Manipulação de preços: proteja o e-commerce dessa ameaça
Imagine se “um cliente” entra no seu site de e-commerce e se depara com uma TV de alta definição, de mais de 50 polegadas, conexão à Internet e muitas outras funcionalidades por apenas R$ 100,00. Uma oferta imperdível, certo? Não. Provavelmente o seu site não conta com sistemas de detecção de fraudes e hackers aproveitaram essa brecha.
Essa é a chamada vulnerabilidade de manipulação de preços durante a finalização do pedido, que tem como alvos carrinhos de compras e meios de pagamentos on-line, principalmente quando os desenvolvedores armazenam o preço dos produtos em um campo oculto HTML de uma página web dinâmica ou nos cookies.
O que é manipulação de preços no e-commerce?
Geralmente esses ataques têm como alvo sites de e-commerce com alto volume de vendas, onde cada ordem de compra não é verificada com tanta atenção.
Se um site recebe dez ordens de compra por dia, muito provavelmente alguém irá conferir cada uma delas. Mas se é um site que recebe centenas de ordens de compra ao longo do dia, esse controle não será tão pontual, já que os sistemas devem ser totalmente automatizados.
Como me proteger dessa ameaça?
Proteger a sua plataforma de e-commerce desse tipo de ataque não é tão complicado desde que você saiba onde procurar as vulnerabilidades no gerenciamento de pedidos.
A melhor solução é buscar um parceiro com habilidade na oferta de testes de invasão, os chamados pentests, específicos para e-commerce. O Teste de Invasão – TDI – visa validar o conjunto de controles adotados para proteger a plataforma de e-commerce, analisando rede, servidor, aplicação, serviços e outras interfaces.
E a partir do momento em que a vulnerabilidade for identificada, é hora de ampliar os protocolos de segurança para garantir a integridade dos dados e a confiabilidade no seu eCommerce, determinando o nível de exposição de seu ambiente tecnológico, a possibilidade de vazamento de informações e outras fraudes além da manipulação de preços, e também saber como se prevenir de ameaças cibernéticas.