Num ano tão atípico, os efeitos da pandemia fizeram-se sentir profundamente no comércio eletrónico, que exibiu um crescimento de 20% só em 2020, valor que tipicamente se observaria num período de cinco anos. Porém, não têm faltado também novidades no universo do cibercrime e da segurança informática.

Um número recorde de consumidores a fazer compras online traduziu-se em excelentes notícias para cibercriminosos que atacam lojas de comércio eletrónico, nomeadamente aqueles que se focam no roubo de dados de cartões de crédito dos consumidores através dos chamados skimmers digitais.

Semelhantes aos skimmers em caixas multibanco, que copiam a banda magnética dos cartões MB sem que os respetivos titulares se apercebam, os skimmers digitais são o seu equivalente eletrónico. Consistem em código malicioso que os atacantes conseguem injetar e que corre silenciosamente nas páginas de pagamento das lojas online infetadas, colecionando e enviando para os atacantes todos os dados do cartão de crédito inseridos pelo utilizador.

Um dos casos mais mediáticos de skimming digital ocorreu em 2018, no ataque à British Airways que resultou no roubo de mais de 380 mil cartões de crédito e numa multa de 200 milhões de euros por violação do RGPD. Desde então, já ocorreram milhares de ataques semelhantes que se estima terem causado mais de mil milhões de euros em prejuízos às empresas. Só desde março de 2020, 14 grandes empresas foram atacadas, incluindo a Tupperware e a Warner Music Group.

Em grande parte, este problema nasce da falta de maturidade de segurança das empresas ou dos fornecedores com quem trabalham. Ao contrário das típicas brechas de segurança, que ocorrem quando um atacante rouba os dados contidos num servidor, os ataques Magecart não requerem esta infiltração. O ataque ocorre diretamente no browser do consumidor, enquanto este faz compras online no website da empresa infetada. Por esse motivo, as empresas têm pouca ou nenhuma visibilidade destes ataques.

Mitigar o ataque com uma nova abordagem de segurança

Atualmente, para lidar com ataques de skimming digital, recomenda-se a monitorização das lojas online diretamente no browser, bem como detetar (e, potencialmente, bloquear), em tempo real, comportamentos maliciosos característicos destes ataques.

É urgente que as empresas de comércio eletrónico compreendam esta ameaça e tomem medidas eficazes para lhe fazer frente, apostando na prevenção. O impacto económico e reputacional de um ataque de skimming digital é demasiado grande para não o fazerem. Gostaria de poder trazer já um discurso mais positivo e de afirmar que está a ser feito o suficiente para erradicar estes ataques. No entanto, a realidade aparenta ser outra. À medida que os ataques Magecart se tornam mais elaborados e recorrentes, a segurança e privacidade de milhões de consumidores estão nas mãos destas empresas.