Как защитить бизнес в интернете от мошенников и хакеров: руководство к действию
Кибератаки в сфере электронной коммерции – не редкость. Пандемия зажгла зеленый свет для компаний, которые давно хотели сосредоточиться на онлайн-торговле. Но и хакеры не дремлют: при наличии продвинутого ПО мошенники осуществляют преступные действия безбоязненно, ведь в сети легко оставаться анонимом. Как обеспечить достойный уровень защиты для онлайн-бизнеса? Поговорим в материале.
Цифры не врут
В 2018 году пресса заговорила о хакерских атаках на сетевые-магазины. Забила тревогу компания Magneto IT Solutions – и очень даже не зря. 29% трафика сайтов содержат потенциальную опасность для eCommerce магазинов. 92,4% вирусных атак происходят, потому что владельцы интернет-бизнеса переходят по вредоносным ссылкам, приходящим на электронную почту. А 50% руководителей небольших фирм признаются, что хакерские атаки становятся все более совершенными.
В основном под удар попадают маленькие компании, 60% из них закрывают бизнес через полгода. Да и в целом лишь 38% организаций способны выжить после хакерской атаки. Сфера электронной коммерции представляет невероятный интерес для мошенников, потому что ее представители оперируют персональными данными клиентов, в частности, деталями банковских карт покупателей. Также хакеры воруют деньги самих компаний и стремятся завладеть доступом к аккаунтам юзеров.
Как хакерские атаки сказались на бизнесе? Accenture Security считает, что дурное влияние неоспоримо: организации потратили $2 613 952 чтобы возобновить деловые процессы в 2018 году. Это на 11% больше, чем расходы на восстановление систем в 2017 году.
В 2019-м ситуация ухудшилась. Эксперты Risk Based Security установили, что киберпреступники завладели бесчисленным количеством логинов, паролей и банковских карт – именно такая информация содержалась в 4,1 млрд аккаунтов, которые попали в «темный веб» в результате утечки данных. Ведь если юзер не знает, как провести тест на утечку DNS, киберпреступники получают доступ ко всей онлайн-активности.
Дальнейшая статистика выглядит так. 85% организаций столкнулись с фишингом и социальной инженерией. С 2019 года «мейнстримом» стали инсайдерские атаки. Что это значит? В каждой компании есть сотрудники, которые либо недовольны руководством, либо занимаются производственным шпионажем, «сливают» информацию. А также произошли мощные атаки с использованием ransomware (программ-вымогателей). Удар пришелся на юристов, медиков, производителей ПО.
Причина взлома банальна. Сотрудники забывают поставить антивирус, проходят по подозрительным ссылкам, сообщают персональные данные непроверенным лицам, не видят смысла делать бэкап – резервное копирование данных.
Герои нашего времени
В последние годы мир и так взбудоражен кибератаками. Но с началом пандемии практически все организации – как торговые, так и финансовые – вышли в сеть, и доля eCommerce на рынке ретейла поднялась до 17% в 2020 году, согласно отчету UNCTAD и eTrade. Как говорится, свято место пусто не бывает. Там, где вращаются деньги, появляются и желающие поживиться за чужой счет. Удивляться нечему: с 2019 по 2020 продажи в электронной коммерции выросли почти на триллион долларов!
Не нужно быть экстрасенсом, чтобы предвидеть, что с учетом нынешних реалий в виде пандемии онлайн-продажи вырастут еще больше. В частности, аналитики Cybervore соглашаются с прогнозом eMarketer, согласно которому к декабрю 2021 американские игроки eCommerce продадут товар онлайн на сумму, превышающую $843,15 млрд.
Но как насчет кибербезопасности? Ведь успех онлайн-магазина зависит не только от качества продукции, но и от безопасного пространства. Увы, большинство представителей электронной коммерции в США не могут похвастаться соблюдение норм ИБ. Исследование компании Cyberpion показало, что 83% организаций технически уязвимы для хакеров.
Рассмотрим каждую проблему и уязвимости детальнее.
Все, что тебе нужно, – это… деньги!
Компания N-iX подсчитала, что к 2023 году мошенничества с использованием CNP (операций без присутствия карты) вырастут на 14%. К указанному периоду владельцы онлайн-магазинов могут суммарно потерять $13 млрд. В нынешнем году сетевое мошенничество приобрело новые очертания.
