Marketing Digital e e-Commerce

PLATAFORMAS DE E-COMMERCE
E MEIOS DE PAGAMENTO

Aula 5

Prof. MsC. Kleber Silva

prof.kleber.silva@gmail.com
versão 3.3
31/10/2022

3 – Segurança da Informação

Pág. 1
 Marketing Digital e e-Commerce

3.1 – Normas e requisitos

A ISO/IEC 27001 é a norma internacional de gestão de segurança da
informação. Ela descreve como colocar em prática um sistema de gestão de
segurança da informação avaliado e certificado de forma independente. Isso
permite que você proteja todos os dados financeiros e confidenciais de maneira
mais eficiente, minimizando a probabilidade de serem acessados ilegalmente
ou sem permissão.
Com a norma ISO/IEC 27001, você poderá demonstrar compromisso e
conformidade com as melhores práticas globais, provando a clientes,
fornecedores e partes interessadas que segurança é fundamental na operação
de sua empresa.
Benefícios da 27001 - Gestão de Segurança da Informação:
 Identificação de riscos e definição de controles para gerenciá-los ou
eliminá-los
 Flexibilidade para adaptar os controles a todas as áreas ou a áreas
selecionadas de sua empresa
 Ganhe a confiança das partes interessadas e dos clientes, que sabem
que seus dados estão protegidos
 Demonstre conformidade e obtenha o status de fornecedor
preferencial
 Atenda às expectativas mais sensíveis, demonstrando conformidade
Em 1995, as organizações internacionais ISO (The International
Organization for Standardization) e IEC (International Electrotechnical
Commission) deram origem a um grupo de normas que consolidam as
diretrizes relacionadas ao escopo de Segurança da Informação, sendo
representada pela série 27000. Neste grupo, encontra-se a ISO/IEC 27002
(antigo padrão 17799:2005), norma internacional que estabelece código de
melhores práticas para apoiar a implantação do Sistema de Gestão de
Segurança da Informação (SGSI) nas organizações.
Através do fornecimento de um guia completo de implementação, ela
descreve como os controles podem ser estabelecidos. Estes controles, por sua
vez, devem ser escolhidos com base em uma avaliação de riscos dos ativos
mais importantes da empresa. Ao contrário do que muitos gestores pensam, a
ISO 27002 pode ser utilizada para apoiar a implantação do SGSI em qualquer
tipo de organização, pública ou privada, de pequeno ou grande porte, com ou
sem fins lucrativos; e não apenas em empresas de tecnologia.
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios
gerais para iniciar, implementar, manter e melhorar a gestão de segurança da
informação em uma organização. Isso também inclui a seleção, a
Pág. 2
 Marketing Digital e e-Commerce

implementação e o gerenciamento de controles, levando em conta os

ambientes de risco encontrados na empresa.
As vantagens proporcionadas pela certificação ISO 27002 são
representativas para as empresas, principalmente pelo fato de serem
reconhecidas mundialmente. Conheça alguns benefícios associados a
aplicação da norma:
 Melhor conscientização sobre a segurança da informação;
 Maior controle de ativos e informações sensíveis;
 Oferece uma abordagem para implantação de políticas de controles;
 Oportunidade de identificar e corrigir pontos fracos;
 Redução do risco de responsabilidade pela não implementação de um
SGSI ou determinação de políticas e procedimentos;
 Torna-se um diferencial competitivo para a conquista de clientes que
valorizam a certificação;
 Melhor organização com processos e mecanismos bem desenhados e
geridos;
 Promove redução de custos com a prevenção de incidentes de
segurança da informação;
 Conformidade com a legislação e outras regulamentações.
Em Segurança da Informação o que significa CIDAL. O conceito base da
segurança da informação reúne cinco aspectos:

Figura 5: Requisitos de Segurança da Informação, CIDAL

Pág. 3
 Marketing Digital e e-Commerce

 Confidencialidade – “sf. Comunicação ou ordem sob sigilo. C. reservada:

a que deve ser lida somente pela pessoa a quem é dirigida.”A segurança
da informação prima pela confidencialidade dos dados, ou seja, as
informações só devem ser acessadas por pessoas autorizadas, por
exemplo o saldo bancário de um cliente.
 Integridade – “1 Inteiro, completo. 2 Reto, incorruptível.” Quando
enviamos ou recebemos qualquer tipo de informação queremos que
esses dados sejam verdadeiros, ou seja, não seja alterado por outra
pessoa. Por exemplo ao fazermos um backup de determinado arquivo,
queremos que esse backup seja uma cópia fiel do arquivo original e se
mantenha sempre assim.
 Disponibilidade – “Diz-se da mercadoria que pode ser entregue
imediatamente ao comprador.” Todas as nossas informações estão
armazenadas em algum local, hoje em dia quase tudo em
computadores, agora imagine que se você precise de uma determinada
informação e quando for acessá-la não consegue porque o servidor está
indisponível, não podemos deixar que isso ocorra.
 Autenticidade – “Digno de fé ou de confiança. Genuíno.” Ao envirmos
algum dado queremos ter certeza de enviar para o receptor correto e ao
recebermos queremos ter certeza que foi enviado pelo emissor
verdadeiro. Um exemplo é a troca de e-mails, devemos garantir a
veracidade do emissor e receptor.
 Legalidade – “1 Conforme à lei. 2 Relativo à lei. 3 Prescrito pela lei.” O
uso da tecnologia de informática e comunicação deve estar de acordo
com as leis vigentes no local ou país

ISO 27701
A norma ISO 27701 especifica os requisitos e fornece diretrizes para o
estabelecimento, implementação, manutenção e melhoria contínua de um
sistema de gestão de privacidade da informação (SGPI).
Assim como as demais normas da família 27000, em especial 27001 e
27002, a ISO 27701 apresenta requisitos relacionados ao SGPI (Sistema de
Gestão da Privacidade da Informação) e também diretrizes para os
controladores e operadores de dados pessoais, atores com grandes
responsabilidades nas atividades de tratamento.
É aplicável a todos os tipos de organizações, tanto públicas quanto
privadas e também se relaciona com outras normas técnicas que lhe dão
suporte para a implementação da conformidade.
A norma nasce como uma extensão de requisitos da ISO 27001 e de
diretrizes da 27002, todos focados em privacidade da informação e não em um

Pág. 4
 Marketing Digital e e-Commerce

sistema de gestão próprio. A norma complementa as demais normas de

segurança da informação com seus requisitos específicos.
Para compreensão da ISO 27701 é preciso ter em mente que ela se
relaciona a todo instante com as normas de segurança da informação, ora
ampliando diretrizes e requisitos, ora criando novas e específicas, até mesmo
mantendo as diretrizes já disciplinadas nas normas de segurança da
informação.
PCI-DSS
O Payment Card Industry – Data Security Standard (PCI-DSS) é um
padrão de mercado envolvendo a segurança no uso de cartões de crédito. Foi
criado pela união privada de grandes operadoras (American Express, Discover
Financial Services, entres outras de grande porte), formando uma espécie de
conselho para avaliar as condições de segurança de uso de seus cartões.
Os requisitos de segurança especificados no PCI-DSS se aplicam a todos
os elementos dos sistemas que participam do processamento de dados de
cartão de crédito. Entre eles estão: os componentes de rede, servidores,
aplicativos e os gerenciadores de bancos de dados envolvidos quando um
número de cartão de crédito é transmitido, processado ou armazenado durante
o fluxo de uma transação comercial.
Então, para que o processamento digital de um número de cartão de
crédito – o qual é tecnicamente conhecido como Personal Account Number
(PAN) – seja feito de forma segura, o PCI-DSS define uma série de requisitos.
Tais requisitos são organizados em seis grupos logicamente relacionados:
 Construir e manter uma rede segura;
 Proteger as informações dos portadores de cartão;
 Manter um programa de gerenciamento de vulnerabilidades;
 Implementar medidas fortes de controle de acesso;
 Monitorar e testar as redes regularmente;
 Manter uma política de segurança da informação.
O Conselho do PCI certificou algumas entidades, conhecidas como
Qualified Security Assessors (QSA), para executar a avaliação de
conformidade ao PCI-DSS nas empresas e apresentar sugestões de medidas
corretivas para promover o alinhamento aos padrões da certificação. Então,
falar em PCI-DSS é falar em Certificação de procedimentos de segurança,
sendo eles avaliados por uma entidade certificadora.
Apesar de ser um importante mecanismo, não é determinação legal. Ou
seja, a lei não determina que tal comportamento seja obrigatoriamente tomado
para obter maior segurança nas transações, mas é um item que pode

