O que são ataques de cartas e como evitá-los

O rápido crescimento da indústria de comércio eletrônico introduziu novas ameaças à segurança, com o roubo de informações de cartão de crédito e os ataques de cartões entre os mais prejudiciais para as empresas on-line e seus clientes.

Estudos mostraram que, até 2024, a fraude de pagamento on-line custará às empresas de comércio eletrônico mais de US$ 25 bilhões em perdas anualmente. Está claro que as antigas abordagens de segurança cibernética não são mais eficazes e você não pode confiar em tecnologia desatualizada para proteger seu negócio de comércio eletrônico.

Neste guia, a iThemes está mergulhando profundamente nos ataques de cartões, explicando por que a fraude de pagamento baseada em bots está aumentando e o que você pode fazer hoje para reduzir seu impacto em sua loja online. Você também aprenderá como verificar se sua loja de comércio eletrônico está livre de qualquer código malicioso que roube os detalhes do cartão de seus clientes e como manter a experiência de compra de seus clientes segura.

Por que o comércio eletrônico é um alvo principal para hackers?

O comércio eletrônico sempre foi um dos principais alvos de ataques cibernéticos devido à grande quantidade de informações confidenciais que cada loja online precisa coletar e processar. Isso inclui informações pessoais dos clientes, detalhes do cartão de crédito e débito e quaisquer outros dados críticos necessários para a compra de bens e serviços online.

A necessidade de armazenar informações confidenciais exige que os empresários empreguem uma ampla gama de medidas de segurança para oferecer uma experiência de remessa segura. No entanto, está se tornando cada vez mais difícil resistir aos ataques cibernéticos em constante evolução conduzidos por bots, que geralmente abrangem milhares de sites.

De pequenas lojas online a grandes mercados internacionais, todas as empresas sofrem as consequências de violações de dados. E como os hackers simplesmente não escolhem em qual site invadir, a importância da segurança cibernética não pode ser exagerada, especialmente quando se trata de comércio eletrônico.

Fraude de pagamento on-line: de roubo de informações de cartão a ataques de cartão

De todas as ameaças à segurança cibernética, a fraude de pagamento é especialmente prevalente no setor de comércio eletrônico. Interrompendo totalmente uma experiência de compra segura, o roubo de detalhes de cartão de crédito inflige grandes danos tanto ao comprador quanto ao vendedor, resultando em perdas financeiras e danos à reputação.

A fraude de pagamento online pode ser definida como o tipo de atividade criminosa que envolve o roubo de informações críticas de pagamento com o objetivo de vendê-las no mercado negro ou fazer transações não autorizadas.

Na maioria das vezes, depois que os detalhes do cartão de crédito são expostos como resultado de uma violação de dados, essas informações são vendidas na chamada deep web. Isso ajuda o criminoso cibernético a evitar ser rastreado enquanto ainda obtém lucro com a atividade ilegal.

Como a validade das informações do cartão de crédito roubado deve ser determinada antes de tentar qualquer transação maior, os criminosos realizam o que é conhecido como ataques de carding.

Como os hackers roubam informações de cartão de crédito

Os detalhes do cartão de crédito ou débito podem ser expostos a um criminoso em qualquer estágio do processamento do pagamento. Isso inclui roubar informações de pagamento da página de checkout de uma loja ou obtê-las fingindo ser um serviço confiável usando uma página de phishing.

O que torna a fraude de pagamento online tão bem-sucedida é a ampla gama de atividades maliciosas que facilitam as violações de dados. A combinação certa de engenharia social e vulnerabilidades do sistema exploradas é a chave para obter acesso não autorizado a informações críticas de pagamento.

Ataques de detecção de JavaScript: roubo de informações de pagamento do caixa

Um dos ataques cibernéticos mais comuns direcionados a sites de comércio eletrônico são as injeções de código malicioso destinadas a roubar detalhes de cartão de crédito ou débito da página de checkout da loja online. Isso também é conhecido como ataques de detecção de JavaScript.

