O estado da segurança de pagamentos de comércio eletrônico

Postado anos 2 atrás by Rob Binns

Quando a pandemia atingiu, o comércio eletrônico explodiu.

Com as pessoas presas e com pouco o que fazer, comprar online parecia a única saída. O mercado global de comércio eletrônico saltou para US$ 26.7 trilhões. Os hábitos dos clientes também estavam mudando. Em uma pesquisa, 60% dos entrevistados concordou que Covid-19 mudaram sua relação com a tecnologia.

Mas não foram apenas as vendas que dispararam. E não foram apenas os negócios do setor de comércio eletrônico que foram ocupado - mas seus fraudadores também.

Em apenas um ano (entre 2020 e 2021), Fraude no comércio eletrônico aumentou 18%: de US$ 17.5 bilhões para US$ 20 bilhões. Uma olhada no igualmente florescente mercado de prevenção de fraudes no comércio eletrônico-esperado atingir a impressionante quantia de US$ 70 bilhões 2025 – e está claro que essa linha de “trabalho” só está crescendo em popularidade.

O resultado final? A fraude no comércio eletrônico é algo que você não pode ignorar. Afinal, não é apenas uma ameaça aos seus lucros, mas também à imagem da sua marca. Se os clientes não sentirem que podem pagar com segurança através do seu site, eles não confiarão em você. Depois que você perde a confiança do consumidor, é extremamente difícil reconquistá-la.

A seguir, analisaremos o estado da segurança dos pagamentos, começando com os tipos mais comuns de fraude no comércio eletrônico. Também ofereceremos conselhos práticos para proteger seus clientes, seu site, e – em última análise – o seu resultado final. Continue lendo!

Tipos mais comuns de fraude em comércio eletrônico

À medida que o mundo do comércio eletrônico se expande e evolui, o mesmo acontece com seus vilões. Assim, ao longo dos últimos anos, não é apenas o número de fraudulento transações – e o valor total do roubado mercadorias - que aumentou. É o tipo de fraude no comércio eletrônico também.

Desde pharming e aquisições de contas até fraudes “amigáveis” e “silenciosas” (sem mencionar direto roubo de identidade), os métodos dos fraudadores estão se tornando cada vez mais dinâmicos e diversificados. Vamos dar uma olhada em alguns.

Pharming

Pharming é um tipo de fraude de comércio eletrônico em que os fraudadores redirecionam os usuários da web (sem o seu conhecimento ou consentimento) para um site fraudulento. Este site pode parecer aquele que o cliente pretende acessar, mas com uma chave diferença - é completamente falso.

Projetado apenas para simular o site original, sua contraparte falsa existe por um motivo apenas - para enganar o usuário para que ele insira suas informações pessoais e detalhes de cartão de crédito. Os fraudadores podem então usar essas informações para roubar o dinheiro do indivíduo ou pior - o deles identidade.

Fraude de Estorno

Também conhecida como “fraude amigável”, a fraude de estorno ocorre quando um cliente tenta reivindicar um reembolso de forma fraudulenta, abusando do sistema de estorno.

Um estorno é uma medida introduzida pelos bancos nos anos 70 para aumentar a confiança do público no cartão de crédito (que, naquela fase, era um inovador coisa). Ele permite que os consumidores contestem um pagamento com cartão e, depois que o banco aceitar o caso, solicitem um reembolso.

Digamos que você esteja de férias em Santorini e seu cartão seja roubado no aeroporto. Quando você chega à Grécia, você percebe que o ladrão fez compras fraudulentas de US$ 700 no seu cartão. Nessa situação, você poderia (de forma bastante legítima) solicitar um estorno.

O problema? Quando não é legítimo. Seja de forma maliciosa ou “inocente” (clientes esquecendo-se de uma transação em seu extrato ou de um ciclo de cobrança recorrente), os fraudadores podem aproveitar o processo de estorno para reivindicar o dinheiro de volta em compras totalmente válidas.

A pior parte? Que, quando uma solicitação de estorno é confirmada pelo banco, o banco então reivindica o dinheiro (junto com uma taxa adicional, por seus problemas!) De volta de você. Adicione isso ao estoque que você já perdeu para o fraudador e os estornos oferecem uma muito real ameaça.

Roubo de Identidade

Por causa dos filmes populares que tratam do assunto (O Talentoso Sr. Ripley, alguém?), o roubo de identidade é um dos mais bem conhecido tipos de fraude no comércio eletrônico. Mas isso não o torna menos perigoso.

Aqui, um fraudador assume falsamente a identidade de outra pessoa: usando seu nome, informações pessoais e documentos para abrir cartões de crédito e, em seguida, atacando a rua.

