Tags Posts tagged with "fraude"

fraude

Tornar os processos mais eficientes e garantir que os clientes executem suas atividades com segurança. Para que as empresas alcancem esses objetivos, é fundamental diferenciar as transações legítimas dos clientes das atividades fraudulentas dos criminosos. Mas esse processo pode custar caro.

Bancos, cooperativas de crédito, operadoras de cartões de crédito e seguradoras, que estão sob constante pressão para reduzir os custos de suas atividades, têm demonstrado maior entusiasmo para a adoção de processos automatizados.

Depois da migração de agências físicas para plataformas móveis e digitais, a automação será o próximo passo para as instituições financeiras que desejam reduzir os custos e inconvenientes envolvidos a investigação de atividades suspeitas e, ao mesmo tempo, tornar as transações mais seguras e eficientes.

As instituições financeiras que aderirem a essa tendência, com a automatização de processos internos e interorganizacionais, serão percebidas como visionárias pelos clientes, e estarão na dianteira desse mercado altamente competitivo que é o FinTech.

Menos erros humanos

Os próprios usuários podem validar transações que se afastam do seu comportamento regular, em vez de deixar a decisão de bloquear ou autorizar uma transação para um agente de fraude que nem sempre é capaz de entrar em contato com o usuário a tempo.

Uma verificação eficiente da identidade do usuário significa que o fluxo de dinheiro e o comércio não serão interrompidos desnecessariamente.

Maior eficiência

Uma plataforma intuitiva de monitoramento de fraude trabalhando em conjunto com a autenticação automática e sem atritos de usuários, significa:

1) Economia substancial recursos, com menos investigações e menores prejuízos com fraude,
2) Possibilidade de gestão de casos adicionais sem a contratação de pessoal adicional, migração de um modelo reativo de investigação para um modelo proativo,
e 3) A coleta automatizada de dados e geração de relatórios.

Verificação multicanal de usuários em tempo real

A autenticação push, juntamente com outros fatores de autenticação forte, como fatores biométricos e senhas de uso único, pode ser usada para validar automaticamente as transações feitas através de diversos canais.

Alguns destes canais incluem ambientes de cartão não presente e e-commerce, saques sem cartão, pagamentos ou transferências feitas através de dispositivos móveis, laptops ou desktops, saques em caixas eletrônicos, sistemas interativos de resposta de voz (URA) e terminais de ponto de venda.

Redução do risco de fraude

A automação da conexão entre uma plataforma inteligente de detecção de fraude e a autenticação de usuários em tempo real contribui para reduzir a ocorrência de novos tipos sofisticados de fraude.

Resumindo: automação igual a redução de perdas com fraude.

Aumento da sensação de segurança e da satisfação do cliente

Clientes que não têm suas transações bloqueadas, mas sabem que suas instituições financeiras são seguras, são clientes felizes. Quando os clientes autenticam as próprias transações, eles se sentem mais seguros e satisfeitos.

Bancos e operadoras de cartão de crédito têm muito a ganhar com a eficientização e modernização desses processos e da cooperação para integração dos protocolos antifraude, com o máximo de automação possível da investigação da fraude nas duas pontas.

A automação pode reduzir a duração do tratamento de um caso de 20 minutos para até 20 segundos.

Em outubro, o Portal G1 divulgou uma matéria sobre roubo de dados de cartão de crédito em lojas virtuais Magento.

No texto, que você pode ler aqui, o jornalista e colunista Altieres Rohr conta detalhes sobre o alerta feito pelo programador holandês Willem de Groot em seu blog. Por lá, foram listados 5.925 sites que tiveram sua segurança comprometida e, aproximadamente, 216 são brasileiros (terminados em .br).

Groot também explicou como o processo acontece: na hora da conversão, um código incluso pelos hackers identifica os dados digitados e os remetem a um site externo mantido pelos invasores. Dessa maneira, a fraude fica restrita à loja virtual, sem que haja nenhuma instalação no dispositivo do cliente.

Sobre isso, o jornalista ainda ressalta que a ocorrência tem como motivo principal a falta de atualização do Magento para as versões atuais. E, por aqui, concordamos!

Por isso, listamos os principais cuidados que você deve ter em relação à segurança do seu e-commerce. Afinal, ninguém vai querer confiar informações ao seu site se ele for inseguro e, olha, isso também é identificado pelo Google, o que prejudica a sua credibilidade no seu principal habitat: a internet.

Dicas de segurança para lojas virtuais Magento

Para facilitar a leitura, de forma com que as informações sejam arquivadas da melhor maneira em sua memória, enumeramos os principais cuidados que você deve ter em relação à segurança da sua loja virtual Magento.

