Безопасность в электронной коммерции: что вам нужно знать о киберугрозах

Content

Webscale считает, что электронной коммерции придется тратить на кибербезопасность на 20% больше в течение следующих 3 лет. Такая уверенность основана на неутешительной статистике о новых киберугрозах в интернет-магазинах. Новый стандарт удаленного бизнеса, вызванный COVID, значительно увеличил активность электронной коммерции. В результате киберпреступники получили еще один стимул к более интенсивным атакам как на интернет-магазины, так и на их посетителей.

Следователи из NordLocker обнаружили 1,2 терабайта данных, украденных примерно с 3,2 миллиона компьютеров под управлением Windows с помощью как троянского программного обеспечения, так и различных вредоносных программ. Более того, хакеры обещают создавать персонализированные вирусы для атаки на любой объект электронной коммерции.

С одной стороны, электронные продавцы должны расширять свою онлайн-деятельность, чтобы конкурировать с другими онлайн-предпринимателями. С другой стороны, растущая опасность кибертерроризма заставляет владельцев интернет-магазинов дважды подумать, прежде чем запускать новые проекты электронной коммерции. Поскольку панацеи от взлома еще не придумали, единственно правильный подход к проблеме — постоянное повышение грамотности в области кибербезопасности для своевременного и эффективного противодействия возможным угрозам.

В этой статье профессиональный поставщик услуг по разработке интернет-магазинов делится ценной информацией о кибербезопасности. Наслаждайся чтением.

Мошенничество никуда не денется

Едва ли кто-нибудь точно знает, насколько велик общий финансовый ущерб от кибератак . Некоторые эксперты считают, что правильнее говорить об отдельном типе экономики, формирующемся на наших глазах, - экономике мошенничества. В прошлом году интернет-продавцы потеряли как минимум 1 триллион долларов из-за кибератак. Некоторые цифры шокируют: например, число случаев вредоносного ПО увеличилось примерно на 600%.

Ландшафт взлома слишком широк, чтобы оставить какой-либо сегмент нетронутым. Помимо интернет-магазинов жертвами становятся многие предприятия: службы доставки, криптовалютные биржи, туристические компании, провайдеры развлечений, сайты знакомств и т. д. Тем не менее, сайты электронной коммерции остаются одной из самых привлекательных целей для хакеров. Существуют некоторые соображения, объясняющие, почему это так:

• Частные данные. Обычно интернет-магазины содержат довольно большие базы данных с личной информацией покупателей. Взлом серверов интернет-магазинов предоставляет киберпреступникам множество ценных личных данных: имена, адреса, номера телефонов, электронные письма, облачные профили, корпоративную информацию и т. д. Такие данные могут быть либо проданы на незаконном рынке, либо использованы для непосредственной выгоды, когда, например, хакеры оформляют кредиты, используя паспортные данные ничего не подозревающей жертвы. Однако киберпреступники чаще всего используют личные данные более изощренным способом. Они взламывают пароли профилей пользователей, чтобы использовать легальные учетные записи для злонамеренных действий. Например, они могут зарегистрироваться в качестве продавца на торговой площадке, чтобы предлагать несуществующие товары. Потребители платят им деньги, не подозревая, что сделка мошенническая. Наказать таких хакеров крайне сложно, так как профили оформлены законопослушных пользователей, которые даже не подозревают, что их аккаунты взломаны.
• Онлайн-транзакции. Интернет-магазины предоставляют своим пользователям возможность оплачивать товары онлайн. Хакеры могут вставлять вредоносные коды в платежные формы для захвата платежей. Конечно, большинство современных интернет-магазинов внедрили стандарты безопасности платежей, такие как PCI DSS, для защиты банковских карт своих клиентов. В то же время атаки на базы данных остаются опасными.