Além do impacto sobre a vítima, por que isso é uma má notícia para o seu negócio online? Afinal, você ainda está vendendo... certo?

Errado. Pense, por um segundo, no nosso exemplo de Santorini acima. Em breve, a pessoa cuja identidade foi roubada tomará conhecimento da litania de compras fraudulentas feitas em seu nome e você adivinhou isto-aumentar um estorno. Quando o banco confirmar isso, eles reivindicarão o dinheiro de volta - de você.

Fazendo as pazes 71% de todos os ataques, o roubo de identidade é de longe o tipo mais comum de fraude no comércio eletrônico. Além disso, os fraudadores também estão se tornando mais sofisticados, agora usando dispositivos pessoais, endereços IP e contas de usuários dos alvos para assumir suas identidades, o que os torna uma ameaça à qual devemos estar atentos.

Controles de conta

Em algum momento ou outro, enquanto faziam compras on-line, todos os nossos clientes já fizeram isso. Marquei a caixa que diz “Salvar os detalhes do meu cartão de crédito”. Isso economizará um minuto na próxima vez que voltarem para fazer uma compra, então é um acéfalo, certo?

Certo. A menos que seja, um fraudador é capaz de obter seu dedos pegajosos pata nos detalhes de login desse cliente. Caso isso aconteça, o ladrão terá acesso fácil aos seus dados de pagamento. Ou seja, tudo o que eles precisam fazer é alterar o endereço de entrega e começar a comprar.

E quando o fazem? Espere estornos do cliente real, deixando seu negócio fora do bolso.

Malware e Ransomware

Seu computador continua congelando? Existem anúncios aparecendo em todos os lugares? Os links levam você ao destino errado ou novos ícones aparecem na sua área de trabalho e no navegador?

Nesse caso, você pode ter instalado inadvertidamente malware (mal = ruim, ware = software… é um software ruim) em seu dispositivo. Até o próprio termo “malware” inclui uma variedade de diferentes tipos de códigos maliciosos, cada um mais nefasto que o anterior. Isso inclui spyware, “Cavalos de Tróia” e código ransomware isso bloqueia você do seu sistema até que você pague um “resgate” ao hacker para voltar a entrar.

O problema para os proprietários de lojas de comércio eletrônico é que o malware, seja no seu sistema ou no de seus clientes ou administradores, pode roubar dados confidenciais. Isso inclui os nomes e detalhes de endereço de seus clientes, bem como suas informações de pagamento. Se alguma dessas coisas for comprometida, você não perderá apenas lucros ou dados, mas também sua credibilidade.

Além do mais, os ataques de malware abrem caminho para uma forma emergente de engano no comércio eletrônico chamada fraude “silenciosa”. Depois de usar malware para acessar ilegalmente uma série de contas, os fraudadores, em vez de roubar milhares, centenas, dezenas ou mesmo algumas, roubam apenas alguns centavos. Feitos em grande escala e com regularidade, estes roubos podem totalizar enormes quantidades de fundos roubados. Afinal, não é tão “silencioso”!

Maneiras de proteger seus clientes

Saber quais são os principais tipos de fraude no comércio eletrônico é uma coisa. Mas ser capaz de isolar efetivamente você e seus clientes dos efeitos nocivos da fraude é outra bem diferente.

Abaixo, reunimos nossas principais dicas para ajudar você, sua base de clientes e sua empresa a permanecerem fora das garras cobiçosas dos fraudadores.

Proteja as informações do cliente

A primeira maneira de proteger seus clientes? Protegendo seus detalhes mais importantes. Veja como:

firewalls

Ao filtrar e monitorar o tráfego de entrada (e saída), os firewalls ajudam a manter a segurança do seu site, agindo, basicamente, como uma parede literal entre sua rede e o oeste selvagem da Internet em geral.

Sob esse prisma, os firewalls são vitais não apenas para proteger seus sistemas de dados, mas também para manter a conformidade com PCI. PCI DSS (Padrões de segurança de dados da indústria de cartões de pagamento) é um conjunto de regulamentos que todas as empresas que aceitam cartões de crédito e débito devem seguir. A conformidade com o PCI é uma espécie de “selo de aprovação” que mostra aos seus clientes, reguladores e ao mercado mais amplo que você é confiável para lidar com dados confidenciais.

Se você vende online com Ecwid por Lightspeed, sua loja já é compatível com PCI DSS. Ecwid by Lightspeed é um provedor de serviços de nível 1 validado pelo PCI DSS. Este é o mais alto padrão internacional para trocas seguras de dados para lojas online e sistemas de pagamento.

permitir Dois fatores Autenticação (2FA)

Certifique-se de que o 2FA seja implementado, para que qualquer pessoa que tente acessar as plataformas e processos de back-end da sua empresa precise fazer login por meio de dois dispositivos. Se você ou um dos membros da sua equipe estiver fazendo login em um computador desktop, por exemplo, você também precisará confirmar a tentativa em outro dispositivo, como o seu telefone, para obter acesso.

