As ameaças à segurança cibernética são uma preocupação crescente para as empresas de varejo, à medida que adotam cada vez mais o autoatendimento por meio da Apple, Google Pay ou outras plataformas de pagamento. Desde 2005, os varejistas têm visto mais de 10,000 violações de dados, principalmente devido a falhas e vulnerabilidades nos sistemas de pagamento.
Os sistemas de ponto de venda (POS) geralmente utilizam uma infinidade de hardware, software e componentes externos baseados em nuvem.
“No mínimo, os varejistas devem garantir que sua parte contratada os cumpra e observará os mesmos requisitos de conformidade de segurança que a própria empresa possui. Existem inúmeras oportunidades para um cibercriminoso tirar proveito do sistema, seja na fonte do fornecedor que fornece a solução ou quando a tecnologia é implantada no local. Explorar uma vulnerabilidade no software usado em dispositivos POS (ou mesmo nos serviços de nuvem de back-end) pode permitir que um cibercriminoso implante malware no dispositivo POS. Isso permitiria ainda mais a coleta de dados financeiros, infligir um ataque de malware, como ransomware, ou usar o dispositivo para se conectar a outros sistemas internos”, disse Tony Anscombe, líder de segurança da ESET.
Os efeitos dos ataques cibernéticos nos varejistas podem incluir multas pesadas, penalidades, perda de dados, perdas financeiras e danos à reputação.
Existem também ameaças de segurança que os usuários enfrentam ao usar dispositivos IoT no varejo. Mais de 84% das organizações usam Dispositivos IoT. No entanto, menos de 50% adotaram medidas de segurança sólidas contra ataques cibernéticos. Por exemplo, a maioria das organizações usa as mesmas senhas por muito tempo, o que aumenta os ataques de força bruta, permitindo que hackers roubem e manipulem dados.
Os dispositivos IoT podem ser usados para rastrear os movimentos dos clientes e históricos de compras, e os hackers podem obter acesso a esses dados. Além disso, os clientes podem correr o risco de serem enganados ao usar plataformas de pagamento como o Apple Pay. Esses golpes podem assumir várias formas, como aplicativos falsos que roubam informações pessoais ou sites que induzem os clientes a inserir os detalhes do cartão de crédito.
“A introdução desses novos mecanismos de pagamento sinaliza o início de um novo ciclo de adoção de tecnologia. Do ponto de vista da segurança, é quando as coisas são normalmente as mais vulneráveis. Além disso, os dispositivos conectados que impulsionam essa transformação já são considerados o elo mais fraco em outros cenários de implantação muito mais maduros. Acredito que no varejo, assim como em outros setores, veremos esses dispositivos sendo explorados para obter presença persistente na rede, expor dados confidenciais, executar golpes digitais e muito mais. E mesmo que os novos dispositivos sejam extremamente seguros – e este é um grande IF – eles ainda estão sendo introduzidos em um ambiente cheio de IoT herdado, que pode ser usado para contornar suas próprias defesas. Olhando para as coisas da perspectiva dos maus atores, o que temos aqui é uma expansão massiva da superfície de ataque – que adiciona muitas novas “oportunidades” de alto valor ao que já era um ambiente rico em alvos”, disse Natali Tshuva, o CEO e cofundador da Sternum, uma empresa de segurança, observação e análise de IoT residente em dispositivos e sem código.
Cada dispositivo IoT possui sua própria cadeia de suprimentos de software. Isso ocorre porque o código que executa o dispositivo é, na verdade, uma combinação de vários projetos de código aberto e fechado. Como tal, uma das ameaças mais imediatamente presentes é a exposição de informações confidenciais ou mesmo pessoais de clientes com fraudes cibernéticas. “Isso é diferente de outros golpes digitais, como phishing e outros tipos de engenharia social”, disse Tshuva.
“Aqui o alvo não terá a opção de prevenir o ataque através da vigilância ou mesmo suspeitar que algo está acontecendo – certamente não até que seja tarde demais”.
“Nós nos cercamos de dispositivos conectados, mas eles são 'caixas pretas' para nós e nunca sabemos realmente – ou temos maneiras de saber – o que realmente está acontecendo lá dentro”.