Pág. 5
 Marketing Digital e e-Commerce

acrescentar capital de segurança à empresa, levando em consideração os

requisitos para se alcançar essa certificação.
Observe o termo criado “capital de segurança” que é o conjunto de
medidas possíveis utilizados para a proteção de dados em transações e dados
de clientes.
Quanto maior o capital de segurança, maior a tranquilidade do
empresário, do cliente e claro, das futuras demandas jurídicas.
Com isso, uma importante questão fica no ar: minha empresa precisa ser
PCI? A resposta para essa pergunta, dependerá do quanto necessário, visto
que não há nada em leis que obriguem as empresas a seguir tais
procedimentos. Entretanto, ao adotá-los em seu e-commerce poderá se
beneficiar.

3.2 – Sistemas Anti-fraudes

Um antifraude te protege de perder dinheiro. Um exemplo que pode ilustrar a
importância de um antifraude é o chargeback, quando um cliente solicita um
estorno por não reconhecer aquela compra.
Uma a cada 33 compras são canceladas por diversos fatores: má fé, não
recebimento do produto, valores diferentes e o próprio não reconhecimento da
compra.
Quando e como os fraudadores agem?
O Raio-X da Fraude 2020 foi produzido a partir da análise dos mais de
175 milhões de pedidos que passaram pelos sistemas da Konduto entre 1º de
janeiro e 31 de dezembro do ano passado. Mais do que o aumento no índice
de tentativas de fraude, o estudo também mostra como os criminosos se
comportaram no ambiente on-line.

Pág. 6
 Marketing Digital e e-Commerce

A exemplo de edições anteriores, comprovamos que os fraudadores

concentram as suas ações nos dias úteis (terça-feira foi o dia da semana com
mais golpes em média) e no horário comercial. Diferentemente do que muitos
ainda pensam, o índice de pedidos ilegítimos cai drasticamente tanto nos finais
de semana como às madrugadas.
O relatório também apontou que os estelionatários utilizam nas práticas
de golpes os sistemas operacionais e os navegadores mais usados pelos
clientes “bons” na hora de comprar (Windows e Google Chrome,
respectivamente, lideram a lista).
Golpes na palma da mão
O cenário acima reforça que aquela imagem muitas vezes vinculada ao
fraudador cibernético – um homem encapuzado, agindo em um quarto escuro
na madrugada e diante de uma tela repleta de códigos indecifráveis de um
supercomputador – não corresponde à realidade.
Por falar nisso, outro dado que chama atenção no Raio-X 2020 é o
aumento significativo das tentativas de fraude via mobile (de 37% em 2018
para quase 47% em 2019). Isso quer dizer que algumas atividades
escalonáveis e automatizadas que o fraudador só conseguia realizar a partir de
um computador agora também estão cabendo na palma da mão dos
estelionatários.

Pág. 7
 Marketing Digital e e-Commerce

Quais são os principais sistemas antifraude para e-commerce do mercado?

 Konduto
Fundada em 2014, a Konduto é uma empresa com larga experiência em e-
commerce, meios de pagamento e inteligência artificial. Dessa forma, essa
experiência forneceu a eles a possibilidade de conhecer a fundo os
comportamentos dos compradores, possibilitando um excelente sistema de
antifraude.
Portanto, assim que o cliente entra no site (e-commerce, clube de assinaturas,
etc.), a empresa analisa:
o A origem do tráfego;
o Localização;
o Redes sociais.

Basicamente, a Konduto acompanha o caminho que ele fez antes de chegar ao

site para analisar o comportamento de compra dele e identificar possíveis
fraudes. Depois disso, cria uma pontuação, que reflete a confiança gerada pelo
cliente.
Além disso, vale descasarmos que pontuação é uma porcentagem clara do
quanto a análise está certa sobre a transação ser ou não suspeita. Dessa
forma, tem-se a recomendação de revisar a compra (você recebe todos os
dados de análise utilizados) ou aprovação direta.
Todo esse processo acontece online, automaticamente. Alguns dos clientes
são Editora Juspodivm, Chico Rei, Ebanx, Constance, Cissa Magazine, etc.
 ClearSale
A ClearSale oferece antifraude para diferentes segmentos do mercado, como
vendas diretas, telecom, serviços financeiros e e-commerce. Dessa forma, são
três tipos de soluções, que variam de acordo com a necessidade:
Start: aplicação para e-commerce que, segundo a empresa, é de fácil
integração ao sistema das lojas. É ideal para pequenas empresas e
ingressantes do e-commerce.
ID: a solução automatiza a análise das fraudes a partir dos índices definidos
para o negócio.
Application: É uma ferramenta que dá as informações necessárias para que a
própria empresa faça a gestão de antifraude.

