Indústria do varejo, hotelaria e turismo são alvo de ciberataques 

“Os criminosos não são exigentes: tudo que pode ser acessado, e-mail, telefone, endereço, pode ser usado de alguma forma”, disse Steve Ragan, pesquisador de segurança da Akamai e autor do relatório. “É por isso que o credential stuffing (roubo de credenciais) se tornou tão popular nos últimos anos. Atualmente, o setor de varejo e fidelidade apresentam um prato cheio de informações pessoais e, em alguns casos, informações financeiras também. Todos esses dados podem ser coletados, vendidos e negociados, ou até mesmo compilados para perfis extensos que podem ser usados posteriormente para crimes como roubo de identidade.”

Durante a quarentena no primeiro trimestre de 2020, os criminosos aproveitaram a situação mundial e circularam listas com combinação de senhas e informações pessoais para identificar contas vulneráveis, levando a um aumento significativo no inventário dos criminosos relacionado aos programas de fidelidade.

Entre julho de 2018 e junho de 2020, a Akamai observou mais de 100 bilhões de ataques de credential stuffing (roubo de credenciais – e-mail, senha, login) no total. Nos setores de varejo, turismo e hotelaria, foram registrados mais de 63 bilhões de ataques do tipo. Mais de 90% dos ataques visam o setor de varejo. O relatório revela que o Brasil é o 4º país que mais gera e que mais recebe ataques de credential stuffing .

O credential stuffing não é a única maneira de ataque direcionada aos setores. Ataques SQLi (injeção de SQL) e LFI (inclusão de arquivo local), conhecidos como web application, são amplamente utilizados também. São ataques onde os hackers utilizam códigos e comandos para acessarem informações confidenciais do banco de dados e servidores dos websites. Entre julho de 2018 e junho de 2020, a Akamai observou 4 bilhões de ataques na Web contra os setores varejo, turismo e hotelaria, representando 41% do volume total de ataques em todos os setores. Dentro desse conjunto de dados, 83% desses ataques na Web visavam exclusivamente o setor de varejo. Com relação a ataques web application, o Brasil é 8º em recebimento e 6º em geração dos ataques.

Após conseguirem as informações que necessitam, os criminosos criam anúncios na darknet onde vendem contas de programas de fidelidade as quais tiveram acesso, ou utilizam informações de cartões de crédito roubadas e anunciam produtos para quem estiver interessado. Segundo o relatório, alguns criminosos reservam viagens para seus clientes usando cartões de crédito comprometidos, contas de programas de fidelidade/pontos comprometidas ou uma combinação de ambos.

Com a economia global se preparando para uma época de compras de fim de ano onde a maioria dos consumidores irá trocar as lojas físicas pelas online, que por sua vez, ofereceram uma infinidade de recompensa e programas de fidelidade para descontos e vantagens e considerando as informações que as pessoas precisam fornecer para participar de tais programas, os criminosos têm tudo o que precisam para começar em vários empreendimentos relacionados a crimes, desde a tomada de contas até o roubo de identidade direto. Por isso, mesmo que a lealdade de um cliente à uma marca não esteja à venda, existe uma boa possibilidade de que suas informações associadas a essas marcas esteja.

“Todas as empresas precisam se adaptar a eventos externos, seja a uma pandemia, a um concorrente ou a um invasor ativo e inteligente”, concluiu Ragan. “Alguns dos principais programas de fidelidade não exigem mais do que um número de celular e uma senha numérica, enquanto outros dependem de informações facilmente obtidas como uma forma de autenticação. Há uma necessidade urgente de controles de identidade e contramedidas aprimorados para impedir ataques contra APIs e recursos de servidor.”

O relatório de 2020 da Akamai State of the Internet/Segurança, Fidelidade à venda: fraude no varejo e hotelaria está disponível aqui.