Varejo sob ataque: gangues digitais buscam rentabilidade máxima entre a Black Friday e o Natal

Conscientes de que têm sofrido vários vazamentos de dados, 42% dos líderes entrevistados para este estudo apontam que uma das ameaças mais destruidoras de que têm sido alvo é o credential harvesting (colheita de credenciais de consumidores). A soma de estratégias de engenharia social com milhões de dados pessoais comercializados na Dark Web dá, às gangues digitais, efetividade em invasões e, muito especialmente, em customer account takeovers (roubo de identidade de usuários). Os CIOs e CISOs das empresas de varejo têm visto, também, o aumento de fraudes envolvendo fake cartões de presentes e de planos de fidelização. Está acontecendo, ainda, o crescimento de fraudes em que os criminosos tentam devolver produtos para conseguir reembolsos.

A situação é tal que os consumidores brasileiros estão fazendo escolhas para proteger seus dados pessoais e sua identidade. Relatório produzido pelo Mastercard no final de 2021 a partir de entrevista com 1000 consumidores em toda a América Latina, incluindo o Brasil, revela que 87% dos clientes estão conscientes de que também perdem com os ataques cibernéticos focados nas empresas de varejo. Entre os brasileiros, 99% disseram que preservar a privacidade de seus dados é muito importante e que, quando isso não acontece, eles sofrem um grave dano. Fica claro, também, o desapontamento dos consumidores com a cultura de segurança de algumas das empresas de varejo com que fazem negócios. Numa escala de 0 a 10, a grande maioria dos entrevistados disse que as empresas com que fazem negócios têm uma nota 3 em termos de cultura de segurança digital.

Essa percepção tem afetado o valor das marcas do varejo. Ao longo de 2022, algumas das maiores empresas do país tiveram o valor de suas ações caindo em até 6,61 % em razão de ataques de ransomware que deixaram as operações de e-commerce indisponíveis. Quanto mais longo o período em que o portal Web está fora do ar, maior o prejuízo. Houve organizações que, estima-se, perderam até 220 milhões de reais em vendas.

Uso criminoso de bots

A tempestade de ameaças no Natal usa bots criminosos de forma estratégica. Bots são programas ou scripts (software) que executam tarefas automatizadas e repetitivas. Os bots são onipresentes na web; estima-se que até 50% do tráfego da Internet seja originado por visitantes não humanos. Bots maliciosos causam prejuízos financeiros às empresas de comércio eletrônico. Sua meta é diminuir o desempenho da Web e de aplicações, adquirir mercadorias avidamente, acumular estoques e realizar roubo de credenciais (credential stuffing).

Os ataues de bots podem assumir diversas formas e prejudicar de diferentes maneiras as vendas do setor do varejo. É essencial entender as várias modalidades de ataques automatizados sofisticados baseados em bots.

Acúmulo desnecessário de estoque

O estoque de fim de ano do varejo é difícil de gerenciar, na melhor das hipóteses. Com a atual crise de supply chain, o quadro é ainda mais complexo. Bots de acúmulo de estoque podem aumentar o desafio logístico, colocando em espera grandes quantidades de produtos, removendo-os assim de seu estoque e impedindo que clientes reais façam uma compra.

Revenda ilegítima de produtos em promoção

Varejistas que oferecem ofertas por tempo limitado correm o risco de bots de revenda, que podem concluir o processo de compra e pagamento online instantaneamente para comprar produtos em grandes quantidades no momento em que eles são colocados à venda, em promoção. Depois, esses itens são revendidos em mercados secundários com um grande aumento de preço.

Roubo de credenciais de consumidores

O roubo de credenciais é outra exploração conduzida por bots que pode interferir nas compras de fim de ano. Explorando o fato de que muitos usuários utilizam a mesma senha em várias aplicações, os invasores testam um grande número de credenciais comprometidas contra os logins para invadir contas e cometer fraudes.

Mesmo quando não invadem contas, frequentemente os bots causam bloqueios de contas ao tentar senhas incorretas várias vezes. Quando um comprador está com o carrinho cheio de presentes de fim de ano, esse é um péssimo momento para dizer a ele que a sua conta está bloqueada.

Clientes irritados com as defesas de segurança do varejo

Embora seja crítico mitigar os bots para atingir seus objetivos de receita nas festas de fim de ano, existem maneiras certas e erradas de combater os bots. Algumas defesas anti-bot convencionais, que acrescentam ao processo de compra atrito e desafios irritantes, podem ser tão perturbadoras para os compradores quanto as ações criminosas que elas procuram evitar.

Falta de profissionais de segurança

Bots maliciosos sobrecarregam as já ocupadas equipes de segurança e suporte ao cliente durante a época de festas de final de ano. Na economia digital, a guerra é em altos volumes de transações simultâneas, um quadro que exige recursos de inteligência artificial e machine learning para ser superado. A mitigação automatizada de bots pode trazer algum alívio aos funcionários da linha de frente num período em que cada minuto é crítico.

A concentração de receita de comércio eletrônico durante as festas de fim de ano é uma oportunidade que, uma vez perdida, pode levar meses ou anos para ser recuperada. É fundamental que, até o final de dezembro de 2022, o varejo brasileiro realize plenamente seu potencial, e o Brasil cresça.

*Hilmar Becker é Country Manager da F5 Brasil.