Não é de hoje que o turismo luta contra ciberataques complexos e dinâmicos, que continuamente trazem ameaças às empresas do setor. De acordo com o estudo State of the internet: análise de tendências de ameaças ao setor de comércio, da Akamai Technologies, o segmento observou mais de 14 bilhões de incursões entre janeiro de 2022 e março de 2023. Dessas, mais de 200 milhões aconteceram no turismo e varejo na América Latina.
Helder Ferrão, gerente de Marketing de Indústrias da Akamai para a região, analisa que esse cenário se deve, em grande parte, à digitalização contínua do setor e ao grande número de vulnerabilidades existentes para serem exploradas por cibercriminosos. “Em comparação com outros setores, como serviços financeiros e saúde, o comércio possui muito mais domínios e menos regulamento, mas precisa do mesmo nível de maturidade de segurança”, diz.
“O setor de comércio é caracterizado por um ecossistema complexo de infraestrutura para viabilizar e proteger suas operações, além de que a rápida digitalização nos últimos anos tornou mais desafiador fiscalizar e combater as ameaças. O crescente processo de integração entre diferentes plataformas de fornecedores e parceiros, que visam otimizar e tornar mais eficientes as operações dessas empresas, serve ainda como fator de aumento de risco para as organizações”, completa.
Ataques a aplicações Web e APIs
De forma resumida, APIs (Application Program Interface) funcionam como uma espécie de via que conecta sistemas de fornecedores, parceiros e outros terceiros, permitindo a integração e troca de informação entre eles. Um exemplo de como elas funcionam é a possibilidade de utilização do login de uma rede social para acessar contas em outros sites.
Já as aplicações Web são executadas pelos clientes dentro dos sites do e-commerce, por meio de um navegador (Google Chrome, Microsoft Edge e Firefox, por exemplo) que consegue proporcionar uma experiência de usuário bem similar à dos aplicativos. Além disso, o armazenamento nas aplicações geralmente é feito em nuvem.
“As aplicações Web e APIs são bastante usadas no setor de comércio para impulsionar os negócios e, por isso, atraem diversos tipos de ataques. As interfaces das API’S estão sujeitas a vulnerabilidades como dificuldades de autenticação, negação de serviço e bots, além de ataques volumétricos, enquanto um ciberataque pode expor as aplicações Web à roubo de informações cadastrais ou financeiras de clientes e interrupção no funcionamento de um e-commerce, principalmente pelo fato de essas aplicações serem armazenadas em cloud”, complementa Ferrão.
Bots e phishing afetaram o setor
O levantamento da Akamai sobre ciberataques no turismo e varejo mostrou que solicitações de bots mal-intencionados estão em alta e ultrapassaram 5 trilhões de eventos em 15 meses. Um bot atua de forma automatizada executando um comando para um indivíduo, grupo de indivíduos ou organização. Em teoria, ele é utilizado legitimamente e executa tarefas automatizadas pré-determinadas de maneira simples e repetitiva. Apesar de não serem criados para fins maliciosos, eles vêm sendo utilizados por criminosos para oferecer risco aos usuários.
Vale ressaltar que mesmo os bots úteis podem prejudicar a experiência do cliente não só no turismo, mas demais setores, diminuindo o desempenho do e-commerce. Quando o assunto são os ataques de phishing, os varejistas continuam sendo um dos principais alvos dos fraudadores, que se fazem passar por sua marca e até usam seus logos oficiais para aplicar golpes em clientes desavisados. De acordo com o relatório da Akamai, também no primeiro trimestre de 2023, o comércio foi o segundo setor mais atacado por campanhas de phishing, concentrando mais de 30% das investidas e ficando atrás somente do setor de serviços financeiros.
“Nosso relatório detectou e explicou diversas ameaças cibernéticas, de forma a ajudar líderes e times de T.I. a entender as tendências de ataques. Algumas práticas básicas e recomendadas para se prevenir são integrar ganchos de segurança no pipeline do modelo DevSecOps, ativar o bloqueio e atualizações automáticas de regras e trabalhar com parceiros de negócios confiáveis para implementar as soluções de cibersegurança mais adequadas para cada organização”, finaliza Ferrão.
(*) Crédito da foto: Ilya Pavlov/Unsplash