Eles geralmente vêm em uma de duas formas: injetar código JavaScript malicioso no próprio site ou carregar um script malicioso de uma fonte externa. O último geralmente é obtido por meio de uma injeção de SQL, o que pode explicar como os sites são invadidos na maioria das vezes.

Trabalhando de perto com o Nexcess, a equipe do iThemes observou um aumento no número de lojas online afetadas por ataques de detecção de JavaScript. Magento e WooCommerce permanecem entre as plataformas de comércio eletrônico mais direcionadas.

Se você é proprietário de um site WooCommerce, reserve um momento para verificar seu banco de dados do WordPress em busca de sinais de arquivos JavaScript maliciosos carregados. Se você já está lidando com uma infecção por malware, não pule esta etapa: limpar um site invadido.

Inicie o phpMyAdmin, escolha o banco de dados que seu site está usando e abra a interface de pesquisa no menu horizontal principal. Pesquisar todas as tabelas pelo código abaixo ajuda a identificar todos os arquivos JavaScript carregados em seu site.

%script%src=%.js%script%

Analise todos os resultados da pesquisa para garantir que não haja códigos maliciosos executando ataques de detecção de JavaScript. Você pode usar ferramentas online como o VirusTotal para determinar se um script carregado de uma fonte externa representa uma ameaça à segurança.

A mesma abordagem pode ser usada se você estiver executando uma loja Magento. Na maioria das vezes, arquivos JavaScript maliciosos serão carregados da tabela core_config_data.

O que é um ataque de cartas?

Para verificar as informações de pagamento roubadas, os criminosos empregam testes automatizados de cartão, também conhecidos como ataques de cartão ou preenchimento de cartão de crédito. Este é o próximo passo que um criminoso tomaria depois de roubar detalhes de cartão de crédito ou débito ou comprá-los em um fórum especializado em cartões.

Um ataque de cartão é um ataque cibernético automatizado ou acionado por bot realizado com o objetivo de validar informações de cartão de crédito roubado. Os ataques com cartões são realizados contra os sistemas de processamento de pagamentos usados ​​pelas lojas online.

É importante observar que os sites de comércio eletrônico visados ​​por ataques de cartão são escolhidos aleatoriamente e não são necessariamente usados ​​para roubar informações de pagamento. Isso destaca o fato de que a fraude de pagamento on-line em geral e os ataques de cartão em particular infligem danos a todos os principais participantes do comércio eletrônico, incluindo comerciantes, compradores e sistemas de processamento de pagamentos.

Como funcionam os ataques de cartas?

Os ataques de carding são altamente automatizados. Um criminoso implanta um bot ou uma rede de bots também conhecida como botnet. A rede de bots realizará várias tentativas paralelas para validar as informações de pagamento roubadas e obter quaisquer detalhes ausentes, como códigos CVV ou datas de vencimento.

Isso pode ocorrer em uma das duas formas principais:

• Autorizações . As autorizações de cartão ajudam o criminoso a verificar os detalhes do cartão sem ser descoberto. As autorizações não aparecerão nos extratos do titular do cartão, tornando menos provável que o legítimo proprietário do cartão perceba e denuncie a atividade fraudulenta.
• Transações . Os invasores também podem fazer pequenos pagamentos para validar as credenciais roubadas. É por isso que as empresas que facilitam compras de pequeno valor são as vítimas perfeitas desse tipo de ataque de carding.

Como as informações de cartão de crédito geralmente são roubadas em massa, podem ser necessárias milhares de tentativas de validação para identificar informações de pagamento válidas. Os ataques de carding são altamente distribuídos, com bots visando um grande número de sites de comércio eletrônico ao mesmo tempo.

Os bots ajudam a simplificar e acelerar o processo e evitam ser detectados pelas soluções de segurança dos sites visados, incluindo firewalls de aplicativos da web e sistemas de detecção de fraudes. Ter toda uma rede de computadores comprometidos ajuda a alterar rapidamente o endereço IP de origem para contornar as regras de firewall existentes.

