Quais são os principais riscos para os clientes que utilizam de forma indevida?

Seja uma gigante multinacional como a Amazon ou uma pequena empresa regional, os varejistas são um alvo extremamente atraente e de baixo risco para os cibercriminosos. A razão disso é que eles processam, armazenam e mantêm dados dos clientes e informações confidenciais, como credenciais financeiras, nomes de usuário e senhas, que podem ser vulneráveis a ataques.

Sabemos que os agentes de ameaças usam uma variedade de métodos, desde simples engenharia social até sofisticados ataques DoS/DDoS para atingir empresas desavisadas. A obtenção de benefícios monetários é a motivação por trás de 99% desses ataques.

Aqui estão os principais tipos de ciberataques realizados contra empresas de varejo:

1.Ransomware

O ransomware é um tipo de malware que impede o acesso a um sistema até que um valor de resgate seja pago. Para fazer com que o resgate seja pago, os cibercriminosos podem pressionar a organização ameaçando revelar informações confidenciais.

A WatchGuard recomenda a aquisição de uma solução abrangente de cibersegurança que possa detectar e responder a ameaças avançadas desta natureza. Esta solução deve incorporar tecnologias que se concentrem num modelo de zero-trust e basear as suas capacidades na proteção, detecção e resposta no endpoint, ajudando a reduzir a superfície de ataque através da correção de vulnerabilidades conhecidas. Também precisa de executar a gestão de identidade através de autenticação multifator (MFA), funcionalidades anti-phishing, anti-exploração, anti-manipulação e um serviço de classificação automática para processos e aplicações, juntamente com um serviço de threat hunting, de modo que as ameaças sofisticadas possam ser detectadas proativamente.

2.Phishing de credenciais

Esses ataques ocorrem quando um cibercriminoso rouba credenciais para obter acesso a redes de computadores e se apropriar indevidamente de dados críticos de negócios. Geralmente, o criminoso se passa por uma entidade conhecida ou confiável por meio de um e-mail, mensagem de texto ou outros canais de comunicação.

A WatchGuard recomenda sempre manter os softwares de segurança, os sistemas operacionais e os navegadores da Internet atualizados para ajudar a diminuir o risco de exposição potencial de informações comerciais. Contar com um bom firewall também ajuda a reforçar a proteção, ao realizar um exame cuidadoso das solicitações de DNS e bloquear conexões mal-intencionadas.

3.Ataques DDoS

É o tipo de ataque no qual o cibercriminoso inunda o servidor de destino com tráfego da Internet de vários locais para tornar os serviços online ou sites indisponíveis. Geralmente, os invasores visam vários recursos, de bancos a sites de notícias e varejistas, para impedir que publiquem e acessem informações vitais.

Implementar níveis elevados de segurança de rede é essencial para interromper qualquer tentativa de ataque DDoS. Com os firewalls dos dispositivos de segurança de rede Firebox, é possível bloquear endereços de IP e portas e definir limites de tráfego predeterminados para os servidores e o cliente. 

4.Ataques à cadeia de suprimentos

Esse tipo de ciberataque tem como objetivo prejudicar uma organização visando um fornecedor terceirizado ou fornecedor vital na prestação de serviços à cadeia de suprimentos. Isso ocorre quando hackers inserem códigos maliciosos em softwares ou encontram maneiras de comprometer componentes de rede para acessar recursos digitais. Um bom exemplo desse tipo de investida foi o ataque contra a empresa Kaseya, que afetou 1,5 mil companhias de vários países.

É recomendada a adoção de medidas preventivas, como a realização de avaliações regulares de risco de terceiros, para identificar possíveis pontos fracos e ameaças internas. Um provedor de serviços gerenciados também pode adotar uma abordagem proativa e fornecer serviços de segurança de endpoint que incluem monitoramento de log de eventos, threat huntings, detecção de intrusão e malware/antivírus para detectar comportamentos suspeitos.