Pág. 8
 Marketing Digital e e-Commerce

Por dia, a empresa faz cerca de 250 mil análises de fraude. Além disso,
podemos citar vários clientes da empresa, como a Vivo, Oi, Net, Abril (revista),
Natura, Asus, etc.
 BigData Corp
O antifraude da Big Data Corp oferece contratação sem tempo mínimo e um
sistema bem interessante de combate antifraudes: os questionários. Dessa
forma, por meio das perguntas, um relatório é extraído e garante maior
segurança para a empresa, de forma fácil e simples para o usuário.
Portanto, o BigID é um sistema automático de validação de identidade que
confirma se o usuário é quem ele diz ser. O sistema gera um novo questionário
a cada chamada e confirma a identidade a partir dos erros e acertos, além de
fazer o monitoramento de comportamento.
Eles oferecem ainda algumas integrações e serviços, como Log completo de
auditoria do sistema, integração dos seus dados internos ao processo de
validação, acesso via API, dispensa de documentos, etc.
Entre as empresas que usam o antifraude deles está PayU, Azul Linhas Aérias,
PayPal, Unimed, Modal, Rico, Bradesco, PagSeguro, etc.
 Fcontrol
Assim como as outras empresas, a Fcontrol oferece o serviço antifraude.
Contudo, o diferencial é a possibilidade de escolher a medida de proteção
necessária para seu negócio.
Da mesma forma, sabemos que um antifraude muito rígido pode fazer com que
muitos compradores com real intenção de adquirir um produto ou serviço de
assinatura deixem de comprar por serem barrados. Por esse motivo, a
empresa oferece a possibilidade de você escolher o que convém para o seu
negócio.

3.3 – Criptografia
Diversos e-commerces ou outras grandes corporações tem sofrida com o
vazamento de dados e senhas dos seus clientes, causando prejuízos
imensuráveis tanto para lojistas como também para consumidores. E, mais do
que danos financeiros, estes ataques podem romper uma importante relação
de confiança entre as partes.
Normalmente, as informações roubadas se referem a dados pessoais ou
números de cartões de créditos, os quais são usados para a realização de
compras fraudulentas na internet – não necessariamente na mesma loja que foi
vítima do vazamento. Essa prática afeta todo o ecossistema.

Pág. 9
 Marketing Digital e e-Commerce

Por isso, um dos pontos que merece atenção redobrada dos lojistas é em
relação à segurança em seus e-commerces. O cuidado deve ser visto como
prioridade para empreendedores, beneficiando toda a cadeia do comércio
eletrônico.
Evitar vazamentos de dados não é tarefa nada fácil, e prova disso é o fato
de grandes corporações do mundo inteiro estarem sofrendo com este mal – até
a rede de hotéis do presidente dos Estados Unidos, Donald Trump, enfrentou
este problema. Mas há algumas formas eficientes para proteger o seu e-
commerce.
Criptografia deve ser a base de toda a proteção. A partir do momento que
uma marca possui em seu banco de dados informações sigilosas, é preciso
que haja uma camada de proteção (por exemplo TSL e SSL) sobre estes
dados, reforçando, consideravelmente, a segurança sobre os dados que são
compartilhados na rede.
Podemos perceber na prática como isso ocorre quando fazemos login em
uma conta em um site que possui esta camada de segurança. Ao inserirmos
nossa senha de acesso, ela automaticamente é criptografada e transformada
em um código para ser verificado no banco de dados da página – a “famosa”
senha 123456, por exemplo, viraria algo como “xB2sXPr8Q3s=”.
Se porventura este e-commerce sofrer um vazamento de dados, os
hackers tem acesso não à senha 123456, mas ao código criptografado – que
de nada serviria sem a chave para desfazer esta conversão.
É muito fácil saber quando um site não resguarda seus dados com
criptografia e possui um banco de dados extremamente vulnerável. Quando
clicamos no botão “esqueci minha senha”, esta página desprotegida envia
automaticamente um e-mail para o usuário com a senha 123456 ali,
escancarada no corpo do e-mail – porque é exatamente desta forma como está
registrado nos servidores.
Manter os sistemas e servidores sempre atualizados também é um passo
fundamental para garantir a integridade das informações de um e-commerce,
evitando que criminosos cibernéticos se aproveitem de vulnerabilidades já
conhecidas para comprometer a segurança de uma loja virtual. Este passo
parece óbvio, mas muitas vezes é negligenciado – inclusive em grandes
corporações.
Outro sistema que ajuda os e-commerces a proteger seus dados é o
firewall, dispositivo de uma rede de computadores que tem como objetivo
aplicar uma política de segurança a um determinado ponto de rede. Ele cria
uma barreira de proteção que bloqueia o acesso de conteúdos maldosos e
impede que os dados sejam transmitidos.

