À medida que a época natalícia se aproxima, as empresas retalhistas preparam-se para o aumento anual do tráfego on-line (e nas lojas). Infelizmente, este aumento na atividade também atrai cibercriminosos que procuram explorar vulnerabilidades em seu benefício.
A Imperva, uma empresa da Thales, publicou recentemente seu guia anual de segurança cibernética para compras de fim de ano. Os dados da análise de seis meses da equipe de pesquisa de ameaças da Imperva (abril de 2024 a setembro de 2024) revelaram que as ameaças baseadas em IA precisam ser as prioridades dos varejistas este ano. À medida que as ferramentas generativas de IA e os grandes modelos de linguagem (LLMs) se tornam mais difundidos e avançados, os cibercriminosos aproveitam cada vez mais estas tecnologias para escalar e refinar os seus ataques às plataformas de comércio eletrónico.
A Imperva Risk Analysis também descobriu que os websites de varejo enfrentam coletivamente uma média de 569.884 ataques baseados em IA todos os dias. Compreender que tipos de ameaças são responsáveis por estes ataques, e como se proteger contra eles, é basic para que as empresas de retalho protejam a sua empresa e os seus clientes nesta época de festas.
Abuso de lógica de negócios lidera ameaças de IA no varejo on-line
Descobriu-se que o abuso da lógica de negócios é o ataque mais comum conduzido por IA em websites de varejo, representando 30,7% de todos os ataques. O abuso da lógica de negócios ocorre quando os cibercriminosos exploram a funcionalidade pretendida de um aplicativo para obter resultados não autorizados. Por exemplo, podem manipular códigos promocionais ou explorar políticas de devolução para obter bens ou serviços a preços mais baixos. A Imperva descobriu que isso indica que quase 50% dos varejistas sofreram alguma forma de abuso da lógica de negócios.
O perigo desta ameaça é multiplicado pela capacidade da IA de analisar padrões no comportamento do utilizador e identificar potenciais lacunas. À medida que os atacantes utilizam a IA para conceber estratégias de exploração mais eficazes, os retalhistas devem implementar controlos rigorosos para monitorizar e validar as ações dos utilizadores nas suas plataformas. Sem estas medidas de proteção, as empresas correm o risco de perdas financeiras substanciais e danos à sua reputação.
Os ataques DDoS continuam sendo uma ameaça persistente
Os ataques distribuídos de negação de serviço (DDoS) são quase tão comuns como o abuso da lógica empresarial, representando 30,6% das ameaças impulsionadas pela IA aos retalhistas — e estão a tornar-se cada vez mais proeminentes. De acordo com o relatório Imperva 2024 DDoS Risk Panorama, os ataques DDoS na camada de aplicação em websites de varejo aumentaram 61% desde o ano passado.
Os ataques DDoS na camada de aplicação representam uma séria ameaça para os varejistas on-line, especialmente enquanto eles se preparam para o aumento do tráfego durante a temporada de compras natalinas. Os cibercriminosos podem aproveitar a IA para orquestrar ataques DDoS complexos que sobrecarregam os websites de varejo, tornando-os inoperantes.
O impacto financeiro de um ataque DDoS bem-sucedido pode ser surpreendente, com as empresas enfrentando perda de receitas, aumento dos custos de recuperação e possíveis danos a longo prazo à reputação da sua marca. Para combater esta ameaça, os retalhistas devem investir em soluções robustas de mitigação de DDoS que possam identificar e neutralizar ataques antes que interrompam as operações.
Grinch Bots continuam a causar estragos
Os bots maliciosos tornaram-se cada vez mais sofisticados, muitas vezes empregando algoritmos de IA para imitar o comportamento humano e contornar medidas de segurança. Os ataques de bots maliciosos representaram 20,8% de todos os ataques conduzidos por IA em websites de varejo. Essas ameaças automatizadas são extremamente prejudiciais às funções normais dos negócios, com a capacidade de coletar dados de preços, lançar ataques de preenchimento de credenciais e criar contas falsas.
Perto das festas de fim de ano, as empresas de varejo precisam ser particularmente cautelosas com os bots Grinch – um sofisticado bot de scalping que consulta estoques on-line e compra os itens mais procurados da temporada com o objetivo de revendê-los com uma margem de lucro significativa. Os bots Grinch interferem nas vendas de fim de ano e no lançamento de produtos, tornando mais difícil para os consumidores comprar itens populares e de alta demanda.
A capacidade da IA de automatizar esses processos significa que ataques de bots mal-intencionados podem escalar rapidamente, tornando a detecção e a mitigação mais desafiadoras. Os varejistas devem aprimorar seus recursos de detecção de bots para diferenciar entre usuários genuínos e bots maliciosos. Não fazer isso pode resultar em perda de vendas, problemas de estoque e diminuição da satisfação do cliente.