- «Дружеский фрод» – пользователь делает заказ, оплачивает товар, а затем утверждает, что ему пришла испорченная продукция и требует от банка сделать возврат. Если владелец интернет-магазина не сможет доказать исправность товара, банк удовлетворяет требования клиента. А мошенник, в свою очередь, получает товар бесплатно.
- Триангуляция – аферисты создают интернет-магазин и предлагают приобрести качественный товар по чрезвычайно низким ценам. Обещают отправить продукт сразу после оплаты онлайн. На этой стадии хакер узнает данные кредитной карты клиента. Сообщник мошенника заказывает товар в реальном магазине и отправляет покупателю. А в это же время хакеры покупают дополнительную продукцию для себя, воспользовавшись средствами ни о чем не подозревающего клиента.
- Триангуляция перетекает в так называемое «чистое мошенничество». Хакеры, завладевшие персональными данными чужой кредитной карты, осуществляют оплаты в обход систем аутентификации. Перед тем как совершить покупку, мошенники тестируют карту и узнают как можно больше информации о жертве. Это самый опасный тип финансовых преступлений на сегодняшний день, ведь хакеров найти невозможно, а банк уверен, что все транзакции проводит покупатель.
Как противостоять финансовым атакам?
Конечно, каждый пользователь должен заботиться о собственной безопасности. Но, если ваш сайт взломали хакеры, и из-за этого юзеры потеряли деньги, аудитория обвинит именно компанию. Поэтому владельцам сетевого бизнеса стоит побеспокоиться о соблюдении норм кибербезопасности.
- Внедряйте стандарт PCI, который обеспечивает безопасность собранной информации о кредитных картах.
- Используйте систему адресной верификации, которая сравнивает фактический адрес владельца карты с информацией, сохраненной эмитентом.
- Не забудьте о SSL-сертификате, гарантирующем безопасную коммуникацию на сайте посредством шифрования данных.
- Пользуйтесь безопасными протоколами https, которые защищают клиентские данные.
К счастью, на сегодняшний день появляются алгоритмы искусственного интеллекта и машинного обучения, которые фиксируют проблемы и отправляют уведомления, если что-то идет не так. Эти системы способны идентифицировать фрод и даже отменить транзакцию!
«Код» в мешке
Иногда хакеры встраивают вредоносный код на страницу проведения оплаты на сайте интернет-магазина. Неправильное (но намеренное) перепрограммирование веб-приложений приводит к тому, что мошенник может использовать финансы онлайн-платформы, как ему вздумается. В сфере электронной коммерции отличают следующие киберпреступления с использованием вирусного кода.
- Межсайтовый скриптинг (XSS) – на сервер встраивается вирусный скрипт, который крадет cookies. На деньги пользователей никто не претендует, ведь лакомым кусочком для мошенника являются персональные данные и аккаунты, которые можно продать в «темном вебе».
- SQL-инъекция – встраивание фейкового кода на страницу онлайн-магазина приводит к краже баз данных.
- «Инфицирование» cookie – файлы cookies подвергаются модификации, а хакер получает доступ к несанкционированной информации о пользователях сайта.
- Управление удаленным кодом (Remote Command Execution) – кибератака, во время которой хакер в удаленном режиме отправляет команды на чужое электронное устройство.
- Атака с обходом каталогов (File-Path Traversal) направлена на файлы и директории, которые хранятся в корневой папке веб-приложения.
Защититься от встроенных кодов – в ваших силах!
Обеспечивая меры защиты от хакеров в сфере электронной коммерции, ваша задача – убедиться в том, что веб-приложения настроены правильно.
- Используйте веб-хостинг с надлежащим уровнем защиты на этапе создания собственного сайта.
- Настройте файервол веб-приложений, чтобы определять вредоносные запросы и отвечать на них, избегая рисков. В сфере электронной коммерции актуальным будет шлюз прикладного уровня (Application-level getaway) и прокси-файервол.
- Не пользуйтесь cookies для сохранения персональных данных или сенситивной информации. Всегда зашифровывайте информацию, которая хранится в cookies.
Уйти в отказ
Атака, нацеленная на доведение системы до отказа, более известна под аббревиатурой DDoS. Суть такой атаки – «положить» сервер, то есть, направить на сеть онлайн-магазина столько запросов и трафика, чтобы система не выдержала. Определить DDoS непросто, ведь владелец онлайн-площадки может думать, что у него проблемы с интернетом, а пользователь будет уверен, что из-за технических неполадок не загружается сайт.