Pág. 10
 Marketing Digital e e-Commerce

3.4 – Certificados SSL

Dentre os mais importantes, o certificado digital SSL também faz parte
dos requisitos de uma loja segura.
Quando pensamos em SSL, devemos diretamente pensar em https, o S
tem o significado de security, portanto quando um site tem o s após o http isso
deve retomar a ideia de que possui um certificado digital SSL. Mas, não é só
isso, além de mudar o http, é uma ferramenta que criptografa os dados
inseridos no seu site para que eles não sejam interceptados e caso forem, eles
estão criptografados.
A criptografia de dados, é o processo que transforma a informação
original em códigos, tornando-a ilegível e só pode ser decifrada por quem tiver
a “chave-secreta”. Ou seja, quando você insere seus dados no site, eles são
codificados e transmitidos para o servidor do site, que é o único capaz de
decifrá-los.
Portanto, esse serviço embaralha as informações por meio de códigos,
que são denominados como bits. Existem atualmente no mercado 2048 e 4096
bits, que é a denominação do número de códigos, ou seja, 2048 ou 4096
códigos.
Quando as informações são inseridas no site, essas antes de trafegar no
servidor, se tornam ilegíveis, funciona como uma camada protetora situada
entre o servidor e o receptor dos dados. Ao inserir seus dados na loja virtual,
como por exemplo, CPF, dados do cartão, endereço, nome completo e outras
informações pessoais ou até confidenciais, essas são codificadas, portanto
estão protegidas.
O certificado digital SSL é obrigatório em todos os sites que tiverem
espaço para inserir dados, ou seja, se sua loja virtual tem algum local onde
houver tráfego de dados pessoais é necessário que esse serviço seja
contratado. Um dos primeiros requisitos de uma operadora de cartões, é que o
seu site tenha certificado digital. O Certificado Digital é essencial para qualquer
aplicação ou sistema que trafegue qualquer tipo de informação sigilosa.
Além de ser obrigatório para o tráfego de dados, a sua principal função é
a segurança tanto do dono da loja virtual quanto do consumidor final.
Criptografar todas as informações que estão sendo trafegadas para que
pessoas mal-intencionadas não consigam ter acesso a informações indevidas.

Pág. 11
 Marketing Digital e e-Commerce

Preservando os dados do cliente e também a credibilidade e segurança da loja

virtual.
O certificado digital SSL também proporciona que o site disponibilize o
cadeado verde ao lado do domínio na barra de endereço, ou em alguns tipos
de certificado digital a barra de navegação fica toda verde e informando a razão
social, demonstrando que o site é seguro e é confiável, para que o cliente insira
seus dados nesse.

