são alterados, o que dificulta ainda mais a identificação de qualquer problema. Muitos emissores se esquivam da responsabilidade de proteção ao boleto, com a justificativa de que a máquina do usuário é que está infectada, e não o site. Com o número crescente de reclamações de clientes que pagaram, mas não receberam suas compras, usuários e lojistas devem tomar algumas precauções:
Usuário:
- Compare o número do banco*, que consta nos primeiros dígitos da linha digitável, com a logomarca apresentada no boleto;
- Com seu smartphone, tente efetuar a leitura do código de barras;
- Mantenha sempre seu sistema operacional, navegadores e antivírus atualizados.
Lojistas:
- Estude a possibilidade de transformar a linha digitável ou o boleto completo em uma imagem;
- Valide via javascript se a linha digitável bate com a original.
2. Pagamento de valor parcial do boleto
Outra tentativa comum de golpe é o pagamento parcial do valor do boleto, em grande parte dos casos R$ 0,01 ou R$ 1,00. Se o lojista efetua a validação manual dos pagamentos, verificará apenas que o boleto foi pago, sem validar o valor creditado na conta bancária. Sistemas de confirmação desenvolvidos de forma inadequada também estão suscetíveis a este golpe.
A tratativa neste caso é simples, efetue a conciliação bancária considerando também o valor, preferencialmente utilizando os arquivos de retorno do próprio banco. E claro, fique atento a este cliente.
3. SQL Injection
Uma das técnicas mais utilizadas por invasores iniciantes e experientes é o SQL Injection, que explora formulários, componentes e URLs vulneráveis no site. O objetivo é obter acesso completo ao sistema, sem a necessidade de acesso prévio a lista de usuários e senhas.
Existem opções pagas que efetuam um scan diário no site em busca de vulnerabilidades potencialmente exploráveis. O custo nem sempre é acessível a todos, e os resultados são duvidosos. Uma solução eficaz e que oferece plano gratuito é o Cloudflare, que atua como um proxy reverso. Sua rede protege, acelera e melhora a disponibilidade da loja, além de fornecer controle sobre sua tabela de DNS, fator que facilita futuras migrações e mudanças de IPs do site.
4. Exploração de senhas e gerenciadores óbvios
Infelizmente, em alguns casos, somos os próprios vilões de nosso negócio. Senhas de acesso simples como “123456”, “mudar123”, “teste”, etc, são muito comuns. Acessos a gerenciadores com caminhos óbvios como “/admin” e “administracao” podem e devem ser evitados.
Estabeleça uma rotina periódica para troca de senhas, exigindo a utilização de números e caracteres especiais. Altere o endereço do gerenciador, preferencialmente configurando para que ele rode através de uma porta específica e sempre em ambiente seguro.
5. Acesso facilitado ao FTP/SSH e Banco de dados
Muitos lojistas possuem acesso aberto ao FTP/SSH e banco de dados da loja. Esses dados disponíveis para acesso a usuários sem qualificação técnica, quase sempre representam garantia de problemas graves. Invasões, acessos e alterações no código-fonte, em alguns casos podem ocasionar erros irreversíveis, além de uma mancha considerável em sua marca.
Certifique-se que seu FTP/SSH está restrito a um IP fixo, localizado em uma rede segura. É interessante que o banco de dados também não possua acesso externo.
A realidade é que por mais criativos que sejam os usuários mal intencionados, grande parte dos problemas poderia facilmente ser evitada com pequenas medidas de segurança, como as citadas acima. Evite o caminho mais fácil, como uma senha simples ou um FTP liberado. Geralmente o caminho simples é o que representa maior vulnerabilidade.
E lembre-se: segurança nunca é demais.
* Para consultar o código de seu banco, acesse: http://www.febraban.org.br/Bancos.asp
