Já realizei diversas compras pela internet, inclusive de sites absolutamente desconhecidos, o que me rendeu uma certa experiência em identificar golpistas.

A última experiência desagradável foi escapar de um golpe praticado por estelionatários que conseguiram se cadastrar no Buscapé, chegando a ostentar a condição de “loja ouro” (ou seja, uma loja “confiável”). Por muito pouco não perdi o dinheiro, graças a uma das dicas que passarei a seguir:

1. O primeiro passo que sempre aconselho é pesquisar em sites de comparação de preços, onde é possível saber a reputação da loja virtual como Buscapé, Cata Preço, Bondfaro, etc.
   Verifique as qualificações da loja (é loja reconhecida pelo e-bit? é empresa reconhecida pelo buscapé? Verifique a avaliação da loja)
2. Ao decidir pela loja, é hora de investigar os dados de registro desse site
   Está em nome de quem? Pertence a uma pessoa física ou pessoa jurídica? O e-mail de contato indicado no registro confere com o listado no site? Tudo isso você pode verificar em sites que oferecem o serviço “whois”, a exemplo do site Registro.br que é usado para sites com endereço .com.br
3. Você procurou o serviço “whois” e viu que a Loja está registrada sob o CNPJ n.º 11.111.111/1111-11.
   Como saber se esse CNPJ existe mesmo e se pertence à tal empresa?
   É bem simples: vá ao site da Receita Federal e consulte o comprovante de CNPJ da loja.
   Caso o CNPJ indicado exista realmente, no site da Receita você terá acesso ao cadastro da empresa, podendo ver informações como o endereço, ramo de atividade, data de abertura e se a empresa está ativa ou inativa.
   Prefira lojas que existem há vários anos, que comercializa objetos tanto virtualmente quanto fisicamente e que possui sede no endereço informado no site da loja.
4. A empresa pode não ser golpe / fraude, mas ainda assim é possível que você passe por contratempo com a entrega. Para certificar que será bem atendido em caso de problemas com a entrega, observe se o site da empresa a ser contratada apresenta claramente formas alternativas de contato (telefone de atendimento) para esclarecer dúvidas dos clientes e entre em contato simulando o cancelamento de uma compra. Dessa forma é possível identificar a eficiência no atendimento ao cliente no caso de problemas.
5. Você se certificou de que a empresa realmente existe e aparenta ter credibilidade.
   Para ficar mais seguro, você pode procurar os serviços de sites que recebem reclamações de consumidores.
   como Reclame Aqui e Confiômetro.
6. Prefira empresas que atuam sem restrições a meios de pagamento (cartões de credito, boletos, etc). Caso o estabelecimento somente aceite depósito em conta, desconfie. Se além disso, os dados da conta de depósito não corresponderem aos da empresa, a desconfiança deve ser maior.
7. Se o produto tiver valor alto, é melhor comprar através do cartão de crédito, de preferência em várias prestações, ao invés de pagar o valor à vista através de depósito bancário.
   Caso se confirme que sua compra foi em uma loja não idônea, entre em contato com a empresa (por e-mail e telefone ao mesmo tempo) seja incisivo solicitando o estorno imediato.
   Prepare uma petição para dar entrada no Juizado Especial, requerendo por liminar o cancelamento da cobrança da fatura.
   Quando se compra com cartão de crédito, há a chance de sustar a cobrança das parcelas na Justiça, evitando assim um prejuízo maior.
8. Segundo a Lei 8.078/90 (Código de Defesa do Consumidor), todos os produtos comprados fora do estabelecimento comercial tem prazo de 7 dias para serem trocados em caso de insatisfação, 7 dias a partir do recebimento em sua residência por transportadora ou pelos correios.

E se você tem alguma outra dica, ajude outras pessoas sugirindo aqui.

Por outro lado, há mais coisas a serem ditas aos clientes de lojas virtuais e por isso achei importante dar mais ênfase a este assunto.

Relatórios de falhas de segurança nos sistemas de empresas de comércio eletrônico poderiam
convencer até a pessoa mais racional de que ladrões estão em todo canto da Internet, esperando para roubar números de cartões de crédito, dados pessoais e outras informações de consumidores.

