A Black Friday está mesmo ao virar da esquina e sabemos o que isso significa para os comerciantes online de todo o mundo: por um lado, muito mais tráfego no website, clientes, vendas e lucros, mas, por outro lado, um maior risco de exposição à cibercriminalidade, que pode levar a danos financeiros e de reputação.

 

As empresas que pretenderem estar um passo à frente dos ciberatacantes durante este período devem reunir o máximo de conhecimentos possível: desde as ameaças mais comuns da Black Friday e as vulnerabilidades exploradas, até às precauções que podem tomar para evitar incidentes. Um dos engenheiros de cibersegurança da Alter Solutions explica-nos tudo.

 

 

Ataques DDoS: as “estrelas” do cibercrime da Black Friday

“A ameaça mais prevalente na Black Friday é, sem dúvida, os ataques DDoS (Distributed Denial-of-Service)”, afirma o nosso especialista com confiança. Eis como funciona um ataque DDoS: os hackers inundam um servidor com tráfego proveniente de uma variedade de endereços IP (daí o termo “distribuído”), provocando a falha do website e tornando-o inacessível aos utilizadores.


“Este é o maior problema durante a Black Friday, porque já existe uma enorme quantidade de tráfego, pelo que os agentes maliciosos podem facilmente tirar partido disso para passarem despercebidos e agravarem a situação. É o tipo de ataque mais fácil de utilizar durante este período, especialmente contra os grandes comerciantes”, salienta.

 

Agora, a motivação por trás de um ataque DDoS pode variar. Pode ser apenas isso mesmo – um meio de interromper os serviços e causar danos financeiros a uma empresa – ou pode ser utilizado como uma cortina de fumo, uma distração para mascarar ataques mais invasivos (como o roubo de dados).


Facto é que, nos últimos anos, os ataques DDoS se tornaram mais sofisticados e destrutivos. A razão para isso é a cloud. “Agora temos estes serviços em cloud que nos oferecem a capacidade de escalar muito facilmente. Por isso, os agentes maliciosos visam muitas vezes as empresas que fornecem estes serviços: se conseguirem aceder a eles, podem facilmente expandir o ataque. Anteriormente à cloud, tinham de comprometer todos os dispositivos. Agora, só precisam de aceder a uma conta de uma pessoa que tenha as credenciais do fornecedor de serviços na cloud [CSP – Cloud Service Provider], como a Amazon Web Services [AWS] ou a Google Cloud Platform [GCP], e estão numa boa posição”, afirma o nosso engenheiro cibernético.

 

 

Quais são as vulnerabilidades mais exploradas?

Principalmente, a má gestão de credenciais e acessos. “Especialmente os utilizadores privilegiados, ou seja, as pessoas com credenciais administrativas, deveriam ter um nível de segurança mais elevado para as suas contas e dispositivos. No entanto, de vez em quando ouvimos notícias de que algumas dessas contas foram pirateadas. Isso acontece porque os hackers são muito bons a descobrir quem são essas pessoas e como chegar até elas. Não é que o façam de forma indiscriminada. Podem ir ao LinkedIn, ao website da empresa, e podem até candidatar-se a essas empresas para descobrir a hierarquia. Portanto, estes ataques são muito sofisticados”, alerta o especialista da Alter Solutions.

 

 

Como agir preventivamente?

Para resolver essas vulnerabilidades antes que possam ser exploradas, existem medidas preventivas básicas para melhorar as políticas de palavra-passe, a gestão de identidades e acessos (IAM – identity and access management), que todas as empresas, independentemente da sua dimensão e âmbito, devem implementar: a autenticação de dois fatores (2FA) e a autenticação multifator (MFA). No entanto, o nosso engenheiro cibernético alerta que “isto não é algo que uma organização possa fazer numa altura específica apenas para evitar o caos da Black Friday. Tem de ser um processo contínuo, durante todo o ano”.


Para contas administrativas, recomenda-se a utilização de tokens de segurança físicos, como forma de aumentar o nível de proteção dos seus ativos. “Além disso, uma análise mais detalhada do local de onde estes utilizadores estão a iniciar sessão, do seu endereço IP e do que estão realmente a fazer facilita a deteção de padrões invulgares se algo estiver errado”, explica o nosso especialista. Para isso, existem ferramentas como a UEBA (User Entity and Behaviour Analytics), que podem interpretar o comportamento dos utilizadores, emitir alertas e bloquear temporariamente uma conta, se necessário.


