Imperva, Inc. (@Imperva), líder em segurança cibernética cuja missão é ajudar organizações a proteger seus dados e todos os caminhos a eles, libera o relatório O Estado da Segurança no Comércio Eletrônico em 2022, uma análise de 12 meses da Imperva Threat Research sobre ameaças de segurança cibernética direcionadas ao setor de varejo. Uma série de ameaças automatizadas, desde controle de contas, fraude de cartões de crédito, 'web scraping', abusos de API, bots Grinch e ataques distribuídos de negação de serviço (DDoS), foram um desafio persistente ao setor de comércio eletrônico, ameaçando as vendas online e a satisfação do cliente. A enxurrada contínua de ataques aos sites, aplicativos e APIs dos varejistas durante todo o ano e durante o pico da temporada de compras de fim de ano é um risco comercial contínuo ao setor de varejo.

"A temporada de compras de fim de ano é um período crítico ao setor de varejo, sendo que as ameaças à segurança podem prejudicar os resultados dos varejistas outra vez em 2022", disse Lynn Marks, Gerente Sênior de Produtos na Imperva. "Este setor enfrenta vários riscos de segurança, a maioria dos quais são automatizados e operam 24 horas por dia. Os varejistas precisam de uma abordagem unificada para deter estes ataques persistentes, com foco na proteção de dados, e estar equipados para mitigar os ataques com rapidez sem causar disrupção aos compradores."

Um adversário automatizado: Bots maléficos e sites de varejo com praga de fraude online

Nos últimos 12 meses, quase 40% do tráfego nos sites dos varejistas não veio de um ser humano. Em vez disto, veio de um bot, aplicativos de software controlados por operadores que executam tarefas automatizadas, em geral com intenção maliciosa. No setor de varejo, o infame bot Grinch é notório por acumular estoques durante a temporada de compras de fim de ano, coletando itens de alta demanda e tornando difícil aos consumidores comprar presentes online.

Algumas das principais tendências monitoradas pela Imperva incluem:

-- De todo o tráfego nos sites dos varejistas, quase um quarto (23,7%) foi atribuído especificamente a bots maléficos e automação maliciosa que contribui para fraudes online. A proporção de bots avançados - scripts que usam as mais recentes técnicas de evasão para imitar o comportamento humano e evitar detecção - em sites de varejo cresceu quanto ao ano anterior (de 23,4% a 31,1%). Os bots avançados são um desafio considerável às organizações para pararem sem as defesas corretas.

-- Em 2021, os ataques referentes a bots em sites de varejo cresceram 10% em outubro e outros 34% em novembro, sugerindo que os operadores de bots intensificam seus esforços nefastos nos períodos de pico de compras do fim de ano.

-- A apropriação de contas (ATO) é outra forma de fraude online na qual os criminosos cibernéticos tentam comprometer contas online com uso de senhas e nomes de usuário roubados. Em 2021, 64,1% dos ataques de ATO usaram um bot maléfico avançado. De todas as tentativas de login em sites de varejo, 22,6% foram maliciosas, quase o dobro do volume registrado em sites de outros setores. Os invasores usaram credenciais vazadas 94,7% das vezes em ataques de preenchimento de credenciais direcionados a varejistas, comparados a 69,6% das vezes em outros setores.

Abusos e ataques de API se multiplicam, criando novos desafios para varejistas

As APIs são o tecido conjuntivo invisível que permite que os aplicativos compartilhem dados e invoquem serviços digitais. A análise da Imperva Threat Research descobriu que o tráfego de uma API representa 41,6% de todo o tráfego para sites e aplicativos de varejistas online. Deste total, 12% do tráfego é direcionado a estágios finais, como um banco de dados, onde os dados pessoais são armazenados (por exemplo, credenciais, números de identificação, etc.). Mais preocupante, 3 a 5% do tráfego de API é direcionado a APIs não documentadas ou Shadow, estágios finais que as equipes de segurança não sabem que existem ou não protegem mais.

As APIs expostas ou vulneráveis são uma ameaça considerável aos varejistas, pois os invasores podem usar a API como um caminho para filtrar dados de clientes e informações de pagamento. Em geral, os abusos de API são realizados por meio de ataques automatizados em que um botnet inunda a API com tráfego indesejado, ao buscar aplicativos vulneráveis e dados desprotegidos. Em 2021, os ataques de API aumentaram 35% entre setembro e outubro e, a seguir, aumentaram outros 22% em novembro, além dos níveis elevados de ataque dos meses anteriores. Esta descoberta sugere que os maus atores escalam seus esforços durante a temporada de compras de fim de ano, uma vez que mais dados são trocados entre as APIs e os aplicativos que alimentam os serviços de comércio eletrônico.

Atenção com o tempo de inatividade: Ataques DDoS continuam ameaçando varejistas

Um ataque distribuído de negação de serviço (DDoS) é uma ameaça automatizada que tenta interromper operações essenciais de negócios ao inundar a rede ou a infraestrutura de aplicativos com tráfego malicioso. Frequentemente, os ataques são lançados por um botnet, um grupo de dispositivos conectados comprometidos que são distribuídos pela Internet e operados por uma única parte.

A Imperva Threat Research descobriu que os ataques DDoS em 2022 serão maiores e mais intensos em todos os setores. O número de incidentes registrados maiores que 100 Gbps dobrou e os ataques maiores que 500 Gbps / 0,5 Tbps aumentaram 287%. Além disto, os alvos de um ataque geralmente são atacados outra vez em 24 horas. De fato, 55% dos sites atingidos por um DDoS da camada de aplicativo e 80% atingidos por um DDoS da camada de rede foram atacados diversas vezes.

Um ataque DDoS é uma ameaça ininterrupta aos varejistas. O tempo de inatividade causado por um ataque DDoS pode levar à interrupção do site, danos à reputação e perda de receita. Um DDoS é uma ameaça crítica aos varejistas online que dependem do desempenho e da disponibilidade de aplicativos para habilitar vitrines digitais.