Atualize o Magento para a versão atual

Podemos dizer que atualizar o Magento para a versão atual está no topo da lista. Desde a sua criação, a plataforma passou por diversas transformações e nenhuma foi à toa.

A cada nova versão, um item é acrescentado ou melhorado. Por isso, atualizá-lo, de forma constante, é essencial! Esse cuidado corrigirá problemas, manterá seu banco de dados estável e, consequentemente, aumentará a segurança.

Fique atento às atualizações recentes e busque implementá-las. Atualmente, o Magento está em sua versão 2.1.

Obtenha o Certificado SSL (SSL/HTTPS)

O momento do envio de dados envolve riscos caso a sua conexão não seja criptografada. Mas como fazer isso?

O Magento oferece o certificado de segurança SSL (SSL/HTTPS) e é por meio dele que ocorrerá a criptografia. Para obtê-lo, vá na opção URLs seguras e clique em configuração.

É importante ressaltar que ter o SSL é fundamental para que a sua loja virtual Magento seja compatível com os requisitos de segurança do PCI, que é o padrão de segurança de dados da Indústria de cartões de pagamento.

Adote o SFTP Secure

Uma das formas mais conhecidas para hackear um site é por meio de senhas FTP. Por isso, aposte em códigos elaborados compostos por números, letras maiúsculas e minúsculas e caracteres especiais.

Além do cuidado citado acima, é aconselhável o uso de um SFTP (Secured File Transfer Protocol), que funciona como uma chave privada na hora da autenticação do usuário.

Cautela com as permissões de diretório do Magento

Os diretórios do Magento são as pastas do sistema. Cada uma delas permitem administrações em três níveis que vão desde o responsável pelo controle da loja virtual, passando por pessoas que ajudam a manter o site até a opção “todos”.

Sobre isso, normalmente, iniciantes em Magento costumam administrar as pastas incorretamente, o que traz vulnerabilidade à loja virtual. Por isso, aconselhamos que você contrate uma equipe especializada em Magento, assim não haverá riscos de invasões.

Lembre-se: hackers conhecem muito bem como o Magento funciona, então é preciso saber blindar os diretórios do sistema.

Inclua o backup em sua rotina

Essa é uma dica básica, porém esquecida por muitos! De nada adianta seguir todas as medidas de segurança se o seu backup não for realizado. E mais: ele precisa ser feito com frequência.

Sobre isso, aconselhamos os backups externos, de hora em hora, e backups para download. Dessa maneira, se houver algum problema em seu sistema, você estará preparado para não perder arquivos e dados.

Você também pode armazenar os documentos de backup por meio de um provedor online voltado para essa finalidade.

Personalize o seu painel de administração

Talvez você, e muitos outros empresários de e-commerce, administram a loja virtual por meio da url: www.seusite.com/adm. Isso acontece por ser mais fácil, claro, mas também pela falta de orientação sobre os perigos dessa prática.

O que acontece é que ao fazer esse caminho, sua conta vira alvo dos invasores, já que esse acesso é muito óbvio. Muitas vezes o login permanece como “admin” e a senha, se for fraca, será achada facilmente por robôs programados para essa busca.

Para evitar esse problema, personalize o seu painel. Veja o passo a passo:

  • Encontre no sistema: /app/etc/local.xml
  • Busque por <! [CDATA [admin]]>
  • Troque o termo “admin” por outra palavra ou código

Escolha uma boa hospedagem

Um plano de hospedagem com recursos ampliados vai favorecer a administração e a segurança da sua loja virtual.

Escolha por um serviço que não limite os seus recursos e atenda suas demandas de maneira eficaz. Com certeza, você não quer que o seu e-commerce fique fora do ar devido o aumento de tráfego em época de promoção, não é mesmo?

Aqui na Bertholdo, usamos a Amazon Web Services (AWS), uma das alternativas mais seguras do mercado.

Contrate empresas de segurança

Existem empresas especializadas em manter a segurança do seu e-commerce. Então, essa opção sempre será uma das melhores alternativas.

Grandes lojistas têm um selo de qualidade, geralmente localizado no rodapé, que comprova a sua credibilidade. Nesse selo, além de identificarem o cuidado com a segurança, há uma data de verificação em que o sistema foi verificado pela última vez (em geral, eles verificam diariamente).

Então, se puder, invista nessa ideia. Você não terá arrependimentos!

Publicado anteriormente no Blog da Bertholdo.

O estudo da Luma Partners apontou as questões da publicidade digital, como fraude, e nós listamos possíveis soluções.

Em estudo realizado e divulgado pela Luma Partners, listou questões relacionadas à publicidade digital e as classificou em sérias, críticas e existenciais. Entre os problemas sérios estão Transparência, Mensuração, Latência e Header Bidding.