5.Violação de dados

Uma violação de dados é um tipo comum de ataque onde informações confidenciais são expostas. Neste ataque, dados protegidos ou confidenciais são retirados de um sistema sem a permissão do proprietário. Isso pode resultar em uma violação de confidencialidade, disponibilidade ou integridade. Essa exposição de informações pode impactar negativamente um negócio de diversas formas.

Para evitar uma violação de dados, a WatchGuard recomenda uma sólida e ampla estratégia de segurança, que inclua segurança de endpoint/antivírus, firewall gerenciado, mitigação de DDoS, auditorias regulares de segurança cibernética e treinamento para funcionários.

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor no dia 18/09, fazendo com que muitos empresários acelerassem o processo de conformidade com as exigências da lei. As penalidades previstas na Lei terão início a partir de agosto de 2021, porém, a LGPD já pode servir para sustentar decisões judiciais e medidas extrajudiciais em diversos temas relacionados a proteção de dados pessoais.

O descumprimento da LGPD pode, desde já, ser uma dor de cabeça e tanto para o empresário. Recentemente, a construtora Cyrela, referência no setor imobiliário, foi a primeira empresa a ser punida judicialmente por não cumprir as determinações da LGPD e compartilhar de forma indevida os dados pessoais dos clientes com terceiros, sem sua autorização expressa, de acordo com informações publicadas no portal The Hack.

No caso da Cyrela, a multa indenizatória ficou em um total de R$ 10 mil, e chama atenção o fato de que a LGPD foi, pela primeira vez, utilizada como fundamento expresso em sentença condenatória, aplicada conjuntamente com o Código de Defesa do Consumidor, tendência que deve se repetir.

Muito embora a ANPD, Autoridade responsável por promover a orientação, fiscalização e penalização das normas trazidas pela LGPD, não esteja ainda operacional, se vê uma grande movimentação por parte dos consumidores, que têm mais do que nunca consciência de seus direitos enquanto titulares de dados pessoais, e o reflexo é um evidente engajamento online, em canais de contato e reclamação.

É exatamente o acesso aos direitos dos consumidores, que podem pleitear o acesso e até mesmo exclusão e seus dados pessoais de bancos de dados das empresas, que promete movimentar as primeiras reclamações judiciais e administrativas com base primordialmente na LGPD.

 Vale lembrar que embora as penalidades previstas não Lei ainda não estejam em vigor, a penalização pelo desatendimento aos direitos previstos dos titulares de dados pessoais já pode ocorrer, como o caso da Cyrela demonstra.

Como evitar a penalização da sua empresa?

Com a LGPD já vigente, o quanto antes a sua empresa estiver em conformidade total aos termos da Lei, melhor. Para isso, é necessário remodelar a cultura interna da empresa no que tange às políticas de informação e proteção de dados, bem como contar com uma análise jurídica sobre os processos operacionais e tecnológicos executados. Assim, é possível garantir que nenhuma norma importante seja deixada de lado, evitando prejuízos financeiros e o desgaste no relacionamento com os seus clientes.

Proporcionar o acesso e cumprimento aos direitos dos consumidores como previsto pela LGPD deve ser prioridade no momento, estabelecendo um fluxo claro e eficiente para promover a resposta às solicitações do titular.

Além disso, ao cumprir as normas exigidas pela LGPD, associando o nome da empresa às boas práticas de proteção de dados, sua empresa adquire um importante diferencial competitivo de mercado e eleva o relacionamento com os clientes a outro patamar, no qual a transparência de informações e a confiança mútua tornam-se pilares essenciais para a manutenção de uma parceria duradoura e rentável.

Tem dúvidas sobre como adequar os processos da sua empresa às normas previstas pela LGPD? Então envie um e-mail para

Quais são os riscos para o consumidor quando há um tratamento ilícito de dados?

Quais são as ameaças que podem colocar um dado em risco?

Quais são os tipos de incidentes de segurança que podem ocorrer?

Quais os três principais riscos pela falta de segurança em uma organização?