Популярность онлайн-площадок заметили не только счастливые покупатели и благодарные производители товара. Зона электронной коммерции попала во внимание хакеров: именно сюда сейчас инвестируют большие суммы, которые довольно просто украсть. Достаточно взломать сайт, сеть или компьютерную систему и провести несколько хитромудрых операций.
Как избежать главной угрозы года, если вы владелец бизнеса в сфере ecommerce? Расскажет специалист по in-bound маркетингу компании Techwarn Анастасия Шкуро.
В поле зрения хакеров
Центр стратегических и международных исследований обнародовал отчет, согласно которому в США и Великобритании зафиксировано наибольшее количество кибератак на сферу электронной коммерции в период с 2006 по 2020 годы. За этими странами следуют Индия, Германия и Южная Корея (об этом сообщает Cisomag Eccouncil).
В свете этих событий каждой организации, которая занимается ecommerce, крайне важно следовать международному Общему регламенту по защите данных GDPR. Желательно также разработать собственный протокол.
Почему электронная коммерция привлекает хакеров? Есть несколько причин.
1. Во многих компаниях (особенно это касается малого бизнеса) нет отдела информационной безопасности. Соответственно, не применяются меры защиты от кибератак, а сотрудники порой не видят ничего страшного в том, чтобы отправлять финансовую информацию, подключившись к публичному Wi-Fi соединению без VPN.
2. Более серьезные организации работают с большими данными, которые поступают из многочисленных каналов, и их происхождение (равно как и наличие вирусов) сложно отследить.
3. Сайты, работающие в сфере электронной коммерции, напрямую подключаются к платежным платформам. Обнаружив на сайте уязвимость и использовав ее в качестве эксплойта, хакер может перепрограммировать сайт таким образом, чтобы деньги клиентов поступали не на диджитал-кошелек бизнесмена, а на карту мошенника. В результате страдает репутация компании, ведь недовольные клиенты просят вернуть деньги или выслать товар, хотя бренд, по сути, не получил оплату.
Из-за таких ситуаций покупатели, даже добившись возмещения ущерба, прекращают работать с такой организацией и переходят к ее более безопасным конкурентам. Но это еще полбеды. Нормы GDPR требуют от коммерческих организаций, чтобы те внедряли достойные меры защиты, и несоблюдение таковых приводит к огромным штрафам. В итоге бренд вынужден не только выплачивать клиентам большие суммы, но и сталкивается с неумолимым законодательством.
Киберпреступность в сфере ecommerce
В сфере электронной коммерции, как правило, встречаются такие киберпреступления:
-
межсайтовый скриптинг (XSS);
-
электронный скимминг;
-
DDoS-атаки.
Межсайтовый скриптинг
Киберпреступник добавляет код с вирусом на веб-страницу, а затем код переходит в браузер, причиняя вред пользователю. По сути, в 99% случаев код написан на языке программирования JavaScript. Обычно страница является уязвимой, когда форма с комментариями позволяет любому пользователю добавить HTML, и хакер под видом покупателя в интернет-магазине может опубликовать сообщение на сайте с вирусным кодом через скрипт-тег.
Таким образом браузер запускает JavaScript, который, в свою очередь, крадет данные пользователя. Хакер может поменять адрес доставки или воспользоваться карточкой пользователя для заказа товаров. Самое неприятное в этом случае, что когда хакер входит в систему, его очень сложно отличить от обыкновенного пользователя.
DDoS-атака
DDoS-атака — это киберпреступление с целью довести систему до отказа. Эту разновидность онлайн-нападений используют, если хотят вывести интернет-магазин из строя в буквальном смысле. Сайт становится недоступным для покупателей, потому что хакеры «бомбардируют» его вирусным трафиком с разнообразных ресурсов.
Пока предприниматель не понимает, что делать, а пользователи уверены, что на сайте проводятся технические работы, киберпреступники получают доступ к важной информации — базам данных, финансовым сведениям. DDoS-атаки считаются одним из самых разрушительных орудий киберпреступников, ведь они уничтожают всю сеть. Да и определить, что это именно DDoS-атака, довольно сложно: со стороны может показаться, что на сайте неполадки с интернет-соединением.
Электронный скимминг
Хакер взламывает банковскую сеть и перепрограммирует банкоматы таким образом, чтобы они считывали данные карточек, создавали копию, и в дальнейшем хакер совершал покупки с карты жертвы скимминга. Однако непосредственно в сфере электронной коммерции под скиммингом подразумевается нечто другое.
Киберпреступники вводят скимминг-код на веб-страницу интернет-магазина, на которой проводят платежи и оплачивают товар. Хакер контролирует банковские данные и персональную информацию, переправляя украденные сведения на домен, находящийся во власти онлайн-мошенников. Обычно хакеры пользуются уязвимостями на сайте, созданном на базе платформы для eсommerce, либо взламывают сеть через фишинговые электронные письма или посредством брутфорса (подбора логинов и паролей).
Больше всего скиммингу подвержены интернет-магазины, которые работают в сфере ритейла, индустрии развлечений или связаны с путешествиями. Кроме того, скимминг часто направлен на продавцов, которые сами не создают продукт, а лишь занимаются его дистрибуцией. Особенно это касается области онлайн-рекламы и веб-аналитики.
Как определить, что интернет-магазин стал жертвой скимминга? На клиентские аккаунты приходят сообщения о подозрительной активности. Появляется новый домен, который отличается от зарегистрированного компанией. Наконец, главный признак скимминга — отредактированный JavaScript код.
Безопасность в ecommerce: как защититься от киберпреступлений?
Вне зависимости от размера бизнеса в сфере eсommerce компанию необходимо защищать. Для этого потребуются общие меры:
-
регулярное обновление программного обеспечения;
-
использование лицензионного антивируса и ПО;
-
мониторинг и анализ веб-логов;
-
инсталляция патчей на платежные платформы.
Кроме того, есть ряд специфических мер, призванных защитить ваш бизнес от происков хакеров. Во-первых, необходимо зашифровать коммерческую информацию, чтобы отслеживать каналы передачи данных. Кроме того, благодаря SSL-сертификатам можно защитить финансовые сведения. Во-вторых, не рекомендуется пользоваться бесплатными плагинами типа WooCommerce, ведь на базе WordPress можно «поймать» вирусные приложения.
Наконец, очень важно проводить регулярный аудит сети, проверять качество паролей на критических точках, а также удалять с сервера ценные данные: например, информацию о кредитных картах покупателей.
Учитывайте эти советы и берегите данные — свои и ваших покупателей. А с продвижением товаров в интернет-магазинах и на маркетплейсах поможет Кактус.
сайта Кибербезопасность Онлайн-
касса Ниша Меню
сайта Конструкторы Юзабилити Новые посты каждый день! Telegram-канал
для селлеров