3.4.1 – Certificados SSL WildCard

O Certificado SSL Wildcard é usado para proteger um nome de domínio
junto com um número ilimitado de subdomínios. Assim, um único Certificado
SSL Wildcard protege vários subdomínios.
Para proteger o domínio e os subdomínios, a aplicação funciona assim:
*.nome-de-dominio.com.br. O “*” é o recurso de segurança chamado “First level
wildcard domain security” que protege os subdominios.
O Certificado SSL Wildcard pode ser utilizado para validação de domínio
(DV) e validação de organização (OV).
No caso da validação de domínio com o Certificado Wildcard nenhum
documento é obrigatório e pode ser emitido rapidamente. O contrário com a
validação de organização (OV), sendo necessário uma validação por telefone.
Vou listar agora os exemplos de domínio e subdomínios que o Certificado
SSL Wildcard pode proteger:
*.nome-de-dominio.com.br
www.nome-de-dominio.com.br
nome-de-dominio.com.br
nome-de-dominio.com.br/pasta
noticias.nome-de-dominio.com.br
blog.nome-de-dominio.com.br
Um certificado SSL Wildcard vem com uma assinatura de 2048 bits e uma
criptografia de 256 bits. Sua política de licença de servidor ilimitada permite que
os usuários protejam seu site em qualquer número de servidores.
O selo de confiança (cadeado verde) no canto aumenta a confiança do
usuário ao fazer transações online e ao enviar informações confidenciais.

Pág. 12
 Marketing Digital e e-Commerce

Funcionalidades do Certificado SSL Wildcard:

 Pode proteger um número ilimitado de subdomínios com um único
certificado;
 Certificados SSL de 2048 bits;
 Funciona com quase todos os navegadores, telefones celulares e
dispositivos;
 Licenciamento ilimitado de servidores;
 Certificados assinados SHA-2 com criptografia de 256 bits;
 Disponível com DV e OV;
 Selo de Site Seguro gratuito.
3.5 – Vulnerabilidades e Ameaças
Ameaças – Normalmente não podem ser controladas
É um evento ou atitude indesejável que potencialmente remove, desabilita ou
destrói um recurso. As ameaças normalmente aproveitam das falhas de
segurança da organização. Possibilidade de um agente (ou fonte de ameaça)
explorar acidentalmente ou propositalmente uma vulnerabilidade especifica.
Riscos (externos e/ou internos) – Podem ser minimizados ou mitigados
Qualquer evento que possa causar impacto na capacidade de empresas
atingirem seus objetivos de negócio. Probabilidade de uma fonte de ameaça
explorar uma vulnerabilidade, resultando em um impacto para a organização.
Vulnerabilidade (internas) – Podem ser tratadas
Falha ou fraqueza de procedimento, design, implementação, ou controles
internos de um sistema que possa ser acidentalmente ou propositalmente
explorada, resultando em uma brecha de segurança ou violação da política de
segurança do sistema.
Em segurança de computadores, uma vulnerabilidade é uma fraqueza que
permite que o atacante reduza a garantia da informação do sistema.
Vulnerabilidade é a interseção de três elementos: uma suscetibilidade ou falha
do sistema, acesso do atacante a falha e a capacidade do atacante explorar a
falha.
Os principais ataques relacionados a exploração de vulnerabilidade de
tecnologia são os ataques ativos e ataques passivos:
Ataques Ativos
São ataques que intervêm no fluxo normal da informação. Alterando o seu
conteúdo e produz informação não válida, com intuito de atentar contra a
segurança de um sistema.

Pág. 13
 Marketing Digital e e-Commerce

Ataques Passivos
São ataques que não alteram a informação, nem seu fluxo normal, apenas
ficam sob canal de escuta.
O que faz o malware?
Todos os tipos de coisas. Esta é uma categoria muito ampla. O que um
malware faz ou como ele funciona vai ser diferente de arquivo para arquivo. A
lista a seguir relaciona classes comuns de malwares, mas está longe de ser
definitiva:
Vírus: como seus homônimos biológicos, os vírus prendem-se a arquivos
limpos e infectam outros arquivos limpos. Eles podem se espalhar
incontrolavelmente, danificando funções centrais de um sistema e excluindo ou
corrompendo arquivos. Eles normalmente aparecem como um arquivo
executável (.exe).
Cavalo de Tróia: esse tipo de malware finge ser um software legítimo, ou se
esconde em um software original que tenha sido violado. Ele tende a agir
discretamente e criar “portas dos fundos” em sua segurança para permitir a
entrada de outros malwares.
Spyware: Nenhuma surpresa aqui: spyware é um malware projetado para
espioná-lo. Ele se esconde em segundo plano e grava suas atividades online,
incluindo suas senhas, números de cartão de crédito, rotina de navegação e
muito mais.
Worms: Worms infectam redes inteiras de dispositivos, sejam locais ou através
da internet com o uso de interfaces de rede. Eles usam cada máquina infectada
para infectar outras mais.
Ransomware: Este tipo de malware costuma travar seu computador e
arquivos, ameaçando apagar tudo caso não receba um resgate.
Adware: Embora não sejam malignos por natureza, softwares agressivos de
publicidade podem minar sua segurança apenas para exibir anúncios, o que
pode servir como porta de entrada para vários outros malwares. Além disso,
vamos ser honestos: pop-ups são realmente irritantes.
Botnets: são redes de computadores infectados forçados a trabalharem juntos
sob o controle de um invasor.