Como questões existenciais, a empresa classificou Walled Gardens e a fragmentação. Já entre os problemas críticos, estão ad blocking, fraude e viewability. Sendo estes os mais importantes, são os que escolhemos para detalhar e indicar soluções.

Problemas

1- Ad blocking

O Ad blocking evita que anúncios sejam exibidos. Isso significa a perda de muitas oportunidades cada vez que uma página é carregada.

Apesar de não ser amplamente utilizado – o percentual de internautas do mundo todo que utiliza essa tecnologia é de apenas 7,2% – esse recurso é usado por aqueles que consideram que os anúncios sejam invasivos, afetam o carregamento da página e atrapalham sua experiência no site.

2- Fraude

Fraudes em publicidade online são usuários falsos ou robôs usados para alavancar a quantidade de acessos e visualizações de um site. Por causa disso, o anúncio é visto por um robô ao invés de uma pessoa real.

3- Viewability

Outro problema classificado como crítico que está sendo enfrentado pelos anunciantes é o fato de um anúncio ser impresso, ou seja, ser entregue pelo publisher, mas isso não significar que ele tenha sido efetivamente visto pelo visitante do site. Como o anunciante paga por CPM (custo por mil impressões), ele acaba pagando por um anúncio que sequer passou pelos olhos do visitante.

Os problemas citados não foram classificados como críticos à toa. Juntos, eles compõem um cenário ruim para os dois lados do processo: anunciantes perdem dinheiro pois pagam por um anúncio que não será visto pelo seu público-alvo e publishers perdem seu valor aos olhos dos anunciantes. Como resolver essa situação?

Soluções

1- Ad blocking

Se o que leva alguns internautas a utilizarem este recurso é a publicidade invasiva e irrelevante, a solução é levar mensagem, abordagem, momento (em relação à jornada de compra) e perfil do internauta em consideração para atingir um público mais propenso a receber os anúncios. Isso porque, sob esses termos, a publicidade será considerada relevante e oportuna.

2- Fraude

Existem metodologias anti-fraude para serem aplicadas em campanhas. Um exemplo é o VHT da Navegg, uma metodologia que estuda o histórico de navegação das audiências, identifica quais são de robôs e quais são de pessoas reais e inclui apenas os acessos de pessoas reais em segmentos de audiência que serão utilizados em campanhas.

3- Viewability

Viewability foi a métrica criada para garantir que um anúncio foi visto. Ela leva em conta não só a impressão do anúncio, como scroll – se o visitante rolou a página até o local do site onde está o anúncio – e tempo – quanto tempo o visitante ficou naquela área do site.

Outra maneira de contornar esse problema é não pagar por impressão e utilizar outras formas de pagamento, que não o CPM. Essa é uma tendência de mercado natural e saudável para o anunciante e o consumidor.

Você enfrenta outros problemas em relação à publicidade digital? Conte pra gente!

Publicado anteriormente no Blog da Navegg.

Comprar pela internet é prático, não toma muito tempo e nem exige deslocamento. Por essas e outras razões, o comércio eletrônico tem crescido a cada dia. Mas, as fraudes também migraram para esse meio e afetam uma grande quantidade de consumidores e lojistas.

Depois de conhecermos as diferentes maneiras de proteger seu e-commerce, veremos o outro lado da história: o que fazer e a quem recorrer se você, como comprador, for vítima de fraude em uma loja online.

Temos no Brasil alguns regimentos que protegem o consumidor. Destacam-se entre eles o Código de Defesa do Consumidor e o Decreto regulamentar 7962/2013, sobre os quais você pode aprender mais neste artigo. Com base nessas leis, os órgãos públicos trabalham para que os compradores sejam ressarcidos ou melhor atendidos em caso de insatisfação.

Ações imediatas

Ao perceber que foi vítima de uma fraude, a primeira coisa a fazer é entrar em contato com a loja virtual. Muitas vezes a própria empresa não está ciente do ocorrido e pode já tomar uma providência ao ser informada. O ideal é não recorrer aos demais serviços sem tentar resolver a situação de forma direta.

Fale também com o seu banco para solicitar a verificação ou o bloqueio do cartão de crédito. Em caso de clonagem, a responsabilidade passa a ser da operadora da bandeira (e você pode fazer uma reclamação ao Banco Central se houver demora).

PROCON

Se o e-commerce no qual você sofreu a fraude não tomar as providências necessárias, a alternativa é acionar o PROCON (Programa de Proteção e Defesa do Consumidor). Junte todos os documentos referentes à compra e ligue para o número 151 pare solicitar orientações específicas.