De acordo com Tshuva, a maioria dos dispositivos de IoT hoje já é executado em código de vários (talvez algumas dezenas) fornecedores de software diferentes, alguns dos quais você nunca ouviu falar. Normalmente, esses componentes de terceiros são os responsáveis pela criptografia, conectividade e outras funções confidenciais. E até mesmo o sistema operacional pode ser uma mistura de vários sistemas operacionais diferentes juntos”.
“Isso expõe um dos principais desafios da segurança da IoT que, novamente, remonta à ideia de expandir a superfície de ataque. Porque com cada dispositivo que você introduz no sistema, o que você está realmente adicionando é uma mistura de código de vários fornecedores de software, cada um com suas próprias vulnerabilidades para adicionar à mistura”, concluiu Tshuva.
Os varejistas precisam tomar várias medidas para proteger a si mesmos e seus clientes contra ameaças à segurança cibernética. Eles devem garantir que seus sistemas estejam atualizados com os patches de segurança mais recentes e também devem ter um plano de segurança abrangente implementado. Os funcionários devem ser treinados para identificar e responder a ameaças de segurança, e os clientes devem estar cientes dos riscos do uso de dispositivos IoT no varejo.
“À medida que os varejistas adotam a IoT para vigilância da localização de seus clientes, eles criam conjuntos de dados ricos sobre os movimentos e hábitos de compra dos consumidores. Esses registros criam uma trilha de dados que deve ser guardada com muito cuidado, pois as informações de compra aliadas aos movimentos podem revelar hábitos extremamente privados. Temos visto uma infinidade de ataques direcionados a varejistas no ponto de compra e, se isso puder ser combinado com o caminho que os clientes percorrem por uma loja, um shopping ou até mesmo entre cidades e continentes, os consumidores terão forte recurso de danos contra cadeias de varejo”, disse Sean O'Brien, fundador do Yale Privacy Lab.
Para entender as ameaças, as organizações precisam entender que a adoção de soluções digitais por empresas de varejo significa adotar soluções dependentes de software e aumentar a superfície de ataque dos cibercriminosos.
“O que costumava ser uma caixa registradora mecânica agora é um ponto de venda “inteligente” que processa e coleta informações de pagamento do cliente, tornando-o um alvo desejável. Esses sistemas são frequentemente conectados a uma solução de comércio eletrônico maior, como lojas online/faturamento/inventário, etc., o que pode torná-los um ponto de entrada para sistemas mais críticos. Sendo dependentes de soluções inteligentes, as empresas de varejo também se encontram suscetíveis a ataques de ransomware e negação de serviço que bloqueiam sua capacidade de fazer transações. Além disso, os dispositivos PoS, sendo pequenos computadores, podem ser usados em grandes ataques de botnets”, disse Maty Siman, CTO e fundador da Checkmarx.
As empresas de comércio eletrônico usam muitos fornecedores diferentes para seus processos. De hardware e software a operações e serviços financeiros, todos os fornecedores usam mais software e componentes de terceiros que, por sua vez, também dependem de componentes de terceiros.
“Se um agente mal-intencionado puder explorar ou introduzir um “backdoor” em qualquer componente ao longo do caminho, ele estará basicamente obtendo acesso às soluções finalizadas que podem ser encontradas posteriormente nos negócios de varejo. Quando tudo depende de software nos dias de hoje, a dependência de software de código aberto intensifica esses problemas”, disse Siman.
De acordo com Siman, a educação dos funcionários sobre as melhores práticas de segurança é essencial. “Os dados precisam ser copiados regularmente, e os usuários varejistas devem usar senhas fortes e MFA. A rede usada para transações precisa ser isolada de outras redes, e os dispositivos e seus softwares precisam ser atualizados e corrigidos regularmente.”
Os humanos ainda são a ameaça mais proeminente, diz Sean Tufts, líder de segurança IoT/OT da Optiv. “Ter menos funcionários ou interação cara a cara no ponto de venda e/ou check-out leva a mais roubos físicos, mas também abre esses varejistas para mais adulterações por agentes de ameaças experientes que procuram tirar proveito de uma loja Confiar em. Quanto mais essas máquinas são deixadas sem supervisão, mais interfaces podem e serão manipuladas, por exemplo, skimmers instalados e portas acessadas.”
Fonte: https://www.forbes.com/sites/dennismitzner/2022/09/14/self-checkouts-iot-and-the-rise-of-retail-cyber-security-threats/