Outras variações incluem:

Dois passos variação (2SV): envolve receber um um tempo código ou senha por e-mail, mensagem ou telefone que você deve inserir para fazer login.
Multifator autenticação: uma combinação de múltiplas formas de autenticação para um dos mais altos níveis de segurança.

Proprietários de empresas que vendem online com Ecwid by Lightspeed podem usar suas contas do Google ou Facebook para fazer login em sua loja Ecwid. permitir dois fatores autenticação para sua conta do Google ou Facebook e, assim, proteger também suas informações de login do Ecwid.

Se quiser adicionar outros membros da equipa (como pessoal de atendimento ou um designer) à sua loja Ecwid, nunca partilhe o seu login Ecwid com eles. Em vez de, criar contas de funcionários separadas para cada usuário em sua loja. As contas da equipe têm logins separados e não têm acesso ao seu perfil e às páginas de faturamento.

Use um gateway de pagamento seguro

Se você deseja oferecer aos seus clientes o mais alto nível de tranquilidade possível no pagamento, um gateway de pagamento seguro é essencial.

Um gateway de pagamento é a tecnologia que os comerciantes usam para aceitar compras com cartão de crédito e débito: ambos em pessoa e on-line. Mas nem todos os gateways de pagamento são criados iguais, especialmente no que diz respeito a taxas e prazos de pagamento. Portanto, certifique-se de escolher o caminho certo para as necessidades exclusivas da sua empresa.

Ecwid by Lightspeed está integrado com dezenas de gateways de pagamento seguros. Você pode escolher um sistema de pagamento que seja conveniente tanto para sua empresa quanto para seus clientes.

Mais: Como escolher um sistema de pagamento para sua loja de comércio eletrônico

Compartilhe conselhos e informações com seus clientes

Uma das maneiras mais fáceis de proteger seus clientes? Informando-os.

Seja por meio de e-mails, textos ou seções dedicadas em seu site, informe seus clientes sobre a fraude que existe e como eles podem se proteger dela. (E ajudá-lo a protegê-los disso!)

Certifique-se de definir claramente:

Como sua empresa cumprimenta seus clientes (para que eles possam identificar discrepâncias)
Como sua empresa não cumprimenta seus clientes e o que ela não solicita (ou seja, detalhes de login ou clique em um link para fazer login)
Dicas claras e práticas para os clientes manterem os detalhes de suas contas seguros (se sua empresa mantiver contas de clientes)
Como entrar em contato se algo não parecer certo ou se o cliente tiver dúvidas
Quais verificações de segurança você está introduzindo, se houver
Como o cliente pode atualizar seus dados com segurança
O que fazer se eles receberem um e-mail fraudulento (ou seja, um fraudador se passando por sua empresa) e como denunciar a comunicação fraudulenta

Desnecessário dizer que esse tipo de comunicação é vital. Eles não apenas inspiram confiança e oferecem uma excelente experiência ao usuário, mas também ajudam a reduzir o risco de seus clientes serem vítimas de fraudes no comércio eletrônico.

Lembre-se também de tornar essas informações o mais acessíveis possível. Seus clientes podem não ler seus e-mails ou ler completamente seu site. Portanto, quanto mais canais você puder divulgar esse conselho, melhor!

Mantenha seu site atualizado e realize auditorias de segurança regulares

Anteriormente, fizemos uma analogia com a Internet em geral como uma espécie de “Velho Oeste”: um estado fronteiriço onde abundam os bandidos e a ilegalidade.

Agora, embora isso possa ser um pouco severo, existem muitas ameaças por aí e uma infinidade de métodos pelos quais phishers, hackers e fraudadores podem atrapalhar seu negócio:

Ataques DoS (Denial of Service): um hacker tenta impedir que os usuários acessem os serviços do seu site.
Ataques DDoS (negação de serviço distribuída): o perpetrador não ataca você diretamente, mas em vez disso usa seu site como um “zumbi” para prejudicar outro site. Em um ataque DDoS, seus servidores são inundados por solicitações de vários endereços IP não rastreáveis, travando seu site e interrompendo o tráfego e as vendas.
Ataques de força bruta: aqui, hackers atingem seu site com milhares de combinações de senhas diferentes na tentativa de obter acesso.
Ataques man in the middle (MITM): se o seu cliente estiver acessando seu site através de uma rede vulnerável (ou seja, WiFi público), os hackers podem “ouvir” a transação e usá-la para extrair dados confidenciais.
Injeções de SQL e entre sites scripts: esses ataques exploram vulnerabilidades em seu site. Em uma injeção de SQL, os hackers têm como alvo seus formulários para obter acesso, corromper e roubar informações do back-end do seu site. Em entre sites scripts, os hackers inserem trechos de código maliciosos que roubam as informações dos visitantes.