Na cidade de São Paulo, o atendimento é realizado através dos Postos do Poupatempo, enquanto outras regiões contam com agências conveniadas. Há também a possibilidade de fazer sua reclamação pela internet através do cadastro eletrônico.

IDEC

O Instituto Brasileiro de Defesa do Consumidor (IDEC) é outra entidade que pode ajudá-lo caso você tenha problemas com compras online. Para utilizar seus serviços, contudo, é preciso se tornar um associado.

Registrando-se através do site oficial do IDEC, é possível obter acesso a diversas informações sobre e-commerce, contar com a ajuda do órgão para solucionar sua situação e até mesmo participar de ações judiciais coletivas, unindo-se a outros compradores que passaram por inconvenientes parecidos.

Delegacias especializadas em crimes virtuais

Se as opções anteriores ainda não te ajudarem a lidar com os prejuízos de uma compra fraudulenta, a medida final indicada é acionar uma das delegacias especializadas em cybercrimes.

Há diversas delas distribuídas pelos estados brasileiros, e você pode conferir uma lista de delegacias de crimes digitais aqui. Ao entrar em contato, você será orientado a registrar um Boletim de Ocorrência para dar início ao processo de investigação e aguardar o solucionamento do problema.

Portanto, ser vítima de uma fraude na internet nunca será uma experiência agradável, mas felizmente os consumidores estão apoiados com diversos recursos. Procure sempre exigir o cumprimento dos seus direitos e tomar o máximo de cuidado com sites suspeitos.

O panorama do cibercrime está mudando. Quanto mais digital fica nossa sociedade, mais casos ocorrem. E você, o que está fazendo para se proteger? Pensando neste e em outros questionamentos a CYLK em parceria com a Gigamon, preparou o infográfico abaixo que apresenta o cenário perigoso dos crimes digitais, bem como soluções infalíveis para uma proteção eficaz.

Vale o destaque para os seguintes pontos:

38% de crescimento de incidentes de seguranças de 2015 em relação à 2014;
• Aumento de 56% de roubos de propriedade intelectual;
• 317 milhões de malwares foram criados, 26% a mais que 2014;
• 23% dos destinatários de e-mails abrem mensagens de phishing, 11% clicam neles!
• 89% das organizações estão vulneráveis à ameaças internas;

Leia também:

Treinar funcionários é tão essencial quanto os antivírus

Confira o infográfico, proteja-se e entenda como funciona este perigoso cenário:

CYLK-Gigamon-Infográfico-traduzido-1-2
Desenvolvimento CYLK em parceria com a Gigamon.

Mais sobre o assunto:

6 tipos de ameaças que seu e-commerce corre risco de sofrer

Segurança. Essa é a palavra da vez, para quem deseja ter sucesso com um e-commerce. Por quê? Simples. O usuário que compra em uma loja online quer ter a certeza de que seus dados serão tratados com toda a segurança e de que ele não vai ter problemas com extravios, clonagem ou roubo de informações importantes.

Você não deve se preocupar apenas com a plataforma de e-commerce a ser utilizada. Deve saber todos os passos e ações que devem ser tomados em casos de urgência. Até porque, o comércio eletrônico é a aposta e os números para 2016, são bem otimistas. Portanto, aproveite e não deixe que nada atrapalhe o sucesso da sua loja virtual.

Infográfico: como garantir a segurança da sua loja virtual

Quem vende pela internet sabe que o “custo da fraudedeve estar sempre embutido no risco do negócio – afinal de contas, no caso de compras realizadas com cartões de crédito roubados, é o lojista que arca com o chargeback (o estorno, a devolução do valor da venda ao cliente que contestou aquela compra).

Hoje em dia é considerado “saudável” um e-commerce que possui uma taxa de fraude inferior a 1% do faturamento, mas este não é o único dado com o qual você deve se preocupar.

Chargeback: o mal, o remédio e a esperança de cura!

Os prejuízos causados pela fraude podem ir além do dinheiro ou do produto perdido. O chargeback é apenas a primeira e a mais óbvia consequência do golpe online. Há outras “camadas” que podem comprometer muito mais que um 1% do seu faturamento ou causar danos muitas vezes irreparáveis para o seu negócio.

Por este motivo, listei os cinco principais problemas que a fraude pode causar, além do chargeback:

1- Você começa a ter dores de cabeça

Lidar com os contratempos causados pela fraude é complicado. Você terá que destinar (ou contratar) funcionários para resolver todos os problemas relacionados a conciliação, contestação, auditoria, recuperação e estorno.

São vários “incêndios” que surgirão em sua empresa e que precisarão ser apagados, atrapalhando a sua operação. Além disso, para proteger o seu negócio, por instinto você poderá ficar mais rígido e exigente no momento da aprovação de pedidos e acabar negando mais vendas.

