Ataques hackers, ciberataques e cibercrimes já são considerados a maior ameaça para empresas em todo o mundo.
Em média, 30 mil sites sofrem ataques hacker todos os dias. A situação piorou muito durante a pandemia de Covid-19, quando muitas atividades migraram do presencial para o online. Apenas em 2020, no início da crise sanitária, o FBI identificou um aumento de 300% no número de crimes cibernéticos.
Muitas pequenas empresas acham que seu site não possui nada que valha a pena ser hackeado. Isso não é verdade. Qualquer site é um ativo valioso para o proprietário e para os usuários e também, para os hackers.
Esse artigo vai ajudá-lo a fazer isso. Vamos desconstruir alguns mitos, trazer números, falar sobre os principais tipos de ataques hacker e apresentar dicas de como proteger os sites dos seus clientes.
Ao contrário do que muita gente pensa, um site pequeno não está imune a ataques maliciosos. Sem os devidos cuidados, os sites de profissionais liberais ou de pequenas empresas podem ser as próximas vítimas. Isso porque a grande maioria das violações de segurança em sites não é dirigida para uma empresa ou site em particular. O que os hackers fazem hoje é utilizar ferramentas automatizadas para varrer uma grande quantidade de sites e buscar vulnerabilidades. Elas podem estar no CMS, plugin ou template.
Hackear sites usando ferramentas automáticas é popular porque os hackers podem lançar um amplo ataque com pouco esforço. Muitos exploram uma vulnerabilidade em uma versão específica do WordPress, Joomla ou outro sistema de gerenciamento de conteúdo.
Bots automatizados buscam sites usando essa versão. Depois, invadem a máquina dos usuários desses sites para coletar dados pessoais, que são revendidos na Deep Web.
Segundo a empresa de segurança Trustwave, a renda mensal de um hacker pode chegar a R$ 265 mil.
Mesmo que o ganho monetário direto do hacker com cada site invadido não seja alto, o grande volume de sites hackeados, a rapidez e a facilidade dos ataques faz com que eles sejam rentáveis. O hacker pode lucrar com a venda de informações ou com a utilização dos recursos do servidor do site ou da empresa invadida.
Outra modalidade de ataque que vem se popularizando no Brasil é o roubo ou sequestro de domínio. No site Registro.br, o hacker pode facilmente ter acesso ao e-mail do proprietário do domínio, já que este banco de dados é público.
O e-mail então é hackeado e a propriedade do registro é alterada. Os ladrões podem entrar em contato pedindo um resgate, desviar o tráfego para outros sites ou usá-lo para ganhar com anúncios que pagam por clique. Empresas e organizações dos mais diversos tipos e tamanhos são alvo.
Ou seja, os tempos em que os ataques de hackers eram incomuns e só aconteciam com grandes empresas acabaram. Em vez disso, hackear sites de pequenas e médias empresas tornou-se um ambiente lucrativo para muitas pessoas com algum conhecimento de tecnologia.
Todos os dias surgem notícias sobre novas vulnerabilidades que foram descobertas e deixaram milhões de sites expostos a ataques hacker.
No caso de sites WordPress, dados do WPScan sobre as vulnerabilidades mais exploradas pelos hackers indicam Cross-site Scripting (XSS) e injeção de SQL. Elas respondem por mais da metade de todas as invasões.
Segundo a Patchstack, ferramenta de proteção de sites WordPress, XSS é a técnica de hacking de sites mais comum para WordPress.
Já o último levantamento da Accenture sobre o custo do cibercrime no mundo aponta que os ataques hackers que geram maiores prejuízos são os malwares. A seguir veremos o que significam algumas dessas expressões.
Os ataques de XSS visam o código de uma página da web que é executado no navegador do usuário, ao invés de no servidor. O hacker insere scripts maliciosos no navegador desses usuários. A maioria tem como objetivo coletar dados pessoais, redirecionar as vítimas para sites controlados pelo hacker ou fazer com que o computador do usuário execute operações comandadas pelo atacante.
A maioria dos sites usa Structured Query Language (SQL) para interagir com bancos de dados. O SQL permite que o site crie, recupere, atualize e exclua registros do banco de dados. Ele é usado para tudo, desde o login de um usuário no site até o armazenamento de detalhes de uma transação de comércio eletrônico. Nesse tipo de ataque oculto, o cibercriminoso insere um código SQL malicioso para violar as medidas de segurança e acessar dados protegidos. Uma vez instalado, ele pode controlar o banco de dados do site e sequestrar informações dos usuários.
Malware é um termo genérico para qualquer tipo de “malicious software” (“software malicioso”). Eles são projetados para se infiltrar no dispositivo do visitante do site sem o conhecimento dele. Podem causar prejuízos, danificar sistemas, interceptar dados ou simplesmente irritar o usuário. Adware, spyware, vírus, botnets, cavalos de Troia, worms, rootkits e ransomware - todos se enquadram na definição de malware. Independentemente do tipo, todo malware segue o mesmo padrão básico: o usuário, sem querer, baixa ou instala o malware, que infecta o dispositivo. O site tem seu SEO prejudicado e pode ser removido dos resultados da busca do Google se estiver infectado.