Сама специфика электронной коммерции подразумевает, что киберпреступники потенциально могут взломать сеть, веб-сайт или сервер с помощью DDoS-атаки, фишинга или других вредоносных методов (подробнее о них позже). Следовательно, владельцы интернет-магазинов должны иметь возможность распознавать признаки каждого киберпреступления, чтобы вовремя обратиться за поддержкой к экспертам по кибербезопасности.

Что делает киберугрозы возможными

Вирусы, программы-вымогатели и другие хакерские инструменты — не единственные причины, которые приводят к быстрому развитию экономики мошенничества. Нередко неправильное поведение как владельцев интернет-магазинов, так и пользователей помогает хакерам в их атаках. Наиболее типичными признаками кибербезопасности халатного отношения кявляются следующие:

• Отсутствие лицензионного программного обеспечения и антивирусов.
• Игнорируемые обновления: патчи, регулярно выпускаемые поставщиками программного обеспечения, стоит использовать для устранения уязвимостей в системе безопасности.
• Использование пиратских аппаратных и программных продуктов.
• Незнание киберпреступных методов: фишинг, социальная инженерия и тому подобное.
• Обмен паролями, именами пользователей и другими личными данными через социальные сети, где они могут быть легко перехвачены хакерами.
• Использование одного и того же пароля для разных онлайн-аккаунтов при взломе одного профиля открывает доступ ко всем остальным.
• Редкий аудит системы или его отсутствие наряду с плохим мониторингом уязвимостей.

Будучи полностью занятыми деятельностью, приносящей доход, многие интернет-продавцы склонны упускать из виду своих сотрудников. Даже один плохо обученный член команды может поставить под угрозу все предприятие. Кроме того, сам доступ к коммерческим данным может показаться слишком заманчивым для людей с низким социально-экономическим статусом. Нечто подобное произошло в одной нью-йоркской компании, где сотрудник пытался украсть корпоративный доход, получив доступ к серверу компании. Как выяснилось, компания проигнорировала тесты на проникновение.

Эксперты по безопасности часто повторяют, что лучший способ защитить свой проект электронной коммерции от кибератак — предотвратить их. Несмотря на то, что многие атаки трудно отследить, следующие признаки могут помочь понять, что кто-то пытается захватить ваш сайт:

• IP-адрес генерирует больше запросов, чем обычно.
• Технически возможно увидеть, что кто-то загружает новые страницы с вашего сайта каждую секунду.
• Время от времени на вашем сервере случаются сбои.
• Ваш сервер выдает ошибку в ответ на запрос.

Продавцы в области электронной коммерции должны помнить одну простую вещь о кибербезопасности: те, кто не заботится о своих веб-сайтах, серверах и сетях, в конце концов обречены на взлом.

Виды киберпреступлений

Разнообразие кибератак растет день ото дня, ведь технический прогресс не стоит на месте. В то же время хакеры — это просто люди, которые часто не хотят пробовать что-то новое. Они предпочитают использовать хорошо проверенные методы в надежде, что их жертвы станут еще более неохотными и невежественными в вопросах кибербезопасности. Следовательно,о самых популярных типах кибератак стоит знать.

1. Распределенная атака типа “отказ в обслуживании” (DDoS)

Эта атака направлена ​​на то, чтобы вывести систему из строя с огромным количеством входящих запросов. Киберпреступники отправляют в систему столько запросов, что обычные пользователи не могут пройти через такой белый шум.

Amazon пострадал как раз от DDoS в феврале 2020 года, когда хакеры атаковали платформу флуд-трафиком 2,3 терабайта в секунду. Amazon потребовалось около 3 дней, чтобы справиться с атакой.

Следующие рекомендации могут быть полезны для защиты вашего проекта электронной коммерции от DDoS-атак:

• Регулярно обновляйте серверное оборудование.
• Максимально увеличьте количество подключений к вашей базе данных.
• Чтобы ваш сервер выдерживал большой трафик, установите прокси-менеджер с открытым исходным кодом, такой как NGINX.
• Установите дополнительный интерфейс, который можно использовать, когда основной оказывается перегруженным.
• Никогда не игнорируйте обновления и исправления, используя только лицензионное программное обеспечение.
• Используйте аналитику трафика, чтобы распознать приближающуюся DDoS-атаку.
• Защитите свои сетевые серверы с помощью брандмауэра, предоставив к ним доступ только администраторам.