As 3 principais consequências negativas dos ataques de carding para o seu negócio de comércio eletrônico

Fraudes de pagamento e ataques com cartões são uma parte inevitável do comércio digital que impacta negativamente o setor e todo o ecossistema de pagamentos. Embora pareça que o roubo de detalhes de cartão de crédito prejudica os compradores, os comerciantes e processadores de pagamento sofrem perdas financeiras e extensos danos à reputação.

De acordo com estudos recentes, as empresas de comércio eletrônico perdem US$ 4 a mais para cada US$ 1 em transações fraudulentas, e esse número deve aumentar nos próximos anos. O carding tem muitos impactos negativos, que se acumulam ao longo do tempo se nenhuma medida de segurança substancial for implementada em tempo hábil.

As consequências mais prejudiciais incluem:

• Danos à reputação . As altas taxas de declínio causadas por ataques de cartão infligem sérios danos à reputação de sua empresa com seus clientes e processadores de pagamento. A baixa reputação faz com que todas as transações pareçam mais arriscadas e resulta em uma maior taxa de declínio para pagamentos legítimos.
• Perda financeira . Quando o titular do cartão percebe e denuncia as transações fraudulentas, os estornos são a principal ferramenta usada para resolver disputas de pagamento. Como consequência da fraude de pagamento, os estornos representam uma grande ameaça à receita e à sustentabilidade dos negócios. O teste de cartão também pode resultar em taxas de processamento adicionais e perda de produto.
• Tensão da infraestrutura . O teste de cartão leva a um aumento no número de solicitações da Web que podem sobrecarregar a infraestrutura do servidor e interromper atividades legítimas.

A fraude de pagamento inevitavelmente leva à perda de receita e interrompe o funcionamento normal do setor de comércio eletrônico, e é por isso que lidar com ela se transformou em um esforço colaborativo de comerciantes e sistemas de processamento de pagamento.

Como detectar um ataque de carding?

A detecção de um ataque de carding é possível usando uma combinação de monitoramento do lado do servidor e rastreamento de métricas especializadas, como taxas de autorização de pagamento com falha.

Indicadores do lado do servidor

Como em qualquer outro tipo de ataque cibernético conduzido por bot, você verá um número inesperadamente grande de solicitações de determinados endereços IP que revelarão a natureza automatizada do ataque. Você pode perceber que seu site está respondendo mais lentamente do que o normal e ver que o servidor que o hospeda está sob carga elevada, com seu servidor da Web enfileirando solicitações HTTP.

Indicadores de Processamento de Compras e Pagamentos

Durante um ataque de carding e mesmo depois de mitigado, você pode ver os seguintes sinais de que sua loja online está sofrendo de teste de cartão:

• Um aumento significativo no número de autorizações de pagamento com falha.
• Aumento de chargebacks.
• Altas taxas de abandono de carrinho de compras.
• Tamanhos de carrinho de compras abaixo da média.
• Um grande número de tentativas de pagamento com falha do mesmo endereço IP, intervalo de IP ou conta de usuário.

Mitigar um ataque de cartas em 3 etapas

A mitigação bem-sucedida do ataque de carding inclui três etapas principais: identificação de tráfego de bot malicioso, implementação de regras de firewall mais agressivas e limitação de taxa e bloqueio de quaisquer solicitações da Web fraudulentas residuais. O processo de mitigação envolve uma resposta oportuna a incidentes relatados por sistemas de monitoramento e reforço da segurança do site para proteger sua loja de qualquer atividade maliciosa.

Etapa 1. Identifique o tráfego de bots maliciosos

Se você suspeitar que um ataque de carding está visando ativamente sua empresa em um determinado ponto, analise o tráfego que chega ao seu site. Pode ser melhor procurar a assistência do seu provedor de hospedagem nesse assunto. Um administrador de sistema pode identificar rapidamente atividades fraudulentas conduzindo uma análise dos arquivos de log que seu servidor web mantém.