Ou seja, a partir do momento em que a fraude se torna um problema mais grave para a sua loja, você gasta uma quantidade considerável de tempo e dinheiro para contornar esse “sangramento”, em vez de investir esses recursos em atividades que trarão mais receita.

2- Você fica sujeito a multas muito altas (e em dólares!)

Ao perceber que o seu e-commerce começou a sofrer um alto volume de fraudes, superando a taxa aceitável de 1% ou outras métricas pré-determinadas, as adquirentes de cartão de crédito podem incluí-lo em um programa de chargebacks.

Por este motivo, a loja inicialmente é notificada e, se não corrigir o problema dentro de um período de tempo específico (em torno de três meses), começa a receber multas das operadoras de cartão de crédito.

Essas cobranças são feitas em dólares e são progressivas, tornando-se cada vez mais severas com o passar dos meses. Em alguns casos, o comerciante pode sofrer uma punição de até US$200 por cada chargeback recebido (fora outros encargos e o prejuízo das mercadorias enviadas para os criminosos que conseguiram fazer compras com cartões roubados).

Para deixar o programa de chargebacks, o e-commerce deve retornar ao patamar de fraudes considerado “aceitável” e permanecer nele por alguns meses.

3- Você pode ser descredenciado das adquirentes

Pois é! Se você permanecer por muito tempo no programa de chargebacks e não conseguir recuperar a “saúde” do seu e-commerce, pode perder o direito de receber pagamentos de cartões de uma determinada bandeira (ou de mais de uma).

Já pensou o estrago que isso causaria? Não é difícil calcular, considerando que a média das transações realizadas com cartão de crédito no e-commerce é de 75% e que as empresas Visa e MasterCard, juntas, detêm mais de 90% das transações.

4- Os bancos podem recusar suas vendas

Os bancos não possuem um programa de chargebacks, mas têm uma espécie de score para a reputação das lojas, que influenciam na taxa de aprovação das vendas que passam por essas instituições.

O aumento das fraudes impactará diretamente o score no seu e-commerce, e a sua taxa de aprovação cairá. Os bancos, para se protegerem e resguardar os seus correntistas, passarão a negar os pedidos que vierem da sua loja.

Pense: quanto maior o número de pedidos você tiver, mais relevante será o impacto desse score bancário.

5- O consumidor pode ter medo de comprar com você

“Meu cartão foi clonado e fizeram uma compra de R$ 1.500 na Loja XPTO, acredita? ”. Nós já ouvimos isso, e acredito que você também. Mas você já parou para analisar essa situação?

A Loja XPTO foi apenas o lugar na qual o cartão clonado foi usado, e é bem provável que ela não seja a verdadeira culpada pelo vazamento dos dados. Considerando que o cliente solicitou o chargeback e será ressarcido, a Loja XPTO também se torna a maior vítima dessa história.

Mas aquele consumidor acabou tendo uma experiência tão ruim ao ser vítima de um golpe que os termos “cartão clonado” e “Loja XPTO” ecoarão por tanto tempo que é bem possível que ele tenha receio de fazer uma compra nessa loja no futuro e ter o seu cartão clonado, novamente.

Pior: ele pode compartilhar esse medo com amigos e familiares, que também pensarão na hora de finalizar a compra no seu e-commerce. Diante deste fato, a sua marca ficará desgastada junto ao consumidor, e você ainda poderá perder vários outros clientes.

6- E o que você pode fazer?

Diante desses fatos, a melhor maneira que os lojistas têm para enfrentar a fraude no e-commerce é prevenir-se dela. Reverter um chargeback não é uma tarefa impossível, mas muito difícil. E a solução de todos os problemas que listamos aqui também exigirão uma parcela considerável de tempo, energia e orçamento, o que atrapalhará de maneira significativa a sua operação.

Prevenir-se deste tipo de golpe consiste, especialmente, em proteger o seu e-commerce com o antifraude que mais se encaixe com as suas necessidades e expectativas. Há diversas alternativas disponíveis no mercado, inclusive tecnologias que conseguem detectar compras suspeitas por meio da inteligência artificial na análise de risco.

No ano passado, 30 mil funcionários da JBS receberam um e-mail com a informação de que o jogador de futebol Neymar havia saído do time espanhol Barcelona. Quando clicaram no link que levaria à notícia, foram avisados de que haviam acessado um site indevido que poderia infectar o computador e até a rede da empresa. Em seguida, foram convidados a fazer um treinamento explicando os perigos de abrir arquivos ou links de origem desconhecida e os cuidados necessários para não correr esse risco.