Os graves ataques DDoS que ocorreram recentemente – como este que foi mitigado pela Google e apelidado do maior ataque DDoS até à data – também tornaram as empresas e os fornecedores de serviços na cloud muito conscientes da necessidade de monitorizar o tráfego em tempo real. “Em última análise, se um serviço de cloud, como o AWS ou o GCP, for utilizado para atacar uma organização, pode ser responsabilizado”, defende o nosso engenheiro.


Assim, além de escalar servidores conforme necessário, em alturas de grande movimento como a Black Friday, serviços como o AWS e o GCP também fornecem mecanismos de proteção contra ataques DDoS. “A AWS e a GCP estão muito habituadas a estes ataques, por isso sabem como os detetar e bloquear, e depois aplicam este conhecimento também aos seus clientes. Assim, as empresas que estão a utilizar o AWS ou o GCP para gerir o tráfego da Black Friday podem beneficiar da sua experiência em lidar com ameaças cibernéticas como o DDoS”, sugere o nosso especialista.
 from their experience in handling cyber threats like DDoS”, our expert suggests.

 

Garantir proteção total com Managed SOCC

Outra forma de reforçar a postura de cibersegurança é implementar uma solução Managed Security Operations Centre (SOC), um serviço completo de deteção e resposta a incidentes que utiliza ferramentas sofisticadas para monitorizar a infraestrutura IT das empresas, 24 horas por dia, 7 dias por semana, protegendo-a contra todos os tipos de ameaças e ciberataques.


De acordo com o engenheiro de cibersegurança da Alter Solutions, ter um SOC implementado é uma das estratégias de segurança mais fortes que uma empresa pode ter para evitar ser atingida por ameaças cibernéticas em geral, principalmente durante a Black Friday. “Num SOC, verificamos se há alguma atividade suspeita a acontecer, como a extração de dados e muito mais. É um nível adicional de proteção de sistemas, contas e redes. Mas, claro, não é algo que se possa encomendar apenas para uma determinada altura. Deve ser contínuo”.

 

 

É possível travar um ataque DDoS?

Depende da tolerância ao risco e da estratégia de cada empresa. “É muito difícil distinguir entre um utilizador normal que está a visitar o website para comprar algo e um utilizador comprometido que está a enviar tráfego apenas para aceder ao servidor. Por isso, em situações duvidosas, cada empresa precisa de ter uma política para decidir se quer bloquear esse tráfego e arriscar perder um cliente, ou deixar o tráfego entrar, mesmo que possa ser um ataque DDoS. É uma decisão de negócio”, acredita o nosso engenheiro.


Se o tráfego for de facto permitido e um ataque DDoS tiver espaço para ocorrer, então o dano já foi feito. “Podemos tentar encontrar a causa principal, como aconteceu, como pode ser evitado no futuro, mas não pode ser travado no presente. Tudo o que as empresas podem fazer é aprender e preparar-se para lidar melhor com a situação numa ocasião futura. É por isso que a prevenção é tão importante”, defende.


Há, no entanto, pequenas coisas que podem ser feitas para mitigar o impacto de um ataque DDoS. Por exemplo, o Google Cloud Platform permite que as empresas que utilizam os seus servidores armazenem endereços IP em diferentes regiões e continentes, pelo que, no caso de ocorrerem ciberataques como este, não podem ser completamente bem-sucedidos.

 

 

As consequências de uma fraca resiliência cibernética

As empresas que não dispõem de uma estratégia ou de instrumentos de cibersegurança, especialmente durante períodos de elevado tráfego como a Black Friday, correm naturalmente o risco de serem vítimas de ataques DDoS e de outras ameaças. Os danos são, na sua maioria, financeiros e de reputação.


“Durante a Black Friday, a ideia é aumentar as vendas e ganhar dinheiro. Assim, se um cliente tenta comprar algo e não consegue, em primeiro lugar não está a gastar o seu dinheiro na empresa, e essa é a primeira perda, mas depois pode ir comprar o mesmo produto a um concorrente. Além disso, se a indisponibilidade online de um comerciante chegar aos noticiários ou às redes sociais, pode arruinar a reputação da empresa muito rapidamente”, conclui o nosso especialista em cibersegurança. Mais uma vez, a prevenção é fundamental.
Partilha este artigo