Se você estiver usando uma rede de entrega de conteúdo com um firewall de aplicativo da Web integrado (por exemplo, Cloudflare WAF), ela também manterá registros que o ajudarão a identificar o tráfego de bot malicioso que chega ao seu site. O principal objetivo aqui é encontrar certos padrões – de onde vem o ataque e quais intervalos de IP estão envolvidos.

Etapa 2. Aplicar regras de firewall mais agressivas e limitação de taxa

Para mitigar com êxito um ataque de carding em andamento, fortaleça a segurança geral do sistema. Isso pode incluir a implementação de regras de firewall mais rígidas e limitação de taxa, o que resultaria em uma resposta mais rápida a qualquer atividade anormal.

Usando o Cloudflare para mitigar um ataque de carding

A Cloudflare oferece o chamado modo 'sob ataque', que invoca medidas adicionais para análise de tráfego e apresenta ao navegador de cada visitante um desafio de JavaScript. Usá-lo prejudica a experiência geral do usuário, mas ajudará a mitigar o ataque de carding rapidamente.

A Cloudflare também permite bloquear solicitações da web com base nas pontuações de reputação de IP, que são coletadas do Projeto Honey Pot. Defina o Nível de segurança como Alto na página Segurança > Configurações do seu painel Cloudflare para bloquear todas as solicitações com uma Pontuação de ameaça superior a 0.

É importante observar que regras agressivas de firewall e limitação de taxa também levarão quase inevitavelmente ao bloqueio do tráfego legítimo da web. É por isso que essas medidas devem ser usadas apenas quando sua loja online estiver sob ataque e serem desativadas logo após uma mitigação bem-sucedida.

Etapa 3. Bloquear manualmente o tráfego de bots maliciosos

Uma ótima combinação de mitigação manual e uso de ferramentas automatizadas produz ótimos resultados ao lidar com o tráfego de bots maliciosos. Com todos os benefícios, os sistemas de detecção de fraude não são ideais e a entrada humana pode ser altamente benéfica.

Após a análise inicial do tráfego, você deve identificar os endereços IP ou faixas de IP a partir dos quais o ataque é realizado. Verifique sua localização e abuso, ou reputação, pontuação, para bloquear os bots maliciosos.

Se você já habilitou medidas de segurança adicionais oferecidas pelo seu CDN, a maior parte do tráfego malicioso será filtrada antes que possa atingir o servidor de origem que hospeda seu site. Portanto, monitorar o tráfego de entrada da Web no servidor ajudará você a garantir que nenhuma solicitação maliciosa esteja chegando.

Três aspectos principais para manter seu site de comércio eletrônico protegido contra ataques de cartões e fraudes de pagamento

A segurança do comércio eletrônico é multidimensional e deve ser abordada como um sistema. Em vez de encontrar soluções específicas para proteger sua loja online de um determinado tipo de ataque, você precisa garantir proteção adequada contra a força motriz por trás da maioria dos ataques cibernéticos modernos – bots e botnets maliciosos.

Você precisa implementar um sistema que identifique com sucesso agentes mal-intencionados e evite que qualquer tipo de atividade fraudulenta aconteça em primeiro lugar. Dessa forma, manter seu negócio de comércio eletrônico protegido contra fraudes de pagamento e ataques de cartão envolve três aspectos principais:

• Segurança adequada da camada de aplicação.
• Análise avançada de tráfego da Web e gerenciamento de bots.
• Restrições de pedidos e pagamentos.

Segurança da Camada de Aplicação

Cada site de comércio eletrônico precisa implementar soluções de segurança de camada de aplicativo robustas que filtrarão qualquer tráfego da web suspeito antes que ele chegue à sua loja online. Idealmente, isso deve incluir uma combinação de firewalls de aplicativos da Web baseados em host e baseados em nuvem.

Os conjuntos de regras gerenciados e as regras personalizadas analisarão cada solicitação HTTP que chega ao seu site, incluindo o endereço IP de origem, sua localização, agente do usuário e vários outros aspectos, comparando-os com a lista de regras configuradas. Qualquer tráfego suspeito na web será imediatamente bloqueado, não dando chance aos bots maliciosos.