O envio do e-mail foi organizado pelo próprio departamento de tecnologia da informação da JBS, com a ajuda de uma ferramenta para treinar funcionários que simula um e-mail de phishing para que entendam na prática como funcionam ataques virtuais e aprendam a evitá-los.

A técnica é uma das medidas adotadas por empresas atualmente para se proteger do crescente perigo apresentado por criminosos virtuais, que cada vez mais usam os funcionários como porta de entrada para ataques que podem acarretar grandes perdas financeiras.

Uma pesquisa recente da PwC apontou que o número de ataques virtuais registrados por empresas brasileiras pulou de 2,3 mil para quase 8,7 mil entre 2014 e 2015. Nesse período, o valor médio das perdas financeiras relacionadas a esse tipo de problema foi de US$ 2,4 milhões. Na percepção dos cerca de 600 executivos brasileiros entrevistados, a maior parte dos incidentes tem como provável origem os próprios funcionários da empresa (41%), número acima da média global (34%).

O “chief information officer” (CIO) da JBS, João Pilla, explica que a empresa possui uma postura conservadora quando o assunto é segurança da informação. Dispositivos particulares como celulares, tablets ou notebooks não podem ser usados para fins de trabalho, e os cerca de oito mil funcionários que precisam dessas ferramentas recebem aparelhos da empresa. Os empregados também assinam um termo de responsabilidade detalhando os limites e deveres como usuários de e-mail e da rede corporativa.

Além do investimento em ferramentas de monitoramento e proteção dos computadores, o departamento de TI produz vídeos semestralmente sobre o assunto. Ainda assim, Pilla, que está na área de tecnologia há 25 anos, diz que o controle da segurança da informação é hoje muito mais complexo em razão do avanço tecnológico e da divisão cada vez mais tênue entre uso pessoal e profissional dessas ferramentas.

“Na segurança da informação, é fundamental ficar o tempo todo batendo na mesma tecla, ou as pessoas esquecem.”

O treinamento de simulação foi uma alternativa que também permitiu à empresa medir o nível de conhecimento dos usuários.

A adoção, no ano passado, também resultou em redução de custos, pois substituiu um treinamento presencial sobre o assunto. Na primeira vez que a mensagem foi enviada, 10% dos 30 mil funcionários clicaram no link “malicioso”, e metade fez o treinamento. Na segunda simulação – a protagonizada por Neymar – 20% menos pessoas clicaram. “Nossa meta é que esse número não ultrapasse 5%”, diz Pilla.

Neste ano, o CIO pretende realizar o treinamento com mais frequência, com e-mails de temas variados – afinal, o hacker que quiser fisgar a atenção de alguém o fará com um assunto interessante. “As pessoas precisam perceber que a empresa está cuidando disso, para que elas façam a mesma coisa”, diz.

Para especialistas, toda a companhia deve ser responsável pelos riscos à segurança e não apenas o departamento de TI.

Pedro Ivo Lima, CEO da PhishX, empresa que oferece treinamentos de simulação como o realizado na JBS, explica que a intenção é educar o funcionário pela força do hábito, condicionando-o a identificar mensagens perigosas.

Os exemplos são, geralmente, escolhidos pelas próprias empresas. Algumas enviam e-mails que simulam comunicados internos, mas com textos absurdos ou repletos de erros – para comprovar a ideia, segundo Lima, de que muitos nem sempre leem uma mensagem antes de clicar em algo. “As pessoas têm padrões comportamentais. Em relação à tecnologia, todo mundo quer ser rápido”, diz.

No ano passado, a empresa realizou dois milhões de simulações. Em média, 35% dos usuários que recebem o e-mail “caem” na mensagem. Em um primeiro teste, nenhuma companhia registrou menos de 10% de acesso. “A partir do quarto teste, a tendência é ficar entre 10% e 20%. Nunca aconteceu 0%, nem vai acontecer”, enfatiza.

Após um funcionário clicar em um arquivo malicioso, esse “malware” pode infectar não só o computador dele, mas toda a rede da empresa. Os tipos de crime que resultam de falhas nesse processo variam de extorsão a roubo de informações privilegiadas como senhas, dados financeiros, ou detalhes sobre produtos, que podem ser vendidos para concorrentes.

Recentemente, o site de namoro Ashley Madison teve informações vazadas, revelando dados sigilosos de usuários que buscavam privacidade. Na semana passada, o aplicativo Snapchat teve dados sobre salários roubados após um hacker simular um e-mail do CEO da empresa pedindo as informações a um funcionário do departamento de pessoas. No caso de instituições financeiras, ter acesso à rede pode permitir aos hackers realizarem transações falsas.