2. Фишинг

Это метод социальной инженерии, когда хакеры выдают себя за легальных субъектов электронной коммерции. Они пытаются заискивать перед потенциальными жертвами, чтобы получить доступ к конфиденциальной информации. Часто киберпреступники готовят фишинговые кампании заранее: выбирают компанию, идентифицируют сотрудников компании в социальных сетях, отслеживают их деятельность, выясняют, над какими проектами работает компания и т. д.

После этого хакеры создают очень персонализированные электронные письма, практически неотличимые от тех, что выбранная компания обычно отправляет. Как только жертва либо открывает вложенный файл, либо переходит по ссылке, на компьютере жертвы появляется вирус. Возможны следующие сценарии:

• Фишинговая атака заказана конкурентом, и полученная информация может быть использована для подрыва репутации компании.
• Важный контент может быть заблокирован, а хакеры могут потребовать выкуп.

Единственный способ избежать фишинга — всегда быть начеку при работе с электронными письмами, сообщениями и ссылками. Кроме того, необходимо предупредить ваших сотрудников о фрагментах JavaScript, которые хакеры могут прикрепить, чтобы направить вас на поддельные веб-сайты, где могут быть украдены ваши платежные данные.

Еще один популярный сценарий фишинга связан с популярной платежной системой PayPal: хакеры присылают уведомление о том, что ваша учетная запись PayPal временно заблокирована из-за подозрительных действий. Вместо того, чтобы обращаться в службу поддержки PayPal, пользователи могут ввести свои данные для входа на радость хакерам.

3. Скимминг

Это еще один вид киберпреступления, когда хакеры добавляют вирусный код на несколько веб-сайтов для сбора личных данных пользователей. Они получают доступ к веб-страницам с платежными формами и подтверждениями заказов. В результате в их распоряжении появляются электронные письма, пароли, адреса, номера кредитных карт и даже коды CVV.

Чтобы свести к минимуму опасность скимминга, интернет-продавцы могут сделать следующее:

• Если ваш интернет-магазин создан с использованием бесплатного шаблона, установите плагин безопасности (Sucuri и тому подобное).
• Защитите свой сайт с помощью брандмауэра, используйте аутентификацию 2F.
• Используйте уникальный пароль, содержащий не менее 10 символов.
• Регулярно обновляйте свою систему новыми исправлениями безопасности

4. Межсайтовый скриптинг (XSS)

В отличие от других типов кибератак, эта атака угрожает покупателям, а не интернет-магазинам. XSS подразумевает добавление кода вируса на веб-страницу. Обычно браузеры не распознают код как вирус и выполняют его как обычный скрипт. В результате скрипт получает доступ к файлам cookie конечных пользователей. Хакеры получают конфиденциальную информацию о пользователях и используют компьютеры пользователей для своих вредоносных действий с помощью скрытно установленных вредоносных программ (рассылка фишинговых писем и т. д.). Атака может разрушить репутацию интернет-магазина, поскольку пользователи склонны прерывать отношения с брендом, из-за которого они оказались жертвами.

Для предотвращения XSS-атак рекомендуется следующее:

• И веб-, и мобильная версии вашего интернет-магазина должны иметь фильтры для всех данных о доходах, чтобы знать, к какой информации имеют доступ ваши пользователи.
• Все переменные должны быть зашифрованы перед отправкой пользователям.
• Удалите все лишние данные с вашего веб-сайта, такие как HTML-теги, которые могут быть опасны.