Você pode instalar e implantar vários conjuntos de regras gerenciados fornecidos por fornecedores de segurança e criar suas próprias regras, mais adequadas ao seu negócio de comércio eletrônico. O principal objetivo é apresentar uma primeira linha de defesa forte.

Proteja sua loja WooCommerce com iThemes Security Pro e BackupBuddy

Como uma solução de segurança de camada de aplicativo robusta para WordPress, o iThemes Security Pro fornece experiência de segurança de alto nível para lojas WooCommerce há anos. Com mais de 50 maneiras de proteger as áreas críticas do seu site, o iThemes Security Pro pode reduzir significativamente a superfície de ataque e combater o tráfego de bots maliciosos.

Combinando o poder do iThemes Security Pro com o BackupBuddy, um plugin premiado do WordPress para proteção e recuperação de dados, permite que você mantenha as informações de seus clientes regularmente em backup e a segurança armazenada em um local remoto. Restaurações com um clique e agendamentos de backup flexíveis garantem que sua loja esteja sempre disponível para seus clientes.

Análise avançada de tráfego da Web e gerenciamento de bots

A maior parte do tráfego de bot malicioso pode ser identificada e bloqueada de forma rápida e eficaz por firewalls de aplicativos da web com base na localização do IP, pontuação de reputação e vários outros fatores. No entanto, os hackers estão constantemente aprimorando os ataques conduzidos por bots, criando bots que podem se passar por clientes legítimos com sucesso.

É por isso que você precisa de uma análise avançada de tráfego da Web e de sistemas de gerenciamento de bots que diferenciem os bots dos humanos. Os CAPTCHAs tradicionais foram o primeiro passo para desafiar o tráfego de bots, mas agora estão gradualmente se tornando uma coisa do passado.

Desde então, as empresas vêm apresentando soluções inovadoras que prometem ter pouco ou nenhum impacto na experiência do usuário, ao mesmo tempo em que fornecem proteção robusta contra bots maliciosos. Os sistemas de gerenciamento de bots e detecção de fraudes analisam o comportamento do usuário e rastreiam quaisquer anomalias no tráfego da web.

Uma das soluções avançadas que você pode implementar hoje é o Cloudflare Turnstile, mesmo sem usar o Cloudflare CDN em seu site de comércio eletrônico. O sistema executará uma série de desafios não interativos que coletarão informações sobre o ambiente e o comportamento do visitante.

Os sistemas de gerenciamento de bot coletam sinais e comparam o comportamento do visitante com o que geralmente é mostrado por clientes legítimos de comércio eletrônico. Isso ajudará a bloquear agentes mal-intencionados que conseguiram contornar as verificações iniciais – regras de firewall de aplicativos da web.

Restrições de Pedidos e Pagamentos

Outro aspecto da proteção contra fraudes de pagamento e ataques de cartão inclui a implementação de políticas específicas de compra e pagamento que colocarão restrições no comportamento dos compradores, por exemplo:

• Aumentar o tamanho mínimo do pedido.
• Exige registro para fazer uma compra.
• Limitando o número de contas de usuário criadas a partir de um único endereço IP.
• Limitar o número de cartões de crédito/débito que podem ser adicionados por um usuário ou usados ​​para fazer uma compra.
• Limitar o número de autorizações de pagamento falhadas por um IP ou conta de usuário durante um determinado período.

Isso também inclui a terceirização completa de todos os aspectos dos pagamentos para processadores equipados para lidar com ataques de cartões. Um dos processadores de pagamento mais populares – Stripe – emprega detecção de fraude avançada para evitar pagamentos fraudulentos.

Os processadores de pagamento também implementam o Address Verification (AVS). O AVS realiza verificações para determinar se o endereço fornecido corresponde ao endereço de cobrança registrado no emissor do cartão.