Атака выглядит так. На сайт поступает бесконечное число сообщений, фейковых пакетов, месседжей, которые срочно хотят соединиться с онлайн-ресурсом. Иногда на этом этапе мошенники информируют хозяина интернет-магазина, что запустили DDoS. Обещают прекратить атаку, если получат выкуп. Как правило, деньги требуют в криптовалюте, чтобы личность хакеров не удалось вычислить.
Можно ли остановить DDoS-атаку?
От DDoS-атаки никто не застрахован. Но, отследив преступление на начальной стадии и обратившись к киберспециалисту, можно спасти сайт.
Увы, зачастую игроки сферы электронной коммерции до последнего не понимают, что попали в беду. А когда осознают, что с ними случилась атака «доведение системы до отказа», уже поздно. Поэтому лучше всего – сразу же вызывать специалистов из службы мгновенного реагирования на инциденты, если заметите следующие признаки:
- сайт выдает ошибку 503;
- соединение слишком медленное;
- происходит ничем не объяснимый, неадекватный всплеск трафика (имеется в виду, что вы не проводите сумасшедшую распродажу, которая могла бы привлечь такое количество посетителей на ваш сайт).
Атака посредника
Еще одной распространенной атакой является Man in the Middle (дословно – «человек посредине»). Во время общения покупателя с продавцом или поставщиком в беседе появляется третье лицо – некий хакер, о чем, конечно, никто не подозревает.
Мошенник встраивает на страницу, где предполагается провести оплату, фейковый чат – и ведет беседу сразу с двумя сторонами коммуникации. Общаясь с клиентом, притворяется системой онлайн-банкинга. Просит сообщить информацию о карте. Дальше продолжает разговор с владельцем интернет-магазина, представляясь клиентом, который планирует оплатить заказ прямо сейчас. Техническая поддержка, не подозревая, что столкнулась с атакой посредника, предоставляет данные пользователя, и хакер входит в аккаунт пользователя. В дальнейшем делает заказы и расплачивается чужой картой.
Когда пользователь обнаруживает факт преступления, хакера и след простыл. А на плечи владельца интернет-магазина ложатся финансовые проблемы, не говоря уже о потере репутации.
Как избежать атаки посредника?
Чем опасны боты?
Боты – это автоматизированные угрозы безопасности. Так называемые «плохие» (вирусные) боты используются, чтобы вмешиваться в работу веб-приложений. Часто именно из-за ботов происходит «падение» сайта и пропадает личная информация пользователей.
Представьте себе ситуацию. Ваш конкурент продает товар по более низкой цене, и некогда верная аудитория переметнулась на его сторону. Популярность таких услуг, как хакинг-как-сервис, доказывает, что в такой ситуации многие обращаются к киберпреступникам и просят, чтобы конкурента атаковали боты.
Дальше события развиваются так. Боты добавляют определенную продукцию в корзину, но имитируют выход с сайта перед завершением сделки. Разумеется, юзерам приходит сообщение, что данный товар закончился. Таким образом, реальные клиенты не могут заказать продукт, а автоматизированные боты не собираются приобретать товар.
Как противостоять ботам?
Чтобы справиться с проблемой, стоит заранее подумать о последствиях атаки ботами. Установите лимит на время, в течение которого потенциальные покупатели могут хранить желаемый товар в корзине. Также решите, какое количество раз можно добавлять продукт без ущерба для интересов клиента, но с целью ограничить доступ ботам.
Заключение
Развитие IT-технологий можно сравнить со снежным комом, который с огромной скоростью катится с горы, с каждым метром прибавляя в размере и массе. Этот шар уже не остановить, вся наша жизнь постепенно становится цифровой. Плохо это или хорошо, покажет время. Но уже ясно одно: в новом мире нам никуда не деться от преступников и всякого рода мошенников, которые тоже идут в ногу со временем и всегда появляются там, где проходят финансовые потоки. А тем более в такое непростое время, связанное с локдауном во всем мире.
Из-за невозможности выйти в магазин за продуктами люди, которые раньше не пользовались услугами интернет-магазинов, вынуждены заказывать товары через онлайн-платформы, не всегда понимая, как обезопасить себя в интернете от мошенников. Попадают на удочку киберпреступников, лишаясь последнего. Ответственность (пусть и косвенная) ложится на владельцев интернет-платформ, которые порой не хотят инвестировать в кибербезопасность предприятия. Тем самым подставляют не только себя, но и своих клиентов.