O fato de existirem todos esses modos de ataque? Essa é a má notícia. A boa notícia, porém, é que esses hackers são oportunistas. Eles estão procurando vulnerabilidades na configuração de segurança e prevenção de fraudes do seu site. Isso significa que, ao manter seu site atualizado e identificar, compreender e corrigir regularmente suas vulnerabilidades, você pode reduzir o risco de um hacker atingir seu site e sua empresa.

Para fazer isso, conduza auditorias de segurança regulares. Avalie a infraestrutura do seu site em busca de lacunas, explorando o back-end e o código (incluindo extensões e temas) em busca de qualquer coisa que os hackers possam explorar. Garantir:

Suas senhas são fortes
Seu software está atualizado
Seu site SSL O certificado (Secure Sockets Layer) está atualizado

Falando em certificados SSL, se você criou seu site de comércio eletrônico com Ecwid by Lightspeed, você já possui um certificado SSL por padrão.

Se você adicionou sua loja Ecwid a um site existente, você já possui o certificado SSL gratuito para sua loja. No entanto, o resto do site é um assunto separado. Você precisa adquirir um certificado SSL para proteger informações confidenciais. Aprenda como fazer isso no Central de Ajuda da Ecwid.

Outra forma de proteger o seu site é revisar a lista de contas dos funcionários da sua loja online e remover os funcionários com quem você não trabalha mais. Dessa forma, você evita que hackers aproveitem esses “canais secundários” para obter acesso ao seu site.

Momentos importantes para proteger seu site

Então, agora que explicamos quais fraudes procurar e como proteger seu site contra elas, vamos dar uma olhada no quando–em os principais momentos do ano em que os hackers estão mais ativos.

Feriados públicos

“O Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) observaram um aumento nos ataques de ransomware de alto impacto ocorridos em feriados e feriados. fins de semana – quando escritórios são normalmente fechado nos Estados Unidos, ainda no feriado de 2021 de julho de XNUMX.” - Conscientização sobre ransomware em feriados e fins de semana 2021.

Natal, Páscoa, Memorial Day, Independência Dia - embora o resto de nós está passando tempo com nossas famílias e relaxando, os hackers estão fazendo tudo menos relaxar.

Maior distração por parte do cliente ou do usuário final e menos pessoal e recursos no lado do negócio significam condições propícias para hackers.

Neste contexto, não deixe o seu negócio ser apanhado de surpresa. Não espere até o próximo feriado para preparar a segurança do seu site para o sucesso ou tenha que se esforçar para auditar seu site poucos dias antes do longo fim de semana do Dia das Mães. Lembra daquele velho provérbio chinês?

A melhor época para plantar uma árvore foi há 20 anos. A segunda melhor hora é hoje.

Finais de semana

Os hackers tendem a atacar as empresas quando elas estão mais vulneráveis e quando estão fechadas.

É por isso que os fins de semana, especialmente os longos, quando há feriados, são oportunidades propícias para os hackers. Ainda assim, isso não significa que você deva baixar a guarda durante o resto da semana. Os hackers, em média, atacam uma quantidade impressionante 26,000 vezes por dia, então você precisa permanecer vigilante.

Conclusão

À medida que as oportunidades do comércio eletrónico evoluem, também evoluem as suas ameaças.

Com tantas estatísticas alarmistas por aí, pode ser fácil querer tapar os ouvidos, fechar os olhos e adotar uma abordagem “a ignorância é uma bênção”.

Mas esta mentalidade não tem em conta que com essas ameaças surgem oportunidades ainda mais interessantes.

Para tornar o processo de pagamento mais seguro, fácil, conveniente e consistente do que nunca. Para construir sua marca, fidelize o cliente e aumente a confiança de seu público, mostrando-lhes que você valoriza sua privacidade e respeita a sensibilidade de seus dados. E, no processo, estabeleça as bases para o sucesso sólido e sustentável do seu negócio de comércio eletrônico.

Sobre o autor

Rob Binns é redator e editor freelancer baseado em Melbourne, Austrália. Quando não está escrevendo conteúdo sobre comércio eletrônico e segurança digital, ele está jogando (ou assistindo!) futebol, ou relaxando ao sol com um livro e uma cerveja gelada.