3.5.1 – Ataques Ransomware

Pág. 14
 Marketing Digital e e-Commerce

Ransomware é um tipo de código malicioso que torna inacessíveis os dados

armazenados em um equipamento, geralmente usando criptografia, e que
exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.
O pagamento do resgate geralmente é feito via bitcoins.
Como ocorre a infecção?
O ransomware pode se propagar de diversas formas, embora as mais comuns
sejam:
através de e-mails com o código malicioso em anexo ou que induzam o usuário
a seguir um link;
explorando vulnerabilidades em sistemas que não tenham recebido as devidas
atualizações de segurança.
O mais importante é evitar ser infectado, veja a seguir como se proteger.
Quais tipos de ransomware existem?
Existem dois tipos de ransomware:
Ransomware Locker: impede que você acesse o equipamento infectado.
Ransomware Crypto: impede que você acesse aos dados armazenados no
equipamento infectado, geralmente usando criptografia.
Além de infectar o equipamento o ransomware também costuma buscar outros
dispositivos conectados, locais ou em rede, e criptografá-los também.
Como devo me proteger de ransomware?
Para se proteger de ransomware você deve tomar os mesmos cuidados que
toma para evitar os outros códigos maliciosos, como:
o manter o sistema operacional e os programas instalados com todas as
atualizações aplicadas;
o ter um antivírus instalado;
o ser cuidadoso ao clicar em links ou abrir arquivos.
o Fazer backups regularmente também é essencial para proteger os seus
dados pois, se seu equipamento for infectado, a única garantia de que
você conseguirá acessá-los novamente é possuir backups atualizados.
O pagamento do resgate não garante que você conseguirá restabelecer
o acesso aos dados.
Cases – STJ
Uma das instância maiores da justiça brasileira, o Superior Tribunal de Justiça
sofreu um ataque hacker em seus sistemas e paralisou suas atividades.

Pág. 15
 Marketing Digital e e-Commerce

O presidente do tribunal, ministro Humberto Martins, declarou que acionou a

Polícia Federal para investigar o ataque.
O STF ainda não divulgou informações sobre o caso e se os hackers
criptografaram os dados pedindo restage em Bitcoin e criptomoedas.
Quadrilha hacker anuncia fim de atividades, mas especialistas alertam para
surgimento de novos grupos
Até o momento, o tribunal não sabe se houve vazamento de dados e não há
previsão de retorno.
Segundo o STJ, por precaução, os prazos processuais foram suspensos até a
próxima segunda-feira (9/11).

"O Superior Tribunal de Justiça comunica que a rede de tecnologia da

informação do tribunal sofreu um ataque hacker, nessa terça-feira (3), durante
o período da tarde, quando aconteciam as sessões de julgamento dos
colegiados das seis turmas. A presidência do tribunal já acionou a Polícia
Federal para a investigação do ataque cibernético. Todas as sessões de
julgamento, virtuais e/ou por videoconferência, estão suspensas ou canceladas
até restabelecida a segurança do tráfego de dados nos nossos sistemas",
declarou o STJ.se não conseguirmos recuperar (ainda estamos trabalhando
nisso), serão dados que existem nessas máquinas, mas não houve infecção do
datacenter, dos nossos servidores, então a população pode ficar tranquila”,
afirmou.
Segundo ele, as informações relativas a processos estão preservados. “Apenas
dados pessoais de alguns dos nossos usuários podem ter sido atingidos por
esse vírus.” Em nota, a assessoria de imprensa do tribunal informou que o
desligamento seguiu “o protocolo de segurança da Tecnologia da Informação
do Judiciário paulista”.
Case: e-Commerce
Pesquisadores de segurança da Visa descobriram um novo tipo de malware
que infectou as páginas de check-out online de pelo menos 17 sites de
comércio eletrônico para roubar dados de cartões de crédito
Pesquisadores de segurança da Visa descobriram um novo tipo de skimmer
(conhecido popularmente no Brasil como “chupa-cabra”) baseado em
JavaScript que infectou as páginas de check-out online de pelo menos 17 sites
de comércio eletrônico para roubar dados de cartões de crédito. O skimmer,
recém-descoberto e apelidado de “Pipka”, tem capacidade de se autorremover