Mas, como qualquer especialista em segurança na Internet irá dizer-lhe, o comércio eletrônico normalmente é muito mais seguro que os comércios do mundo real.
Por exemplo, quando você entrega seu cartão de crédito em um restaurante ou posto de gasolina,  você está aceitando o risco de que coisas que você não comprou apareçam no próximo mês da sua fatura.
No entanto, quando você digita um número de cartão de crédito em um site respeitável de comércio eletrônico, você está enviando-o através de uma transação segura que está acessível apenas ao pessoal autorizado e protegido até mesmo contra os intrusos mais determinados.

As pequenas empresas muitas vezes terceirizam seus sistemas de loja virtual e muitos pequenos empresários não sabem, nem se preocupam, com a tecnologia de segurança de sua loja virtual.
Quando os clientes começam a fazer perguntas, no entanto, é melhor saber as respostas antes que eles decidam comprar em outro lugar.

Aqui estão algumas das mais freqüentes questões de segurança em lojas virtuais:

• Hackers podem interceptar um número de cartão de crédito do cliente na internet?

  Um sistema corretamente configurado torna quase impossível de roubar um número de cartão de crédito do cliente. O navegador do cliente utiliza uma conexão segura para camuflar seu número de cartão de crédito e outras informações antes destes dados serem enviados à loja. Somente depois de chegar ao seu destino que esses dados são descamuflados.
  Assim, mesmo que hackers interceptem a messagem no meio do caminho, eles não tem como ler.

• E sobre as falhas em sistemas de lojas virtuais que são relatados pela mídia eventualmente?

  Esses são problemas reais, às vezes grave o suficiente para comprometer um sistema de e-commerce. Quase todas essas falhas, no entanto, exigem conhecimento extremamente avançado.
  A maioria delas, na verdade, são descobertas por pesquisadores que relatam os problemas para as empresas de software antes de aparecer na imprensa.
  Bons fornecedores de solução para loja virtual monitoram cuidadosamente os últimos bugs e falhas de segurança, e corrigem eventuais problemas antes que um intruso tenha a chance de explorá-los.

• Quer dizer que alguns sites de comércio eletrônico podem deixar passar estas falhas de segurança ou mesmo nem saber que elas existem?

  Isso pode ser verdade – a segurança de computadores e sistemas online exigem uma vigilância constante e os administradores devem saber sobre os problemas potenciais e as formas de corrigi-los.
  Por isso é importante para uma empresa utilizar um bem conceituado e experiente provedor de hospedagem e desenvolvedor de loja virtual.
  As pequenas empresas não têm a perícia e ‘know-how’ para lidar com esses problemas por conta própria, e fazendo isto por conta própria estão correndo sérios riscos de terem prejuízos em seu bolso e no de seus clientes.

• O que acontece se alguém roubar um número de cartão de crédito do cliente?

  Todas as grandes empresas de cartões de crédito prevêem a mesma proteção dos consumidores que elas oferecem operações normais do cotidiano.
  Na maioria dos casos, isso significa que o consumidor não é responsabilizado por ter seu número roubado, desde que seja constatada a utilização não autorizada de seu cartão.
  As consequências na verdade podem ser muito piores para os negócios de onde o número foi roubado – tais incidentes além de arruinar a reputação da empresa, eventualmente pode expô-lo à responsabilidade legal.
  Esta é mais uma razão por que você deve contratar apenas empresas de comércio eletrônico / loja virtual de confiança.

• Como saber se a empresa que presta serviço de desenvolvimento de loja virtual é confiável?

  1) A empresa possui uma área exclusiva para desenvolvimento das aplicações ou quem desenvolve a loja também trabalha com a parte visual?
  2) A empresa tem conhecimento sobre segurança na Internet e trata isso como prioridade em sua política de implantação?
  3) Como são processadas as transações? Por SSL (informações codificadas) ou sem a proteção de conexões seguras?

Minha dica é essa: Fique de olho e procure sempre especilistas.

A violação dos dados do titular do cartão de crédito pode resultar em processos caros e muitos esforços para reparação dos danos causados e evidentemente que qualquer lojista quer evitar esse tipo de dor de cabeça a qualquer custo.

O fato é que este tipo de problema acabou por incentivar o surgimento de processadoras terceirizadas de pagamento. Os chamados “Gateways de pagamento”.

Com eles, toda a transação de pagamento é intermediada por eles, fazendo com que toda a parte de tecnologia saia das mãos do empresário dono de loja virtual. Para muitos sites de comércio eletrônico esta acabou sendo a maneira mais simples de lidar com essas situações.

Por outro lado, essas empresas cobram taxas que algumas vezes espremem as margens de lucro ou obrigam o aumento de preços do produtos.

