Formjacking é essencialmente a evolução do skimmer, em que criminosos implantavam leitores em caixas eletrônicos a fim de copiar informações dos cartões de crédito lá inseridos.

A técnica é a mesma, mas acontece de forma virtual: códigos maliciosos são injetados em sites de lojas a fim de capturar estas mesmas informações de campos de formulário, nas quais o comprador insere seus dados de pagamento: número do cartão, nome, código de verificação e validade.

De acordo com uma pesquisa feita pela Symantec, aproximadamente 4.800 e-commerces são afetados mensalmente com a injeção de scripts maliciosos nos formulários para pagamento. Além disso, dois casos recentes resultaram em um comprometimento de cartões da ordem de 420 mil.

Segundo o mesmo estudo, apesar de gigantes como a British Airways terem sido afetadas por formjacking, o alvo principal são pequenas e médias empresas, que não costumam empregar mecanismos de proteção mais sofisticados.

Assim, com o advento da LGPD (Lei Geral de Proteção de Dados), além do abalo reputacional, que impactaria qualquer empresa em termos financeiros e de imagem, caso sejam constatadas a prática do formjacking e a utilização dos dados obtidos, incluindo sua venda (ou mera exposição) na Deep Web e fóruns da internet de superfície, a empresa responsável pelo e-commerce também estará sujeita às sanções pecuniárias da referida Lei, que, como amplamente divulgado, podem chegar a 2% do faturamento observado ou R$ 50.000.000,00.

Não basta, portanto, que um projeto de adequação à LGPD envolva políticas consistentes e total transparência com os titulares enquanto soluções não forem aplicadas para ameaças que permeiam o mundo digital.

No caso do formjacking, muitos são os vetores de ataque que possibilitam a efetivação do ataque, deste modo, apenas uma gestão integrada de segurança da informação e cibernética permite a redução dos riscos associados a esta ameaça.

As empresas devem possuir processos para a identificação de vulnerabilidades por meio de testes de invasão, bem como processos para monitoramento contínuo de ameaças no ambiente e no contexto de negócio em que estão inseridas de modo que sejam capazes de aplicar com agilidade patches de segurança ou outras técnicas de mitigação de vulnerabilidades zero-day recém-divulgadas.

Adicionalmente, o acesso ao ambiente de produção deve ser extremamente restrito, do mesmo modo que seus repositórios de código-fonte e o processo de promoção de código para ambiente produtivo.

Por último, devido ao contexto colaborativo e integrado do desenvolvimento de software e corporativo que se tem atualmente, cada vez mais a cadeia de suprimentos passa a ser um problema, como demonstrado por Ken Thompson, um dos pais do Unix, em 1984, em seu artigo “Reflections on Trusting Trust”. Devido a esta grande dependência de código e de serviços de terceiros – números indicam que dois terços do código de uma aplicação são compostos por códigos de terceiros – é primordial a aplicação de processos para gestão de fornecedores e terceiros do ponto de vista dos riscos de segurança associados.

Neste contexto de múltiplos domínios de segurança, a interface com entidades externas deve ser controlada por meio de tecnologias como CSP (Content-Security Policies), CORS (Cross-Origin Resource Sharing) e Subresource Integrity, que permitem a restrição das interações entre domínios, a restrição dos tipos de recursos que poderão ser carregados e a verificação de integridade destes recursos. Além disso, pode-se realizar o monitoramento da integridade da aplicação por meio de ferramentas externas e/ou de técnicas anti-tampering no próprio código da aplicação, de tal modo que qualquer alteração seja notificada, investigada e tratada tão logo seja detectada.

Por fim, vale também destacar que parceiros que vendem a proteção do consumidor e do vendedor (como certificados de compra segura) podem ser grandes aliados em termos de segurança da informação, mas devem, à luz da LGPD, ser previamente auditados e avaliados em termos de risco e de privacidade como terceiros.

 

Leandro Augusto Marco Antonio

Sócio-líder de Cyber Security da KPMG no Brasil

Isabella Becker

Gerente da área de Cyber Security da KPMG no Brasil

Rafael Rosa

Gerente da área de Cyber Security da KPMG no Brasil