Um ataque DDoS pode travar completamente o site ou torná-lo extremamente lento. Isso acontece por meio de uma rede — chamada de zumbi — com computadores que já estão infectados e se conectam ao hacker mestre. O uso de uma CDN (Rede de Entrega de Conteúdo) configurada corretamente pode melhorar a segurança do site e evitar esse tipo de ataque.
Nesse tipo de malware, os hackers usam brechas para obter acesso ao site. Um bom exemplo são os plugins instalados em sites WordPress e que se encontram desatualizados. Caso encontre alguma vulnerabilidade no sistema, o malware informa a “porta” disponível. O hacker pode então acessar todos os arquivos no servidor.
Imagine essa situação: você está navegando tranquilamente pela internet e, quando acessa o site de um dos clientes da sua agência, depara-se com uma página inicial diferente. Em vez do conteúdo, encontro uma mensagem indicando que o site foi invadido. Ou propaganda de viagra. É isso que os especialistas chamam de defacement ou deface. Ocorre quando o hacker substitui o conteúdo do site por conteúdo malicioso. O mais comum é que o invasor não acesse a base de dados nem derrube o servidor ou sequestre as máquinas responsáveis. Mas os prejuízos para a imagem da marca e a credibilidade da empresa são grandes.
Parágrafo Novo
Ver uma longa lista de medidas de segurança para proteger sites de hackers pode ser assustador e desanimador. O mais importante é ter consciência da dimensão do problema e agir de forma preventiva.
Comece com as ações abaixo para oferecer uma proteção básica para os seus clientes.
Uma boa hospedagem é fundamental para garantir que os sites não fiquem fora do ar e para protegê-los de ataques hacker. Inclua nos pacotes backups e recuperação. Caso o site seja atacado, você poderá retomar a última versão. Custa muito menos do que perder negócios ou ter que consertar os sites.
O certificado Secure Sockets Layer (SSL) é um protocolo de segurança que criptografa todas as comunicações de e para um site. A instalação de um garantirá que, mesmo que um hacker intercepte dados do seu site, eles nunca serão capazes de entender o que são esses dados.
Mais de 90% dos hacks em sites WordPress ocorrem porque os hackers identificaram uma vulnerabilidade em um tema ou plugin e a exploraram em vários sites.
Quando as vulnerabilidades são descobertas, principalmente por pesquisadores de segurança, elas são divulgadas ao desenvolvedor do plugin para correções. Os desenvolvedores responsáveis lançarão uma correção e os sites com o plug-in instalado verão que uma versão atualizada do plugin estará disponível em breve.
Assim que a correção for lançada, a vulnerabilidade será divulgada publicamente. Se você foi um dos sites que atualizou o plugin ou tema com a correção de segurança, isso é excelente. Caso contrário, seu site se tornará alvo de hackers amadores (chamados de script kiddies) que desejam ganhar dinheiro rápido.
Portanto, é sempre melhor manter tudo – do WordPress aos plugins – atualizado o tempo todo. Também é importante ficar atento na hora de escolher os plugins. Alguns desenvolvedores simplesmente "aposentam" o plugin e não dão mais manutenção, ficando a cargo do dono do site achar outra solução ou viver com o problema.
Fazer backups é possivelmente uma das táticas mais subestimadas que você pode aplicar. Sempre faça backups diários para que você possa restaurar rapidamente um site no caso de uma falha catastrófica.
Escolha um bom plugin de backup que seja confiável, porque os backups manuais são difíceis de executar corretamente sem um conhecimento considerável.
Muitos sites construídos com WordPress são invadidos simplesmente porque a senha é fraca. Os hackers têm listas dessas senhas e as utilizam para lançar ataques de força bruta conhecidos como "ataque dicionário".
Um dos grandes diferenciais do Mobsite é garantir praticamente todas as boas práticas de segurança que vimos acima de forma automática. A plataforma é especializada na criação de sites em escala e é usada por mais de 18 mil agências e plataformas SaaS em todo o mundo.
Todos os websites do Mobsite são hospedados na Amazon Web Services (AWS), uma das soluções na nuvem mais confiáveis e seguras do segmento. Não há limitações de largura banda ou armazenamento. Nossos clientes também contam com criptografia SSL que é renovada automaticamente para todos os sites criados na plataforma.
Mas o que isso significa na prática?
Por isso, nós podemos te ajudar com sites seguros e confiáveis, reduzindo os problemas com vulnerabilidades de segurança, atualizações de plugins e manutenções tediosas de infraestrutura. A plataforma é estável, segura e transparente.
Você ainda não conhece o Mobsite? Faça um teste grátis agora ou converse com nossos especialistas!
Gostaria de realizar uma requisição relacionada à Lei Geral de Proteção de Dados Pessoais - LGPD?
Entre em contato com a Gálata.
Enviar Mensagem
Mobsite é marca registrada da Gálata Tecnologia Ltda.
CNPJ 26.735.408/0001-03 | Rua Virgílio Malta, 17-76, Vila Mesquita, 17014-440, Bauru, SP.
Desenvolvido por Mobsite - Tecnologia para sites ©