Abaixo listo alguns dos fatos que esclarecem um pouco o motivo dos problemas de roubo de dados de clientes:

Armazenamento impróprio

Vários sites mantém armazenado em seus banco de dados informações do cartão de crédito do cliente por tempo além do necessário.

Mesmo tendo sistemas anti-hacker que mantém o site seguro, esses dados podem ser roubados por qualquer pessoa (funcionários, contratados, de limpeza e construção de apoiar as pessoas, por exemplo) que tenha acesso ao seu servidor.

A informação do cartão é necessária apenas para se concretizar o pagamento junto às operadoras, logo, após a transação estar completa, é preciso excluir esses dados da loja. Durante todo o tempo que o dado permanecer na loja, é preciso mantê-lo criptografado.

Transações inseguras

Sem protocolo SSL, os dados transmitidos entre seu site e o cliente são enviados em texto aberto, que é facilmente legíveis por ladrões.

As informações como números de cartões de crédito, código de verificação, data de vencimento, endereços e nomes podem ser interceptados por um ladrão.

Essas informações são especialmente fáceis de serem interceptadas locais com acesso sem fio, tais como cafés e aeroportos.

Usando o SSL, as transações do seu site serão codificadas de modo a serem incompreensíveis para os ladrões.

SQL Injections (ataques por comando SQL)

Ao adicionar ou modificar as URLs que são usadas em várias páginas de sua loja virtual, um usuário mal-intencionado tentará obter informações de cartão de crédito (ou outras informações pessoais) diretamente de seu banco de dados.

Para proteger contra este tipo de ataque, é preciso trabalhar estreitamente com o fornecedor do sistema de loja virtual para obter atualizações de segurança.

Existem ferramentas para teste de sistema, tais como Wikto ou com a SQLMap (ferramentas gratuitas) que ajudam a detectar se o seu banco de dados está vulnerável.

Geralmente, todas as instruções SQL no código devem ser escritas de tal forma a ignorar uma entrada inesperada.

Ocultar variáveis utilizadas para acessar o banco de dados e utilizando mod-rewrite para reescrever seus URLs é sempre uma boa prática.

Vulnerabilidade de software

Tal como em qualquer outro tipo de software, o programador de software de loja virtual está sujeito a erros.
Esses erros podem permitir a um ladrão ter acesso a números de cartão de crédito falsos ao inserir as informações em formulários, por exemplo.

Manter seu software de loja virtual atualizado é fundamental.
Também existem ferramentas gratuitas para detectar vulnerabilidades. Essas ferramentas incluem Wikto e Nessus, e eles podem ajudar a identificar uma série de vulnerabilidades.

Spam/Phishing

Um phishing por email pode ser parecido com um e-mail verdadeiro da sua empresa instruindo as pessoas a clicar em um link para atualizar suas informações pessoais.

O link na verdade leva a uma página falsa que permite aos ladrões coletarem números de cartões de crédito e outras informações.
Muitos desses e-mails parecem tão reais que até mesmo usuários experientes de Internet acabam sendo enganados por eles.

Este é um problema difícil de resolver, mas certifique-se de seus clientes saibam que você nunca irá solicitar suas informações via e-mail.

Para obter segurança adicional, certificados SSL permitem que os clientes confirmem que estão visitando o site correto e não um falso.

Servidor com falha de segurança

Servidores que não sejam monitorados de forma regular e atualizada podem ser sujeitos à violações de segurança.

Ladrões executam varreduras automatizadas no mundo inteiro à procura de servidores de Internet que podem ser violados.

Certifique-se que seu servidor de hospedagem tem boas políticas administrativas e acordos de nível de serviço para garantir a segurança do serviço.

Se você está hospedando o seu próprio sistema, certifique-se de quem está no comando do servidor está atento aos alertas de segurança e de lançamentos para o sistema operacional e todos os aplicativos.

Backups

Backups são garantias contra falhas nos servidores, mas muitas vezes se esquece o que todos os dados que estão armazenados no seu site também estão no seus backups.

Às vezes backups são mantidos no mesmo servidor que seu site.

Se um ladrão tem acesso ao seu servidor, eles podem roubar números de cartão de crédito de backup ao invés de procurá-los no seu site.

Proteja os dados dos clientes através de criptografia e armazenamento em local separado.

Proteger a sí mesmo

Estar consciente dos potenciais problemas de segurança é a sua melhor defesa.

Se você não tem tempo para acompanhar, considere ter um consultor de segurança para verificar constantemente seu site.