Este é o segundo de uma série de blogposts que estão tratando de temas relacionados à Black Friday e à segurança dos dados de empresas do varejo e seus clientes. Leia o primeiro aqui, e o terceiro aqui.
Os efeitos da crise da COVID sobre pessoas e negócios são bastante conhecidos. Mudaram as formas de nos relacionarmos tanto entre nós quanto com nossas organizações. Muitas empresas, por exemplo, adotaram o regime de home office para manter suas equipes produtivas com consequências para a segurança da informação.
A depender do negócio, outras transformações foram necessárias. No caso do varejo, que é o foco dessa série, além das plataformas digitais para comercialização de produtos, em muitos casos surgiu a necessidade de criar novos canais de comunicação com os clientes, entre outras mudanças que serão exaustivamente postas à prova na próxima Black Friday.
O Head de Cyber Security da Riachuelo, Rodrigo Godoi, dá uma ideia do impacto dessas mudanças: “Natural que nós esperávamos um aumento da demanda na pandemia, mas não no volume que experimentamos. Do dia para a noite precisamos rever e avaliar nossas estruturas de nuvem e de segurança”.
Segundo Godoi, um dos principais desafios foi “prover e garantir a experiência do cliente nesse cenário”. Foi preciso criar canais para atender tanto quem queria comprar como quem estava acostumado a ir à loja para pagar um boleto, por exemplo.
“Por isso, migramos os pagamentos de contas e de boletos para plataformas digitais, e também abrimos um canal de comunicação no WhatsApp”, conta Godoi, destacando que “todo esse ecossistema obviamente atrai o cibercrime.
Marcelo Miola, CISO do Grupo Boticário, oferece um outro panorama. O Boticário é uma marca conhecida pela grande presença de lojas físicas e franquias (quase 4000 lojas e 1800 cidades) e por comercializar seus produtos através de revendedores(as). “Todas as empresas mais consolidadas e com maior tempo de mercado, não nasceram digitais, mas foram digitalizadas. Um acelerador para isso foi a pandemia.”
No caso do Boticário, o maior desafio foi apresentado pelo aumento no volume de vendas nos seus canais digitais. “Não precisamos abrir canais, mas as vendas foram migradas para os canais digitais existentes o que nos obrigou a aprimorar a segurança para proteger esse consumo já que uma vez que o consumo migra, a fraude acompanha. Chegamos a registrar um aumento de 65% nas tentativas de fraude”.
Para o VP de Customer Delivery da Tempest, Aldo Albuquerque, “o ofensor é o mesmo”, só mudou seu alvo com o “aumento de potenciais vítimas comprando online”. Os golpes também permanecem os mesmos: phishing, engenharia social, anúncios falsos, etc.
A análise é corroborada pela experiência da Riachuelo.
Segundo Godoi, “quando veio a explosão do consumo em plataformas digitais, com as lojas fechadas, classe C e D migrando para o e-commerce, a primeira preocupação foi com fazer os produtos chegarem na casa das pessoas que estavam comprando.
Além disso, “as redes sociais, que serviam para interações simples como plantão de dúvidas passaram a ser inundadas com reclamações sobre pedidos que chegaram errado, demora na entrega, etc.”, completa.
A partir daí os fraudadores perceberam a oportunidade de criar perfis falsos, usando o nome de grandes marcas, para oferecer auxílio para clientes e, no processo, obter informações valiosas como dados de login para os sites de e-commerce e dados de pagamento.
“Nosso time de segurança identificou um aumento de 1000% nas abordagens a clientes por perfis falsos”, afirma Godoi.
A solução, nesse caso, foi começar um processo exaustivo de identificação e takedown dos perfis fraudulentos que estavam usando o nome da Riachuelo.
“Vimos um grande aumento desse tipo de golpe, que chamamos de Atendente Impostor, em várias redes sociais, especialmente no Instagram”, diz Aldo. “Os fraudadores oferecem todo tipo de ‘serviço’, de aumentar o limite de um cartão de crédito bastando que a vítima informe os dados do cartão à oferta de descontos ‘exclusivos’ caso a vítima informe dados cadastrais”.
Esse tipo de golpe contém um elemento facilitador que é a informalidade dos contatos nas redes sociais e aplicativos de mensagens segundo o Chief Product Officer do AllowMe, Gustavo Monteiro.
“Comunicações via email ou telefone normalmente são mais formais, então fica mais fácil perceber que tem algo errado, como um tom de voz incomum ou erros gramaticais. Nas redes isso passa como normal, e fica mesmo mais difícil para a vítima perceber o golpe”, explica.
Além disso, Marcelo Miola lembra que o próprio contexto econômico atual torna as pessoas mais suscetíveis à fraude: “temos 180 milhões de brasileiros nas classes C, D e E atualmente e um grande contingente de desempregados (Nota: dados do IBGE apontam mais de 12 milhões de desempregados no país no terceiro trimestre de 2020).
“Em uma situação de desemprego, as pessoas ficam mais vulneráveis e propensas a clicar em ofertas de emprego falsas, ou serviços de renegociação de dívida, por exemplo”, aponta Miola.
O cenário que expusemos traz desafios que estarão presentes antes, durante e após a Black Friday. Desafios para os quais a resposta não é simples, afinal, não há bala de prata, ou solução genérica e de fácil implantação capaz de mitigá-los
Diante disso, resta uma pergunta: o quanto as organizações varejistas e suas estruturas de segurança atuais estão preparadas para lidar com os desafios dessa nova realidade às portas de uma edição da Black Friday que promete ser uma das maiores da história?
No próximo e último blogpost dessa série abordaremos essa pergunta e apresentaremos algumas das boas práticas que poderão ajudar as empresas do varejo e suas equipes de segurança a enfrentar essas questões.
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!