11 amenintari de securitate care vizeaza magazinele de comert electronic si cum sa le evitati

Veniturile si succesul fara precedent al magazinelor online atrag si o  atentie nedorita;  infractorii cibernetici devin tot mai priceputi si organizati in fiecare zi. Sondajul Global Information Security Survey realizat de Ernst and Young in 2021 a chestionat companiile digitale din intreaga lume si a constatat ca 77% dintre respondenti au inregistrat o crestere a numarului de atacuri online in ultimul an (fata de 59% in 2020). Este important de retinut ca toti comerciantii cu amanuntul online sunt expusi riscului, indiferent de dimensiunea afacerii si de serviciile sau produsele vandute. Atacurile cibernetice nu fac discriminari. Daca infractorii gasesc o cale de intrare, vor culege roadele. Iata de ce, am intocmit in continuare o lista a principalelor amenintari de securitate care vizeaza magazinele de comert electronic si posibile solutii la acestea.

Mai intai insa, sa vedem ce este securitatea e-commerce si cine este responsabil pentru asigurarea acesteia.

Ce este securitatea e-commerce?

Securitatea comertului electronic este un amestec de metode si protocoale care au ca scop protejarea persoanelor care cumpara sau vand bunuri si servicii online. Toate acestea se asigura ca tranzactiile digitale raman sigure si private.

Practicile de securitate pentru comertul electronic va protejeaza afacerea si datele care apartin clientilor dvs.

Cine este responsabil pentru asigurarea securitatii unui magazin online?

Indiferent daca este vorba de un manager de comert electronic, de un responsabil cu securitatea, de un furnizor de solutii de securitate sau de o companie de securitate dedicata, este important sa desemnati o parte responsabila pentru securitatea comertului dvs. electronic. Solutia de gazduire web pe care o alegeti (un exemplu aici) este extrem de importanta deoarece protectia magazinului dvs. se realizeaza atat la nivelul websitului cat si la nivelul infrastructurii furnizorului de gazduire.

Securitatea comertului electronic ar trebui sa fie o activitate constanta in desfasurare, o prioritate de top si un efort continuu. Daca aveti de a face cu o problema de securitate majora si chiar  cu o investigatie, veti dori sa aratati ca ati facut tot ce a depins de dvs. pentru a va proteja datele cu buna-credinta. Nu numai ca astfel de atacuri vor cauza pierderi de venituri  insa va avea de suferit si reputatia companiei dvs.

Prin urmare, un magazin de comert electronic ar trebui sa implementeze masuri si instrumente de securitate robuste pentru a preveni atacurile si sa aiba o persoana/entitate desemnata in acest scop.

Amenintari de securitate care vizeaza magazinele de comert electronic si posibile solutii la acestea

1. E-SKIMMING

Acest risc (cunoscut si ca atac de tip „Magecart”) implica un actor rau intentionat care injecteaza software rau intentionat in pagina de plata a unui site de comert electronic, in efortul de a intercepta datele sensibile in timp real, inclusiv datele personale si ale cardurilor de credit apartinand clientilor.

Acest tip de atac poate aduce daune repetate unei afaceri, deoarece recastigarea increderii clientilor dupa o incalcare a datelor este o sarcina dificila.

Posibile solutii: Clientii pot preveni amenintarea de tip e-skimming prin:

  • Utilizarea unui card de credit virtual care creeaza un numar unic de card de credit pentru anumite tranzactii
  • Activarea alertelor de tranzactii pe toate cardurile bancare pentru a primi alerte instantanee de la banca in caz de frauda
  • Monitorizarea regulata a extraselor cardului de credit si a extraselor bancare pentru a detecta orice activitate de frauda
  • Activarea autentificarii cu doi factori pentru toate dispozitivele
  • Utilizarea unei parole unice pentru fiecare magazin online pentru a evita piratarea mai multor conturi personale si sociale

Companiile pot preveni aceste amenintari prin:

  • Actualizarea sistemelor la cele mai recente software, aplicand patch-uri de securitate si utilizand firewall-uri puternice. Utilizarea de software anti-malware si anti-virus actualizat.
  • Schimbarea datelor implicite de autentificare pe toate sistemele
  • Educarea angajatilor cu privire la bunele practici de securitate (sa nu dea click pe linkuri sau atasamente din mesaje)
  • Segregarea si segmentarea sistemelor de retea pentru a limita usurinta cu care infractorii cibernetici se pot muta de la unul la altul
  • Monitorizarea si analiza jurnalelor web (log-urilor)
  • Verificarea regulate ale codului JavaScript pe paginile web ale companiei pentru a cauta modificari
  • Respectarea conformitatii cu PCI DSS – Standardul de securitate a datelor (DSS) din Industria Platilor cu cardul

2. MALWARE

„Malware” se refera la o serie de programe diferite care sunt toate concepute pentru a ataca magazinul dvs. online in moduri diferite. Infractorii online injecteaza programe rau intentionate in site-ul si/sau sistemele dvs. fara stirea sau acordul dvs., cu scopul de a fura date private de la dvs. si de la clienti. Programele malware includ software si programe precum:

  • Virusi– Infecteaza si se disperseaza prin fisiere si programe cu scopul de a deteriora, corupe sau distruge datele.
  • Ransomware– Blocheaza performanta magazinului sau a sistemelor dvs. online, de obicei pana cand infractorii responsabili de schema primesc o plata de rascumparare.

Posibile solutii: In cazul malware-ului, comerciantii digitali vor descoperi ca cea mai buna aparare este ofensa: monitorizarea sau un scaner de malware va detecta majoritatea incercarilor de a va incalca sistemele.

3. BACKDOOR

Termenul „backdoor” se aplica accesului neautorizat realizat de o persoana care ocoleste protocoalele obisnuite de securitate si obtine acces la nivel inalt la sistemul, reteaua sau aplicatia software.

In unele cazuri, autorii de software includ aceste „backdoors” in mod intentionat, ca o modalitate de a-si accesa propriul software atunci cand ofera asistenta clientilor care au pierdut accesul la conturile lor sau care se confrunta cu probleme de software. Totusi, daca infractorii cibernetici gasesc si obtin acces neautorizat la acestea, le pot folosi pentru a ocoli cu usurinta procesul de autentificare al magazinului dvs. online si pentru a va fura datele sensibile.

Backdoor malware sau „troienii” creeaza de fapt portite de intrare in sistemele pe care le infiltreaza. Scopul lor principal este sa deschida literalmente o „usa din spate” catre software-ul sau sistemul dvs. pe care sa le foloseasca pentru a obtine acces.

Posibile solutii: Exista o serie de metode pentru a va proteja impotriva acestor tipuri de atacuri.

  • in primul rand, consolidati-va securitatea parolei, asigurandu-va ca parolele dvs. indeplinesc standardele de securitate obligatorii.
  • in al doilea rand, verificati cu atentie orice extensii sau pluginuri terta parte inainte de a le permite angajatilor sa le foloseasca.
  • in al treilea rand, utilizati un WAF (web application firewall) pentru a va monitoriza activitatea in retea pentru orice comportament suspect. Un scanner de programe malware poate ajuta impotriva accesului troienilor la sistemul dvs.

4. BOTS

Infractorii cibernetici utilizeaza roboti rau intentionati pentru a colecta informatii din magazinul dvs. online, legate de inventar sau preturi. Acestia utilizeaza adesea robotii pentru a instala malware sau chiar pentru a conduce campanii de tip phishing targetate.

Posibile solutii: Instalati un software de gestionare a robotilor sau CAPTCHA in magazinul dvs. online, astfel incat robotii sa nu poata inregistra conturi.