Pág. 16
 Marketing Digital e e-Commerce

do HTML de um site de pagamento comprometido após a execução, o que

torna bastante difícil a sua detecção, de acordo com a Visa.
Os pesquisadores descobriram esse skimmer pela primeira vez em setembro,
depois de ele ter infectado uma página de check-out de comércio eletrônico
pertencente a uma empresa norte-americana, de acordo com um alerta da
Visa. A página já havia sido alvo de outro skimmer de JavaScript chamado
Inter, dizem os pesquisadores.
Depois de encontrar o Pipka pela primeira vez, os pesquisadores da Visa
descobriram o skimmer em pelo menos 16 outras páginas de check-out em
sites de comércio eletrônico. Como ocorre com outros skimmers, o Pipka foi
projetado para extrair o número da conta do cartão de crédito, a data de
validade, o código de verificação, bem como o nome e o endereço do titular do
cartão, de acordo com o relatório.

Os criadores do Pipka incorporaram a técnica de autorremoção como uma

camada extra de defesa contra softwares de segurança. A técnica de
autorremoção não é nova e já foi usada em malware binário (projetado para
infectar computadores) antes. No entanto, esta é a primeira vez que se verifica
um malware de JavaScript empregar a técnica de autorremoção, o que o torna
único, segundo os pesquisadores da Visa.

Referências bibliográficas

Artigo: Bitcoin e Blockchain para leigos https://guiadobitcoin.com.br/bitcoin-e-

blockchain-para-leigos/
Raio-X da Fraude Konduto 2020: https://blog.konduto.com/pt/2020/02/raio-x-da-
fraude-2020/ e postado em materiais complementares da disciplina no
Blackboard
Artigo: A importância do certificado digital SSL na loja virtual
https://www.ecommercebrasil.com.br/artigos/a-importancia-do-certificado-
digital-ssl-na-loja-virtual/
Artigo: Como proteger o seu e-commerce de vazamentos de dados?
https://www.ecommercebrasil.com.br/artigos/e-commerce-vazamentos-dados /
Artigo: PCI-DSS: o que é? Como ser um PCI? É obrigatório? Quando
implantar?

Pág. 17
 Marketing Digital e e-Commerce

https://www.ecommercebrasil.com.br/artigos/pci-dss-o-que-e-como-ser-um-pci-
e-obrigatorio-quando-implantar/
Artigo: Senhas de e-commerce brasileiros não vazaram
http://gizmodo.uol.com.br/senhas-de-e-commerce-brasileiros-nao-vazaram /
Artigo: O que é ISO 27701 e como entender a aplicação da norma para gestão
da privacidade da informação em 5 passos:
https://josemilagre.jusbrasil.com.br/artigos/791257034/o-que-e-iso-27701-e-
como-entender-a-aplicacao-da-norma-para-gestao-da-privacidade-da-
informacao-em-5-passos
Artigo: Phishing e Ransomware: como livrar sua empresa
https://ecommercenews.com.br/noticias/dicas/phishing-e-ransomware-como-
livrar-sua-empresa/
Artigo: Certificado SSL grátis ou pago: Qual a diferença?
https://www.ssl.net.br/blog/diferenca-entre-certificado-ssl-gratis-e-pago/
Artigo: Certificado SSL Wildcard: o que é, melhores preços e onde comprar
https://www.secnet.com.br/blog/certificado-ssl-wildcard
Cartilha CERT.BR: https://cartilha.cert.br/ransomware/
Artigo: Superior Tribunal de Justiça sofre ataque hacker e suspende
andamento de todos os processos https://cointelegraph.com.br/news/stj-
suffers-hacker-attack-and-suspends-progress-of-all-processes
Artigo: Novo skimmer JavaScript ataca sites de e-commerce
https://www.cisoadvisor.com.br/novo-skimmer-javascript-e-encontrado-em-
sites-de-e-commerce/

Pág. 18