5. SQL-инъекция

Это один из самых простых способов проникнуть на сайт, работающий с базами данных. Атака основана на добавлении произвольного кода в SQL-запросы. Это помогает хакерам делать незаконные запросы к базе данных для чтения таблиц, изменения/удаления данных и т. д. При этом они получают доступ как к личным данным пользователей, так и к информации о транзакциях. SQL-инъекции позволяют хакерам обходить процедуры аутентификации на веб-сайтах. Кроме того, хакеры могут шифровать базы данных, чтобы потребовать выкуп за расшифровку.

Есть несколько общих рекомендаций, как защитить сайт интернет-магазина от SQL-инъекций:

• Используйте «белые списки» для форм аутентификации, когда вы указываете только разрешенные ключи, переменные и символы, чтобы исключить SQL-инъекции.
• Вместо метода GET используйте POST в формах: GET отправляет незашифрованные запросы, позволяющие хакерам узнать имена переменных, которые можно использовать для SQL-инъекций.
• Установить запрет на обработку внутренних/служебных файлов. Все модули, которые можно подключить к вашему сайту (заголовки и т. д.), должны быть собраны в специальную папку с закрытым доступом.
• Никогда не делайте код своего сайта общедоступным. Даже если вам нужна техническая поддержка сообщества программистов, используйте только фрагмент кода, который нужно улучшить.
• Никогда не копируйте чужой код: он может быть изначально заражен.
• Не отображайте ошибки на уже опубликованном сайте. Они могут стать пищей для размышлений киберпреступников, способных понять, как взломать ваш сайт.

Чтобы узнать больше о самых распространенных проблемах в области безопасности магазинов электронной коммерции, ознакомьтесь с видео ниже.

Какие стандарты помогают улучшить безопасность в электронной коммерции

Недостаточно иметь специальное программное обеспечение, чтобы эффективно противостоять кибератакам. Любой проект электронной коммерции должен адаптировать свою политику безопасности к мировым стандартам, таким как PCI DSS.

Стандарт безопасности данных индустрии платежных карт описывает технические требования, обеспечивающие безопасный обмен финансовой информацией при переводе средств. Любая организация электронной коммерции, осуществляющая онлайн-транзакции, должна координировать эту деятельность в соответствии со следующими принципами PCI DSS:

• Должен быть развернут брандмауэр для защиты данных держателей карт.
• Пароли по умолчанию не разрешены.
• Банковские данные пользователей должны быть зашифрованы перед их отправкой по публичным сетям.
• Установите и регулярно обновляйте антивирусы.
• Только ответственные руководители могут иметь доступ к базам данных клиентов.
• Каждый, кто имеет доступ к корпоративному компьютеру, должен получить уникальный идентификатор.
• Физический доступ к банковским данным клиентов должен быть разумно ограничен.
• Доступ как к сетевым ресурсам, так и к онлайн-банкингу клиентов должен постоянно контролироваться.
• Регулярное тестирование системы на наличие уязвимостей является обязательным.
• Весь персонал вашей организации должен быть ознакомлен с политикой кибербезопасности.

Помимо PCI DSS, компании, ведущие устойчивый бизнес в области электронной коммерции, должны получить сертификаты ISO. Международная организация по стандартизации разработала специальные стандарты для субъектов электронной коммерции. Стандарт ISO/TC 321, например, нацелен на обеспечение транзакционных процессов в электронной коммерции. Соответствие стандартам ISO может значительно повысить доверие потребителей к интернет-магазину, что, в свою очередь, может положительно сказаться на его доходах.

Шаги по защите вашего проекта электронной коммерции

Маловероятно, что в ближайшее время будет изобретено универсальное решение по устранению всех кибератак. Противостояние хакеров и онлайн-продавцов будет продолжаться с переменным успехом. Однако отслеживание подозрительных действий на вашем веб-сайте электронной коммерции наряду с четким пониманием подходов к кибербезопасности может защитить ваш бизнес от кибератак в большинстве случаев.

Следующие процедуры составляют обязательный контрольный список для интернет-магазинов, владельцы которых заботятся о своей онлайн-безопасности.