5. VULNERABILITATI

O vulnerabilitate se refera la o slabiciune a sistemului sau a aplicatiei dvs. care rezulta adesea dintr-un design defectuos sau dintr-o eroare care a aparut in timpul implementarii. Infractorii cibernetici cauta vulnerabilitati pe care le pot exploata in propriile lor scopuri rau intentionate. Vulnerabilitatile pot include:

  • SQL injection– un infractor online obtine acces neautorizat la formularele de trimitere a interogarilor pentru a putea accesa baza de date. De acolo, injecteaza baza de date cu cod rau intentionat si va sterge datele.
  • Cross-site Scripting (XSS)– infractorii cibernetici injecteaza cod JavaScript rau intentionat in magazinul dvs. online pentru a fura cookie-urile clientilor.

Posibile solutii: Monitorizarea incalcarii datelor si o politica de securitate a continutului aplicata corespunzator vor ajuta la prevenirea unor astfel de atacuri. In plus, utilizati un serviciu de testare de penetrare pentru a intelege vulnerabilitatile existente in sistemul dvs. si cum sa le remediati inainte ca infractorii cibernetici sa aiba sansa de a le gasi.

6. ATACURI DE TIP DOS si DDOS

„DoS” se refera la Denial of Service, un concept care descrie prevenirea accesului la un serviciu sau oprirea completa a serviciului. Cand un client cauta un produs in magazinul dvs. online, sistemul ajunge la baza de date care contine date despre produse. Sistemul returneaza apoi clientului rezultatul cautarii. Daca un criminal cibernetic descopera o slabiciune in sistemul dvs. care ii permite sa faca cererea de cautare sa dureze mai mult, atunci poate executa aceeasi cerere de mii de ori, blocand in consecinta baza de date. Drept urmare, toti clientii dvs. legitimi trebuie sa astepte pana cand baza de date proceseaza miile de solicitari inainte de a putea primi rezultatele lor. Un atac DoS este un atac individual care exploateaza o vulnerabilitate si o foloseste pentru a degrada functionalitatea site-ului dvs.

„DDoS” sau un atac “Distributed Denial of Service” este un atac DoS la o scara mult mai mare, ceea ce inseamna ca atacatorii executa atacul folosind mai multe entitati (device-uri). Un infractor efectueaza de obicei un atac DDoS cu ajutorul mai multor computere, de multe ori de la sute sau mii de gazde care contin malware. Acesti infractori online pot cumpara de pe piata neagra servicii DDoS si botnet-uri (calculatoare controlate de la distanta) cu adrese IP dificil de urmarit si apoi pot instrui robotii sa atace un anumit site web. Atacul poate cauza blocarea site-ului vizat, in functie de resursele si latimea de banda detinute.

Timpul de nefunctionare al magazinului dvs. de comert electronic va poate lasa sistemul deschis la alte atacuri, pierderi de profit si daune de durata aduse reputatiei marcii dvs. Hackerii din spatele atacurilor DDoS cer in general o rascumparare in schimbul incetarii atacului.

Posibile solutii: Combateti atacurile DDoS monitorizandu-va request-urile primite, traficul de pe serverele dvs. si asigurati-va ca supravegheati mediile cloud atat virtuale, cat si fizice. Blocarea anomaliilor de trafic va ajuta la prevenirea unei avalanse de solicitari. De asemenea, recomandam implementarea unui plan de recuperare in urma unui atac DDoS care include monitorizarea, testarea si combaterea.

7. ATACURI de tip BRUTE FORCE

Infractorii cibernetici folosesc forta bruta pentru a va ataca sistemul „ghicindu-va” parola de administrator. Sistemele automate va „sparg” parola incercand mii de combinatii diferite pana cand o gasesc pe cea corecta.

Posibile solutii: Iata de ce parolele de utilizator trebuie sa fie selectate si gestionate conform celor mai bune practici de securitate. Este o masura  simplu de pus in practica.

8. ATACURI de tip MAN-IN-THE-MIDDLE

Hackerii intercepteaza si monitorizeaza interactiunile dintre site-ul dvs. si cumparatorii dvs. Infractorii cibernetici pot identifica cu usurinta un client folosind o retea WiFi compromisa si pot trece la actiune.

Posibile solutii: Blocati utilizatorii neautorizati sa intre in reteaua dvs. pe baza proximitatii lor prin implementarea unui instrument de criptare in punctele dvs. de acces wireless. Un instrument de criptare robust ii impiedica pe actorii rai sa foloseasca forta bruta pentru a sparge reteaua dvs. si pentru a efectua un atac de tip Man-in-the-Middle.