No Santander, um treinamento online específico sobre segurança da informação está entre os obrigatórios para todos os funcionários do banco, e apresenta potenciais problemas e exemplos do que fazer, passando por passos básicos como a necessidade de bloquear o computador antes de deixar a mesa.

“É importante trazer para o dia a dia, para a pessoa entender o que isso significa no trabalho dela”, diz a vice-presidente de recursos humanos, Vanessa Lobato. O treinamento é atualizado e deve ser refeito todos os anos. O banco também promove uma semana de risco, que engloba esse assunto.

Na opinião de Claudio Martinelli, diretor geral da empresa de segurança da informação russa Kaspersky Lab no Brasil, está cada vez mais complicado proteger informações dentro de empresas. Parte do risco vem da prática de funcionários usarem dispositivos pessoais para o trabalho, a chamada “Bring Your Own Device“, considerada por Martinelli uma tendência sem volta.

Para a sócia da área de propriedade intelectual e tecnologia da informação do escritório de advocacia Trench, Rossi e Watanabe, Flavia Rebello, nesses casos é importante que a empresa tenha uma política específica para a situação.

É isso que vai definir, por exemplo, a possibilidade de monitorar programas de uso profissional instalados em um aparelho pessoal, como seria feito com um aparelho corporativo. A proibição do uso de aplicativos como WhatsApp, Skype ou Dropbox para trocar informações confidenciais também deve ser explícita.

“A recomendação é que se restrinja a transferência de documentos da empresa só a redes protegidas. Essas políticas ajudam a criar a consciência de que nem toda forma de comunicação é apropriada”, diz.

De acordo com Martinelli, os criminosos estão cada vez mais sofisticados ao tentar atacar empresas. Antes, e-mails de “phishing” chegavam apenas de forma massificada – por exemplo, quando hackers enviam mensagens falsas de um banco a um grande número de pessoas, na esperança de chegar a clientes daquele banco e eles caírem.

Agora, com o uso de engenharia social, essas mensagens são mais personalizadas. Um golpe comum nos últimos meses, descoberto pela Kaspersky, é o envio de arquivos maliciosos para profissionais do departamento de RH em e-mails que supostamente contêm currículos anexados.

Por esses motivos, a conscientização dos funcionários se torna cada vez mais essencial como parte da estratégia das empresas. “A segurança da informação tem três pilares: serviços como antivírus, políticas de segurança como limitar acesso de funcionários a um determinado tipo de site, e a educação, que é o mais fundamental de todos. Sem ele, os outros dois ficam bambos”, diz Martinelli.

Atualmente, os cibercriminosos utilizam-se de métodos de invasões, habilidades e objetivos mais estratégicos e refinados. Eles selecionam suas vítimas e elaboram ataques totalmente direcionados.

Portanto, separamos seis dos principais tipos de ameaças que o seu e-commerce pode sofrer, para você entender, ficar atento e se prevenir dessas possíveis invasões.

1- DDoS

Uma das ameaças ao comércio eletrônico é o DDoS, que é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus usuários.

O ataque procura tornar os sites indisponíveis e devido ao tempo de inatividade, este tipo de ameaça pode resultar na perda da confiança do consumidor e do valor da marca.

2- Cross-site Scripting ou XSS

Esse é o tipo de ataque que o usuário executa um código no site alvo, um Javascript, e caso ele encontre alguma brecha, o cracker conseguirá facilmente manusear os scripts maliciosos do seu e-commerce.

3- Cross-site Request Forgery (CSRF)

Esse tipo de ameaça CSFR é muito semelhante ao furto de cliques, conhecido como clickjacking, porém o CSFR é mais grave.

Se o cracker encontrar uma falha que permita o ataque, ele não vai depender que o usuário clique em um determinado link para que ele consiga executar os comandos diretamente no desktop da sua empresa para executar operações maliciosas. Trata-se de uma armadilha.

4- Eavesdropping

Normalmente esse tipo de ataque é utilizado pelos invasores para “roubar” senhas, CPF, dados de cartões de crédito, conversas sigilosas, logins, enfim, todas as informações pessoais e sigilosas dos usuários.

É uma técnica de violação da confidencialidade, uma analogia que podemos utilizar, seria como a ação de grampear um telefone.

5- SQL Injection

O SQL Injection é uma classe de ataque onde o invasor consegue obter todas as informações e dados sigilosos da sua loja virtual, ele pode inserir ou manipular consultas criadas pela aplicação enviadas para o banco de dados da plataforma de e-commerce.