• Тесты на проникновение вместе с мониторингом уязвимостей должны быть регулярной практикой, чтобы убедиться, что у вашего интернет-магазина актуальна защита от взлома.
• Всегда будьте начеку, чтобы распознать малейшие признаки любой предстоящей кибератаки. Например, когда ваш веб-сайт начинает тормозить, ни очистка файлов cookie, ни улучшение пропускной способности не имеет смысла, так как, похоже, произойдет DDoS-атака.
• Никогда не уставайте напоминать своим сотрудникам, что переход по незнакомым ссылкам и открытие вложенных файлов опасны: именно так вирусы заражают компьютеры.
• Не проводите транзакции и не отправляйте финансовую информацию через мессенджеры при подключении к общедоступному Wi-Fi. Если вам необходимо это сделать, попробуйте скрыть свою геолокацию и IP-адрес с помощью VPN и других средств конфиденциального веб-серфинга.
• Всегда следите за новостями о хакерских новинках, чтобы знать, чего ожидать. Например, программы-вымогатели — одна из самых популярных киберугроз, когда хакеры шифруют вашу информацию, чтобы вымогать деньги за расшифровку.
• Внедряйте дополнительные идентификационные факторы везде, где это возможно. Доступно несколько технологий для организации аутентификации 2F на вашем веб-сайте электронной коммерции. Даже если многофакторная проверка создает неудобства для ваших пользователей, ваша кибербезопасность того стоит.
• Храните личные данные ваших клиентов отдельно от другой информации. Регулярно проводите аудит своих баз данных, чтобы выяснить, какие данные являются избыточными или устаревшими.
• Разверните брандмауэры и организуйте многоуровневый доступ к важной финансовой информации. Назначьте роли своим сотрудникам, чтобы ограничить доступ к серверной части.
• Создайте свой бизнес электронной коммерции на надежных платформах, таких как Magento и Shopware. Настройте автоматические обновления, никогда не игнорируйте исправления безопасности, особенно если ваш интернет-магазин требует ручных обновлений при работе в локальной инфраструктуре.
• Хостинг HTTPS является обязательным для веб-сайтов электронной коммерции сегодня. Он вносит большой вклад как в повышение кибербезопасности с помощью SSL-сертификатов, так и в повышение рейтинга в поисковых системах.
• Никогда не экономьте на плагинах безопасности и других инструментах, которые делают ваш сайт менее уязвимым для кибератак. Автоматизируйте свою защиту с помощью всех доступных технологий, чтобы уменьшить влияние человеческого фактора.
• Позаботьтесь о регулярном резервном копировании ваших баз данных и другого важного содержимого. Резервные копии помогают быстро восстановить сайт даже в случае фатального сбоя из-за успешной кибератаки.
• Установите прочные партнерские отношения с профессионалами в области кибербезопасности, чтобы всегда получить от них поддержку в нужный момент. Положитесь на их знания о лучших платформах электронной коммерции, чтобы обеспечить устойчивый рост вашего онлайн-бизнеса.

Заключение

Безопасность электронной коммерции всегда была многогранной проблемой. И останется таковой в ближайшем будущем. В попытках заработать легкие деньги хакеры всегда будут искать уязвимости сайтов электронной коммерции.

Надежные SaaS-платформы электронной коммерции со встроенными инструментами для кибербезопасности обеспечивают самую прочную основу любого онлайн-бизнеса. Выбор такой платформы должен быть первым шагом для любого мудрого интернет-продавца. Второй шаг включает в себя целый ряд легко усваиваемых методов обеспечения безопасности, о которых должен всегда помнить каждый дальновидный предприниматель, чтобы вести успешный бизнес в области электронной коммерции.

Свяжитесь с нами сегодня, если вы предпочитаете сосредоточиться на коммерческой деятельности, а не беспокоиться о кибербезопасности вашего бизнеса электронной коммерции. Мы создаем неуязвимые интернет-магазины, отвечающие самым передовым безопасности технологиям и протоколам. Разумные цены и быстрое время выхода на рынок также всегда доступны.