9. SCRAPING

Scraping-ul are loc atunci cand infractorii cibernetici fura date care expun valori interne importante pe care companiile incearca sa le pastreze private fata de concurenti. Astfel de informatii pot include liste de preturi, inventar, strategie de afaceri, cercetare de piata si indicatori cheie de performanta. Actorii rai folosesc adesea boti pentru scraping, dar atacatorii umani pot efectua scraping si manual.

Posibile solutii: inca o data, va recomandam sa monitorizati activitatea si traficul magazinului dvs. online. Daca detectati un comportament suspect legat de datele interne private, blocati rapid accesul si corectati imediat vulnerabilitatile cunoscute. Bot management este un alt instrument eficient impotriva atacurilor scraping.

10. FRAUDAREA CARDURILOR BANCARE

Infractorii cibernetici folosesc detaliile cardurilor bancare furate pentru a face achizitii online. Nu este neaparat vorba de un hacker avansat – poate fi cazul unei persoane care fura fizic un card bancar sau foloseste detalii personale furate pentru a solicita un card bancar in numele victimei. Hotii pot obtine acces neautorizat la un cont legitim de pe site-ul dvs., din care pot face achizitii cu detaliile de plata stocate.

Posibile solutii: Pentru a reduce riscul de frauda cu cardul de credit, utilizati un sistem de verificare a adresei impreuna cu plata cu cardul. Implementati cerinte mai stricte pentru parole pentru clientii dvs. Faceti autentificarea in doi pasi obligatorie pentru  clientii dvs.  Stabiliti masuri de securitate suplimentare in jurul protocoalelor dvs. de plata, cum ar fi solicitarea CVV-ului cardului de credit al cumparatorului si asigurati-va ca aceste date nu sunt stocate in contul clientului la dvs.

11. PHISHING

Phishing-ul are loc atunci cand hackerii folosesc metode de inginerie sociala pentru a colecta date de la clientii dvs. sau pentru a obtine acces la spatiul dvs. virtual sau fizic. Acestia pot contacta telefonic sau pe email clientii dvs., prezentandu-se drept angajati ai companiei dvs., cum ar fi un e-mail prin care le solicita clientilor sa-si actualizeze detaliile parolei. Metodele de phishing pot fi tintite sau generale. In varianta tintita, numita adesea „spear phishing”, hackerul se prezinta ca cineva pe care victima il cunoaste. In cazul variantei generale, atacatorul se preface a fi un reprezentant aleatoriu al companiei dvs.

Posibile solutii: Pentru a preveni atacurile de tip phishing, instruiti angajatii sa verifice e-mailurile pe care le primesc cu atentie. Repetati clientilor dvs. datele pe care nu le-ati cere niciodata prin telefon sau prin e-mail pentru a-i proteja atunci cand cumpara de la dvs.

Concluzie

Desi toate aceste sfaturi de aplicat pot parea o sarcina descurajanta, luati in considerare ca multe companii de comert electronic sunt in urma in ceea ce priveste securitatea. Studiul Ernst and Young mentionat la inceputul acestui articol releva faptul ca doar 46% dintre companiile chestionate au incredere in intelegerea si anticiparea atacurilor cibernetice in prezent.

Asigurati planul de securitate al magazinului dvs. online

Intocmirea unui plan de securitate a retelelor pentru afaceri poate parea un proces dificil insa pe termen lung beneficiile vor depasi eforturile depuse. Dupa ce aveti protocoale corecte in vigoare, mentinerea securitatii retelelor va fi mai simpla si va evolua in timp.

Cu ajutorul unor companii terte, veti putea duce securitatea cibernetica a companiei dvs. si mai departe. Asa ca faceti aceasta investitie mica si veti culege roadele pe termen lung, mai ales cand va puteti apara chiar si de cele mai urate dintre atacurile sus-mentionate.

Leave a Reply

Your email address will not be published.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.