A Air Europa está exposta a uma nova multa. O ataque cibernético de hoje é apenas o exemplo mais recente de como as grandes empresas ainda não aplicam os padrões de segurança exigidos. A companhia aérea pediu a seus clientes que cancelassem seus cartões de crédito porque alguns podem ter sido comprometidos. De acordo com o e-mail enviado a alguns clientes, não só os nomes e números vazaram, também o CVV de segurança.
Como é possível que dados tão sensíveis como estes tenham sido obtidos por ciberataques? Especialistas como Luis Corrons, Evangelista de Segurança da Avast, apontam que a técnica de ‘formjacking’ foi aplicada. Dizemos-lhe o que é e porque é que a Air Europa poderia ter evitado uma situação como a que vive agora.
No que consiste o ‘formjacking’
É uma técnica que afeta principalmente páginas de comércio eletrônico e tem como objetivo obter dados de cartão de crédito. O que eles fazem é se infiltrar nos sistemas ou sites da empresa e adicionar códigos maliciosos sem que sejam detectados. Um tipo de ataque ‘Man-in-the-middle’, como é popularmente conhecido.
Ou seja, um invasor consegue acesso ao site por meio de uma vulnerabilidade e adiciona um script malicioso próximo ao gateway de pagamento. Com este código, Quando um usuário adiciona seus dados, ele também os envia para um servidor externo onde os invasores recebem informações que eram seguras a priori.
Eles geralmente são baseados em JavaScript e em vulnerabilidades de alguns navegadores. Quando uma empresa não possui os patches de segurança mais recentes instalados, ela fica suscetível a ataques em seus sistemas. Uma vez lá dentro, o que fazem com esse código malicioso é que, quando o usuário insere os dados do cartão de crédito, eles também são enviados paralelamente para outro servidor controlado pelos ciberataques.
A Air Europa parece seguir os passos da British Airways, companhia aérea que em 2018 sofreu um ciberataque semelhante com esta técnica, comprometendo os dados de 380 mil operações e foi multada em 213 milhões de euros.
Nesse caso, o risco potencial de “formjacking” foi confirmado. Foi descoberto pela Universidade de Lancaster que Foram necessárias apenas cerca de 20 linhas de código e que a operação de obtenção dos dados do cartão de crédito foi realizada em milissegundos, o que ajudou o ataque cibernético a passar despercebido pela companhia aérea.
Quem é afetado
Segundo relatório da Symantec com dados de 2019, mais de 4.800 sites por mês são afetados por esse tipo de ataque. Outro caso conhecido foi o da Ticketmaster em 2018.
A maioria das empresas afetadas são aquelas que optam por plataforma própria ou e-commerce com extensões, como WordPress ou Magento, mas onde o erro de não tê-lo atualizado com os patches de segurança mais recentes.
Aqui é de total responsabilidade da equipe de segurança cibernética da empresa garantir que todos os protocolos de segurança sejam atendidos e que o código do site tenha sido bem analisado. Assim como o tráfego de saída do site deve ser monitorado para detectar dados estranhos que estão sendo transferidos para onde não pertencem.
Embora a maioria dos sites de comércio eletrônico mantenha os dados CVV em um banco de dados separado, a técnica de “formjacking” permite que esses dados sejam roubados se o usuário os adicionar a partir de uma página interna.
Alguns invasores, como o grupo Magecart, até compraram certificados SSL pagos da Comodo para fazer com que os sites parecessem servidores legítimos e As certificações HTTPS continuariam a ser aprovadas.
Por parte da empresa, existem ferramentas para detectar esses ataques como o Feroot, que analisa scripts de terceiros e quando os dados estão sendo enviados para outros servidores.
O que podemos fazer para evitá-lo
É difícil proteger-se 100% desses ataques. Mas é por isso que existem grandes empresas que oferecem soluções para o resto. São as gateways de pagamento dos principais bancosde plataformas como Paypal o sistemas como Google Pay, entre otras.
Com estes sistemas, a informação bancária não é partilhada com o site de comércio eletrónico, pelo menos desta forma está protegida. Para que houvesse um problema, estes sistemas de pagamento teriam que ser os diretamente afetados e claro, empresas como Paypal ou Google têm muito mais recursos para evitá-los.
Como usuários, devemos sempre estar atentos na hora de pagar. Nenhuma empresa, por mais protegida que esteja, pode garantir-nos perfeitamente que os seus sistemas são seguros. Como usuários, temos que prestar atenção ao tipo de site que estamos vendo ao inserir os dados e tente não exibi-los em telas distantes das plataformas seguras que conhecemos.
Recomenda-se verificar regularmente o nosso cartão de crédito e monitorar se algum pagamento estranho foi feito. Nesse caso, deverá contactar a entidade bancária que tem a obrigação de reembolsar o pagamento caso não tenhamos sido nós que o fizemos.
Além dos cartões virtuais, nos últimos anos bancos como o BBVA começaram a oferecer cartões de crédito com CVV dinâmico que muda a cada vários minutos. Uma medida adicional que podemos perguntar ao nosso banco se está disponível e que ajudaria a evitar compromissos de segurança como o que ocorreu com a Air Europa.
Imagem | Shamin Haky
Em Xataka | Como saber se uma loja online é confiável ou não: dicas e ferramentas para comprar online com segurança
Reescreva o texto para BR e mantenha a HTML tags