Outras maneiras de proteger seu site de comércio eletrônico e fornecer uma experiência de compra segura

Manter seu site de comércio eletrônico protegido contra várias ameaças de segurança também ajuda a oferecer uma experiência de compra mais conveniente e segura. Isso inclui uma ampla variedade de medidas, e listamos uma das mais importantes a seguir.

• Escolha hospedagem compatível com PCI . Todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito devem manter um ambiente seguro, sujeitando-se a um conjunto de padrões de segurança rígidos, conhecidos pelo PCI DSS. A hospedagem compatível com PCI ajuda os comerciantes a cumprir o padrão de segurança de dados do setor de cartões de pagamento. Liquid Web e Nexcess oferecem infraestrutura de hospedagem compatível com PCI otimizada para WooCommerce.
• Configure a renovação automática do certificado SSL/TLS . Certifique-se de que todo o tráfego trocado entre sua loja e os clientes seja criptografado, o que é especialmente importante para o comércio eletrônico. Para evitar qualquer interrupção em uma experiência de compra segura, não deixe seu certificado SSL/TLS expirar.
• Aplique autenticação multifator ou sem senha . As senhas são quebradas. O uso de autenticação baseada em senha em sua loja de comércio eletrônico a expõe a grandes ameaças de segurança. A autenticação multifator ajuda você a manter os hackers afastados, reduzindo significativamente a possibilidade de violação de dados. Se você quiser ir mais longe, o iThemes pode ajudá-lo a abandonar completamente as senhas.

Diga adeus às senhas com o iThemes Security Pro

Analisando as vulnerabilidades mais recentes que os sites do WordPress são afetados, a iThemes tem trabalhado para tornar a plataforma mais segura e confiável para todos os proprietários de empresas, especialmente quando se trata de comércio eletrônico. O futuro é sem senha e o iThemes está trazendo senhas para a autenticação do WordPress.

Traga a tecnologia de ponta para o seu negócio online habilitando a autenticação sem senha em seu site WordPress. Agora suportados por todos os principais navegadores e sistemas operacionais, os logins biométricos podem em breve se tornar um novo padrão de autenticação.

Se você administra vários sites WordPress ou lojas WooCommerce, o iThemes Sync Pro pode se tornar seu assistente de site pessoal. Aproveite o gerenciamento de todos os aspectos da administração do site a partir de um painel central, com monitoramento avançado de tempo de atividade e atualizações com um clique.

Empacotando

Fraudes de pagamento e ataques de cartão custam bilhões de dólares por ano às empresas de comércio eletrônico, trazendo disrupção para toda a indústria e ecossistema de pagamentos. Com ataques cibernéticos conduzidos por bots em constante evolução, nenhuma empresa está a salvo de perdas financeiras e danos à reputação que se seguem.

Proteger sua empresa contra fraudes de pagamento e garantir uma experiência de compra segura para seus clientes exige uma abordagem proativa em relação à segurança do site. Os firewalls de aplicativos da Web e os sistemas de detecção de fraudes podem ajudá-lo a identificar e bloquear com sucesso o tráfego malicioso da Web antes que ele possa causar danos ao seu site de comércio eletrônico e a seus visitantes.

O melhor plugin de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress é responsável por mais de 40% de todos os sites, tornando-se um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que constantemente monitora e protege seu site WordPress para você.

Obtenha o iThemes Security Pro

Kiki Sheldon

Kiki é bacharel em gerenciamento de sistemas de informação e tem mais de dois anos de experiência em Linux e WordPress. Ela atualmente trabalha como especialista em segurança para Liquid Web e Nexcess. Antes disso, Kiki fazia parte da equipe de suporte do Liquid Web Managed Hosting, onde ajudou centenas de proprietários de sites WordPress e aprendeu quais problemas técnicos eles costumam encontrar. Sua paixão por escrever permite que ela compartilhe seu conhecimento e experiência para ajudar as pessoas. Além da tecnologia, Kiki gosta de aprender sobre o espaço e ouvir podcasts sobre crimes reais.