O Black Friday 2024 já está aqui!  O dia 29 de novembro é a data marcada para este dia, na mais pura tradição norte-americana, que terá o seu eco no chamado Cyber Monday, mais focado nas compras online. Segundo um estudo da OCU, está previsto um valor até 76% de utilizadores interessados na aquisição de produtos e serviços na famosa "Sexta-feira negra". A despesa média por comprador irá oscilar entre os 200 e os 300 euros. Estima-se que o volume total de compras neste dia ultrapasse os 278 000 milhões de dólares em todo o mundo, o que dá uma ideia da importância económica e social deste fenómeno.

Segundo a Rocket Digital, as lojas espanholas apostam até 40% da sua faturação anual no Black Friday 2024, uma percentagem que sobe até aos 60% para as marcas que se concentram completamente na venda online. É, sem dúvida, uma grande oportunidade de negócio para inúmeras empresas e uma potencial fonte de poupança para alguns consumidores às portas de um período tão representativo como o natalício.

68% dos negócios eletrónicos espanhóis irão realizar um investimento adicional em tecnologia na Black Friday, especialmente em automatização (18%) e análise de dados (18%), considerados críticos para facilitar a gestão eficiente do alto volume de encomendas, realizar previsões e ajustar estratégias em tempo real. 

O aumento exponencial de transações online num tão curto período de tempo aumentou o risco de potenciais ciberataques e fraudes, pois o Black Friday pode ser, de facto, uma sexta-feira muito negra para muitos consumidores e empresas se não tomarem as medidas oportunas numa perspetiva de segurança da informação e gestão da continuidade dos seus serviços.

Sem ir mais longe, no passado mês de novembro de 2023 ocorreram em Espanha uns impressionantes 45 000 ciberataques, estimando que os mesmos geraram perdas económicas superiores a 20 milhões de euros. No que levamos de novembro em 2024, foi detetado um aumento de 138% no número de domínios registados com a expressão Blackfriday, contando-se mais de 6400 domínios registados, um número que pode ser perturbador se, entre os mesmos, se encontrarem sites falsos com intenções maliciosas...

Mas quais são os tipos de ameaças que os consumidores enfrentam nestas datas? Sem a pretensão de sermos exaustivos, vamos listar algumas.

• Phishing: Os ciberdelinquentes enviam e-mails aparentemente legítimos que redirecionam para sites falsos com o objetivo de roubar dados pessoais. Hoje em dia é muito habitual receber correios com supostas ofertas comerciais e descontos atrativos que nos induzem a clicar sobre links maliciosos e/ou a descarregar conteúdo potencialmente perigoso.

• Typosquatting: Criam-se páginas ou aplicações falsas que imitam as reais, utilizando ligeiros erros tipográficos nos nomes das URL ou aplicações de forma a enganar o utilizador. Perante a gigantesca maré de oferta comercial nestes dias e a “inquietação” por conseguir o artigo desejado, é relativamente fácil cair numa “página web clonada” que imita perfeitamente o site da nossa marca favorita.

• Malvertising: Mediante anúncios online, os atacantes distribuem programas maliciosos ou redirigem para sítios fraudulentos. Mais uma vez, a facilidade de inundar a nossa navegação com publicidade de todos os tipos pode levar-nos a aceder a links problemáticos.

• Smishing e Vishing: Estas variantes do phishing operam mediante mensagens de texto e chamadas telefónicas falsas, respetivamente. Os atacantes simulam ser bancos ou serviços de confiança para obterem informação confidencial. Também é usual a tentativa dos delinquentes de se fazerem passar pelo operador logístico que nos irá entregar o nosso produto e assim tentarem obter informação bancária e/ou dados pessoais. O uso de inteligência artificial por parte dos atacantes pode tornar as chamadas telefónicas muito credíveis e, talvez, até emular de forma bem-sucedida a voz de conhecidos para nos induzir a um perigoso estado de confiança.

• SIM swapping, onde os atacantes duplicam um cartão SIM para intercetar mensagens de autenticação de dois passos e aceder a contas bancárias ou aplicações. Através de aplicações e anúncios maliciosos no nosso smartphone, o ciberdelinquente consegue descarregar programas no nosso dispositivo que permitem, de facto, obter o controlo sobre o mesmo.

• Aplicações falsas e fraudes com promoções. Durante estes dias, é habitual que os ciberdelinquentes lancem aplicações que aparentam ser de lojas ecommerce legítimas, mas que contêm malware. Também são comuns as fraudes com promoções irresistíveis, como cupões de desconto falsos e ofertas. flash, desenhadas para atrair os compradores impulsivos. A utilização de técnicas de engenharia social, juntamente com a sensação da exclusividade da compra e o escasso tempo da validade da promoção, fazem com que o comprador relaxe a sua atenção relativamente à verificação do site onde interage... e após a compra acaba por nunca receber o pedido.

E, perante este panorama, o que podemos fazer para nos proteger? Vamos citar algumas recomendações que podem melhorar a nossa experiência de compra de forma a torná-la mais segura e confiável:

• Pode parecer muito óbvio, mas desconfie de ofertas muito boas!: verifique a autenticidade da página web e tente comprar apenas em sites de reputação reconhecida evitando a compra compulsiva em webs de procedência duvidosa. O primeiro passo é analisar a URL e comprovar que se esteja a conectar a um site com certificado SSL válido. Observar que o endereço da URL comece por "https://" ou "shttp://". O “S” indica que o endereço web foi cifrado e protegido com um certificado SSL. Este sistema, no entanto, não é totalmente infalível. Foi detetado um aumento significativo do número de sítios maliciosos que utilizam certificados SSL. É conveniente comprovar a política de privacidade do sítio web, utilizar uma ferramenta de verificação de segurança de sítios web como o Google Safe Browsing ou fazer uma pesquisa WHOIS para ver quem é o proprietário da página web. É também importante dar atenção à terminação dos domínios aos quais se conecta: talvez o seu sítio favorito acabe na extensão .es e você se esteja a conectar a um domino com o mesmo nome, mas terminado em.org, com o objetivo de capturar a sua informação pessoal. Tudo pela sua Segurança!