6- Invasões em servidores

O sequestro em servidores são os mais comuns e quando o invasor tem sucesso na ação, geralmente é um estrago muito grande para a empresa, seja ela de pequeno ou grande porte. Depois de invadido, o usuário normalmente recebe uma mensagem informando sobre a invasão e a solicitação de um resgate (dinheiro). Os crackers entram por uma brecha e acessam todos os dados e fontes do sistema e controlam o alvo.

É importante ressaltar que alguns sistemas são mais vulneráveis do que outros, mas é possível achar vulnerabilidades em qualquer tipo de sistema operacional.

Saiba que existem diversas soluções para sua empresa detectar essas possíveis vulnerabilidades existentes dentro da sua plataforma de e-commerce e evitar um possível ataque.

A melhor opção é uma camada de proteção com a utilização de um firewall especialista no protocolo das aplicações WAF (Web Application Firewall). Você sabe o que é um Web Application Firewall? Leia mais sobre:

Mantenha seu e-commerce seguro de ataques cibernéticos


Esse tipo de solução ajuda no ciclo de desenvolvimento das aplicações, apoiando e auditando ciclos de desenvolvimento seguro. Portanto, fique atento e proteja seu negócio!

O Código de Defesa do Consumidor, tem como princípios a boa-fé e a harmonia das relações de consumo. Logo, as relações entre consumidores e fornecedores devem ser perenes e positivas.

Mas é sempre assim? Uma recente ação defendida pelo nosso escritório e que  virou notícia em vários veículos de mídia, mostra que não!

E isso não significa que apenas o fornecedor possui condutas inadequadas, como muito se acredita. A sentença proferida pelo Juiz Vilson Fontana, de Santa Catarina, retrata de forma coloquial o dia-a-dia dos processos de consumidores em trâmite no Juizado Especial. Em que a Justiça permite que se possa discutir qualquer causa e alegar qualquer coisa, fomentando, de forma reflexa, a Judicialização desenfreada e a indústria dos processos em massa.

Chama a atenção também para um grave problema dos dias atuais: consumidores que, erroneamente usam a máquina do judiciário tentando obter algum tipo de vantagem, uma lástima para todo o sistema e também para nosso país.

Nessa sentença, o consumidor comprou um produto em novembro de 2012 e foi reclamar de vício do produto em agosto de 2015! É possível fazer isso? A resposta é negativa, claro.

Segundo o art. 26, II do CDC, o direito do consumidor reclamar pelos vícios aparentes ou de fácil constatação quanto a serviço e produtos duráveis caduca em noventa dias, desde a evidência do vício. Isso é a lei e deve ser respeitada tanto pelos consumidores quanto pelos fornecedores.

Ademais, embora no direito do consumidor a prova geralmente seja invertida para o fornecedor, a critério do Juiz, é necessário que o consumidor fundamente suas alegações para que elas sejam minimamente verossímeis e que possam guardar relação com a boa-fé e justifiquem sua hipossuficiência, pois caso contrário, como bem decidido na sentença, não há prova. Não há direito. O processo deve ser extinto.

É necessário que estudantes, advogados, juízes, órgãos do Sistema Nacional do Consumidor e principalmente à população, seja ela composta de consumidores ou fornecedores, seja coerente com respeito à ética e a lei para termos condutas positivas, um Sistema adequado e que funcione e Relações de consumo sólidas e com interesses complementarem e proativos.

Tratamos questões com estes dilemas do Direito na Economia Digital já há algum tempo, o Direito de Arrependimento, por exemplo.

Entenda o caso do consumidor que quis “dar um migué”

Agora em janeiro de 2016, um juiz da 2ª Vara Especial Cível de Florianópolis que trata apenas pequenas causas causou surpresa e repercussão na grande mídia em um despacho em que usou a gíria “migué” para definir a suposta má-fé do consumidor.

O consumidor entrou com a ação judicial solicitando um novo celular pois o modelo entregue seria diferente daquele selecionado na compra. O detalhe é que a compra foi realizada em 2012!

O juiz explicou sua reação para a reportagem do portal G1:

“Eu poderia ter substituído ‘migué’ por ‘tergiversou’, ‘usou de evasiva’, ‘subterfúgios’, mas aqui é um juizado especial, tem que ser uma linguagem simples”. Ainda segundo o juiz Vilson Fontana (autor do despacho), claramente houve má-fé: “A parte veio fugindo do discurso. Primeiramente diz que reclamou do produto uma vez. Depois disse que reclamou inúmeras vezes. Depois disse que na documentação constava a reclamação, mas não havia esse anexo. Claramente ele quis enrolar para ganhar”.

Abaixo o despacho do juiz catarinense na íntegra:

E você, empreendedor de e-commerce, que lida diariamente com este tipo de situação, como trata esta questão? Compartilhe conosco outros casos.