Violações de API surgem como uma preocupação crescente
À medida que os retalhistas dependem cada vez mais de APIs para facilitar transações e integrar serviços de terceiros, as violações de APIs surgiram como uma preocupação premente – representando 16,1% dos ataques conduzidos por IA a retalhistas. Os cibercriminosos podem explorar vulnerabilidades em APIs para obter acesso não autorizado a dados confidenciais, muitas vezes usando IA para descobrir e explorar essas fraquezas.
O setor de varejo sofre uma média de 5.570 ataques de API diariamente, sendo a maioria violações de API. As consequências potenciais das violações da API são graves, pois podem levar a violações de dados, fraudes financeiras e perda de confiança do cliente. Os varejistas devem priorizar a segurança da API implementando controles de acesso rigorosos, conduzindo auditorias de segurança regulares e usando soluções de monitoramento baseadas em IA para detectar anomalias no uso da API.
Dicas de segurança cibernética para se manter seguro e protegido nesta época de festas
A época festiva apresenta uma dupla oportunidade para as empresas de retalho: uma oportunidade de aproveitar ao máximo o aumento dos gastos dos consumidores e um risco acrescido de ameaças cibernéticas. Com a proliferação de ferramentas de IA, as empresas de comércio eletrónico encontrarão ameaças mais avançadas que exploram vulnerabilidades e cometem fraudes com maior precisão.
As empresas de varejo devem seguir estas dicas para proteger seus websites e clientes:
- Put together-se para o aumento do tráfego on-line: Os varejistas devem se preparar para um aumento no tráfego on-line durante a temporada de compras natalinas. Para se prepararem, eles devem garantir que sua infraestrutura possa lidar com esse aumento de carga sem sacrificar o desempenho. Isso inclui dimensionar servidores, usar uma rede de distribuição de conteúdo (CDN) para distribuição eficiente de tráfego e implementar um sistema de filas de sala de espera para gerenciar o fluxo de tráfego e manter uma experiência justa para usuários legítimos durante horários de pico.
- Desenvolva uma estratégia de gerenciamento de bots: juntamente com o fluxo de compradores genuínos, os varejistas podem esperar um aumento no tráfego de bots maliciosos. O desenvolvimento de uma estratégia robusta de gerenciamento de bots é essencial para proteger suas plataformas e garantir uma experiência de compra tranquila para clientes reais. As principais etapas incluem avaliação de riscos de tráfego, identificação de pontos de entrada, bloqueio de agentes de usuário desatualizados, limitação de proxies, implementação de limitação de taxa e monitoramento de sinais de automação ou navegadores headless.
- Defenda-se contra o abuso da lógica de negócios: a IA permite que os invasores automatizem o abuso da lógica de negócios em maior escala, tornando esses ataques mais difíceis de detectar. Para se defenderem contra tais ameaças, os retalhistas devem impor uma validação rigorosa a todas as entradas dos utilizadores, utilizar sistemas de deteção de anomalias para detetar atividades invulgares e realizar auditorias regulares aos seus processos de negócio para identificar potenciais vulnerabilidades que possam ser exploradas.
- Invista em uma solução DDoS: Os ataques DDoS visam sobrecarregar os recursos do website, levando a tempos de inatividade que podem resultar em perda de vendas e danos à reputação, especialmente durante horários de pico de compras. Os retalhistas devem investir numa solução de proteção DDoS que make the most of aprendizagem automática para identificar e mitigar o tráfego malicioso em tempo actual, garantindo que os clientes legítimos possam aceder aos serviços sem interrupção.
- APIs seguras: para combater proativamente o abuso de aplicativos automatizados e de API, os varejistas devem estabelecer uma linha de base para o comportamento esperado da API, incluindo taxas de tráfego típicas e geografias de usuários. Essa linha de base ajuda a detectar anomalias, como picos incomuns em APIs menos utilizadas, que podem indicar atividades maliciosas. Além disso, a aplicação de limites de taxa por sessão e IP pode reduzir o abuso, e manter uma trilha de auditoria da atividade do usuário simplifica o monitoramento e a investigação de possíveis ameaças.
Ao compreender a natureza dos ataques impulsionados pela IA e preparar-se para os desafios colocados, os retalhistas podem proteger melhor as suas operações e garantir uma experiência de compra segura aos seus clientes. A vigilância contínua e a adoção de tecnologias de segurança avançadas são cruciais para acompanhar a evolução das táticas cibercriminosas e garantir uma época de compras natalícia segura para retalhistas e clientes.