• Cuidado com os e-mails de Phishing, simulando serem vendedores a retalho de confiança. Certifique-se de que não exista nada anómalo no endereço do remetente, que o domínio seja o correto, que o assunto do correio tenha realmente a ver com a sua compra, que não se trate de um aparente “erro de envio fortuito”. Pense que não é a operação normal de nenhum estabelecimento obter informação pessoal e bancária através de um correio eletrónico ou mediante uma chamada telefónica. Desconfie se detetar estas tentativas de obter a sua informação!

• Use um cartão específico para as suas compras em linha com operação segura através de modelos de autenticação de duplo fator e limite a sua capacidade de compra diária. Adquira o habito de rever as cobranças sobre esse cartão nestes dias e nos seguintes para detetar qualquer montante não justificado.

• Evite o uso de redes públicas Wi-Fi para a realização das suas compras. É habitual que nas grandes superfícies comerciais e em muitos estabelecimentos estas redes estejam disponíveis como cortesia para o utilizador. No entanto, não temos garantia sobre o nível de segurança destas conexões. Se for necessário, use navegadores com VPN habilitada para que a sua informação se encontre protegida.

• Mantenha atualizado o software de todos os dispositivos a partir dos quais realiza a compra. Utilize proteção antivírus em todos eles e, nos navegadores, limite as opções de rastreabilidade da sua navegação por parte de terceiros.

• Cuidado com as aplicações falsas: Descarregue apenas aplicações da App Store da Apple ou da loja do Google Play (Android).

• Utilize palavras-passe fortes e únicas com autenticação de duplo fator. Não há nada pior do que “um segredo que deixa de o ser”.

• Cuidado com as fraudes nas redes sociais. Costumam ser o ponto de partida de um redireccionamento para um site malicioso que nos engana para executar uma transação indesejável.

• Antes de aceder a um código QR, certifique-se de que faz sentido a sua existência e que concorda com tudo o que vê ao seu redor.  Este conselho é válido tanto para sites web como para sites físicos. Certifique-se de que não tenham sido ali colocados por um terceiro.

• Preste atenção a falsos “consultores” que o podem abordar num centro comercial ou noutro estabelecimento para o fazer participar em programas de fidelização, descontos de última hora, etc.: preste atenção à sua identificação e se realmente pertencem ao estabelecimento.

• Muito cuidado com o uso de multibancos em centros concorridos. Certifique-se de não observar nada de estranho, nenhum dispositivo adicional ou removido ou se existem marcas de manipulação em qualquer ponto.

• Se não tiver feito um pedido, simplesmente não tem de o receber. Alguns delinquentes simulam a entrega de um pedido para o seu próprio domicílio com a desculpa do envio de um conhecido e com a finalidade de obter a sua informação pessoal ou de realizar uma fraude.

• ... e, sobretudo, SENTIDO COMUM, não baixe a guarda: não há a oferta incrível que ninguém tenha visto, não há presentes a custo 0 e não vão esgotar as mercadorias se demorar mais alguns minutos para verificar toda a informação que lhe proporcione segurança.

Mas, e as próprias empresas vendedoras, o que enfrentam estes dias?

Como comentámos no início deste artigo, o Black Friday representa uma oportunidade incrível para os retalhistas potenciarem as suas vendas no troço final do exercício. No entanto, representa para eles um desafio importante no que se refere à segurança da informação e à continuidade de negócio. Os aspetos chave a que devem prestar atenção são os seguintes:

• Disponibilidade e capacidade de processamento. O incremento exponencial das transações vai representar um consumo importante de capacidades de processamento e armazenamento dos sistemas de informação. Os responsáveis por TI deverão prestar atenção ao “capacity planning” da sua arquitetura e contar com meios de reforço como soluções e infraestruturas na nuvem (cloud) para reforçar o desempenho dos sistemas e permitir mecanismos de contingência e crescimento, se for caso disso.

• Reforço das capacidades de deteção face a ciberataques. Ataques de recusa de serviço, ransomware, tentativas de exfiltração de informação sensível de clientes e de transações vão aumentar de forma notável. As capacidades proporcionadas por um SOC/CERT, o uso de XDR e outras soluções de segurança são vitais para a sobrevivência do negócio. De forma adicional, o reforço das capacidades humanas ligadas aos serviços de segurança são mais do que recomendáveis face ao impacto de um incidente cibernético de carácter disruptivo.

• Garantia e verificação do ciclo de vida do software. Garantir de forma cuidadosa que as mudanças nos sistemas produtivos não introduzam vulnerabilidades, falhas de configuração, componentes maliciosos de terceiros e APIS ou portos de conexão habilitados de forma desnecessária. Especial atenção à integração com o software de terceiros e com as necessárias passarelas de pagamento, assim como às interfaces com os operadores logísticos habilitados para a distribuição dos nossos produtos. É um autêntico desafio.

• A contratação de ciberseguros pode ser uma prática recomendável para fazer frente a possíveis responsabilidades derivadas de um ciberataque.

• A atualização e formação prévia do Plano de continuidade de negócio e do Plano de gestão de crises. Se tudo correr mal, a empresa deve contar com as capacidades técnicas e humanas suficientes para reabastecer a sua operação no menor tempo possível, minimizando as perdas económicas e reputacionais. 

Aproveite o seu Black Friday e boa caça!!

Autor: Ángel García-Madrid Velázquez