Defesa do lado do cliente: A peça que faltava na sua armadura de segurança para as férias

A temporada de compras on-line de fim de ano está a todo vapor, com varejistas de comércio eletrônico prevendo gastos robustos dos consumidores: A Deloitte projeta que as vendas de comércio eletrônico crescerão de 12,8% a 14,3% , ano a ano, durante a temporada de festas de 2022-2023, atingindo vendas totais entre US$ 260 bilhões e US$ 264 bilhões, de acordo com um relatório da Retail Info Systems .

Isso é muita atividade em seus aplicativos de comércio eletrônico — e nem toda ela será de elfos felizes do feriado verificando suas listas de compras.

Esta também é a época do ano em que os cibercriminosos intensificam suas atividades, buscando aproveitar o aumento nas compras on-line de fim de ano.

Em breve em um navegador perto de você: Ameaças cibernéticas do lado do cliente

Os ataques de segurança do lado do cliente se tornaram tão difundidos e perigosos que a OWASP compilou uma nova lista das 10 principais ameaças de segurança baseadas em navegador . Isso inclui muitas explorações do lado do cliente que ameaçam sites de comércio eletrônico nesta temporada de festas, como formjacking, skimming digital, Magecart e outras vulnerabilidades de JavaScript baseadas em navegador introduzidas pela dependência de fontes JavaScript de terceiros.

Para melhorar a jornada do cliente, sites de comércio eletrônico dinâmicos incorporam códigos de terceiros em seus aplicativos para habilitar funcionalidades comuns, como formulários de pagamento, chatbots, publicidade, botões de compartilhamento social e scripts de rastreamento. Esses recursos JavaScript fornecem funcionalidade pronta para uso, acelerando o tempo de comercialização e liberando recursos de desenvolvimento, mas também resultam em “código sombra” — código que você não escreveu, não pode controlar, muda sem seu conhecimento e não passa pelas revisões de segurança da sua organização. Sem visibilidade do código executado em seu ambiente, as empresas não conseguem detectar quando o código foi alterado ou comprometido. Esses scripts fornecem aos agentes de ameaças uma ampla superfície de ataque para explorar, permitindo que incidentes de segurança ocorram diretamente no navegador do cliente sem que o usuário ou o comerciante percebam.

Tipos de ataques do lado do cliente

Ataques do lado do cliente são lançados para interceptar e manipular sessões de usuários, com a intenção de assumir o controle e desfigurar sites, conduzir ataques de phishing, apresentar conteúdo falso, criar novos formulários, sequestrar formulários legítimos solicitando que o usuário forneça seu número de previdência social ou informações de conta bancária, ou assumir o controle da conta do usuário. Os dados capturados geralmente são exfiltrados para o servidor de comando e controle do invasor.

Existem vários tipos de ataques do lado do cliente que visam explorar arquivos JavaScript de terceiros.

Os ataques de Magecart são provavelmente os mais conhecidos. Magecart é um termo mais amplo para uma série de ataques à cadeia de suprimentos de software, incluindo formjacking e skimming digital, também chamado de e-skimming, que roubam dados pessoais (geralmente detalhes de clientes e informações de cartão de crédito) de formulários de pagamento on-line. De acordo com o Relatório de Proteção de Aplicativos de 2022 da F5 Labs: Na expectativa de exfiltração , os ataques de formjacking constituíram a maior parte das explorações da web que levaram a divulgações de violações.

Os criminosos geralmente aproveitam os dados capturados dos clientes para realizar atos maliciosos, como roubo de identidade ou invasão de contas, ou, muitas vezes, simplesmente coletar as informações para empacotar e vender como despejos de dados na Dark Web.

Melhores práticas para frustrar ataques do lado do cliente

Ataques do lado do cliente continuarão sendo um desafio para organizações on-line enquanto os criminosos conseguirem incorporar códigos maliciosos em aplicativos da web, e essas explorações podem ser particularmente prejudiciais durante as festas de fim de ano, quando tanto os compradores quanto suas equipes de segurança cibernética já têm muitas outras preocupações nas quais se concentrar. Considerando que poucas empresas estão cientes desses tipos de ataques e que poucas criaram métodos de defesa adequados para detectar e impedir essas explorações, os invasores continuarão a ter sucesso.

No entanto, aqui estão algumas práticas recomendadas que você pode implementar para ajudar a mitigar o risco do lado do cliente:

• Realizar uma auditoria de inventário de scripts. Faça um inventário de todos os scripts incorporados no seu site, identifique quem os possui e os autoriza, para que são usados e como são mantidos. Isso inclui scripts adicionados diretamente no HTML das páginas, bem como scripts adicionados por meio de gerenciadores de tags. Saiba o que o código de terceiros que você está implementando faz e se ele está acessando dados confidenciais ou executando funções críticas. As organizações não precisam apenas de visibilidade do JavaScript em seus sites, mas também precisam saber o que os scripts estão coletando para evitar violações de regulamentações de privacidade de dados, como o GDPR da União Europeia e o California Consumer Privacy Act (CCPA), além de garantir a conformidade com os próximos requisitos 6.4.3 e 11 do PCI DSS .
• Estabelecer uma estrutura de gerenciamento de risco de terceiros. Estabeleça uma estrutura de governança para adicionar, monitorar e manter scripts para garantir a integridade de cada script. Crie um processo que permita identificar quando uma solicitação de PII ou outras informações confidenciais envolve o envio de dados para um novo domínio.
• Aplique confiança zero . Adote uma abordagem de confiança zero para todos os scripts em seu site. Nunca confie totalmente em ninguém. Estabeleça a capacidade de monitorar, detectar e alertar quando um novo script for adicionado ou um script existente for modificado. Técnicas de detecção, como Sub-Resource Integrity (SRI) e Content Security Policy (CSP) ainda têm valor, mas não são mais suficientes para proteger os aplicativos da web em constante mudança de hoje. Organizações que aplicaram confiança zero perceberam custos 20,5% menores em caso de violação de dados do que aquelas que não usaram confiança zero.
• Estabeleça uma estratégia de mitigação rápida. Explore a criação de um processo simples de mitigação de um clique que permite que você revise alterações de script e alertas em um painel interativo com uma ferramenta que fornece mitigação de um clique para bloquear chamadas de rede que exfiltram dados de forma maliciosa.

Conclusão: Não ignore a ameaça de ataques do lado do cliente nesta temporada de férias

Quando os clientes acessam suas contas no seu site de comércio eletrônico durante as festas de fim de ano, eles estão confiando a você seus dados pessoais confidenciais. Tome as medidas necessárias para garantir que os scripts de terceiros em execução no seu ambiente de comércio eletrônico não causem danos.

Proteja sua empresa e seus clientes contra explorações de JavaScript do lado do cliente com o F5 Distributed Cloud Client-Side Defense , uma solução de monitoramento e mitigação que protege credenciais de clientes, detalhes financeiros e informações pessoais contra Magecart, formjacking e outros ataques à cadeia de suprimentos do lado do cliente. Este serviço baseado em SaaS é rápido e fácil de implantar, fornece valor imediato, mantém os dados pessoais e financeiros dos seus clientes longe das mãos de criminosos e protege contra perda de dados que prejudicaria a confiança do consumidor.

Saiba mais assistindo ao vídeo Como os comerciantes podem se defender contra ataques do Magecart e assista a esta demonstração do F5 Distributed Cloud Client-Side Defense .

Não deixe que fontes JavaScript comprometidas estraguem as férias da sua empresa e dos seus clientes.