×
Россия +7 (909) 261-97-71

Как защитить бизнес в интернете от мошенников и хакеров: руководство к действию

Россия +7 (909) 261-97-71
Шрифт:
0 4509
Подпишитесь на нас в Telegram

Кибератаки в сфере электронной коммерции – не редкость. Пандемия зажгла зеленый свет для компаний, которые давно хотели сосредоточиться на онлайн-торговле. Но и хакеры не дремлют: при наличии продвинутого ПО мошенники осуществляют преступные действия безбоязненно, ведь в сети легко оставаться анонимом. Как обеспечить достойный уровень защиты для онлайн-бизнеса? Поговорим в материале.

Цифры не врут

В 2018 году пресса заговорила о хакерских атаках на сетевые-магазины. Забила тревогу компания Magneto IT Solutions – и очень даже не зря. 29% трафика сайтов содержат потенциальную опасность для eCommerce магазинов. 92,4% вирусных атак происходят, потому что владельцы интернет-бизнеса переходят по вредоносным ссылкам, приходящим на электронную почту. А 50% руководителей небольших фирм признаются, что хакерские атаки становятся все более совершенными.

В основном под удар попадают маленькие компании, 60% из них закрывают бизнес через полгода. Да и в целом лишь 38% организаций способны выжить после хакерской атаки. Сфера электронной коммерции представляет невероятный интерес для мошенников, потому что ее представители оперируют персональными данными клиентов, в частности, деталями банковских карт покупателей. Также хакеры воруют деньги самих компаний и стремятся завладеть доступом к аккаунтам юзеров.

Как хакерские атаки сказались на бизнесе? Accenture Security считает, что дурное влияние неоспоримо: организации потратили $2 613 952 чтобы возобновить деловые процессы в 2018 году. Это на 11% больше, чем расходы на восстановление систем в 2017 году.

В 2019-м ситуация ухудшилась. Эксперты Risk Based Security установили, что киберпреступники завладели бесчисленным количеством логинов, паролей и банковских карт – именно такая информация содержалась в 4,1 млрд аккаунтов, которые попали в «темный веб» в результате утечки данных. Ведь если юзер не знает, как провести тест на утечку DNS, киберпреступники получают доступ ко всей онлайн-активности.

Дальнейшая статистика выглядит так. 85% организаций столкнулись с фишингом и социальной инженерией. С 2019 года «мейнстримом» стали инсайдерские атаки. Что это значит? В каждой компании есть сотрудники, которые либо недовольны руководством, либо занимаются производственным шпионажем, «сливают» информацию. А также произошли мощные атаки с использованием ransomware (программ-вымогателей). Удар пришелся на юристов, медиков, производителей ПО. 

Причина взлома банальна. Сотрудники забывают поставить антивирус, проходят по подозрительным ссылкам, сообщают персональные данные непроверенным лицам, не видят смысла делать бэкап – резервное копирование данных.

Герои нашего времени

В последние годы мир и так взбудоражен кибератаками. Но с началом пандемии практически все организации – как торговые, так и финансовые – вышли в сеть, и доля eCommerce на рынке ретейла поднялась до 17% в 2020 году, согласно отчету UNCTAD и eTrade. Как говорится, свято место пусто не бывает. Там, где вращаются деньги, появляются и желающие поживиться за чужой счет. Удивляться нечему: с 2019 по 2020 продажи в электронной коммерции выросли почти на триллион долларов!

Не нужно быть экстрасенсом, чтобы предвидеть, что с учетом нынешних реалий в виде пандемии онлайн-продажи вырастут еще больше. В частности, аналитики Cybervore соглашаются с прогнозом eMarketer, согласно которому к декабрю 2021 американские игроки eCommerce продадут товар онлайн на сумму, превышающую $843,15 млрд. 

Но как насчет кибербезопасности? Ведь успех онлайн-магазина зависит не только от качества продукции, но и от безопасного пространства. Увы, большинство представителей электронной коммерции в США не могут похвастаться соблюдение норм ИБ. Исследование компании Cyberpion показало, что 83% организаций технически уязвимы для хакеров.

Рассмотрим каждую проблему и уязвимости детальнее.

Все, что тебе нужно, это… деньги!

Компания N-iX подсчитала, что к 2023 году мошенничества с использованием CNP (операций без присутствия карты) вырастут на 14%. К указанному периоду владельцы онлайн-магазинов могут суммарно потерять $13 млрд. В нынешнем году сетевое мошенничество приобрело новые очертания.

  • «Дружеский фрод» – пользователь делает заказ, оплачивает товар, а затем утверждает, что ему пришла испорченная продукция и требует от банка сделать возврат. Если владелец интернет-магазина не сможет доказать исправность товара, банк удовлетворяет требования клиента. А мошенник, в свою очередь, получает товар бесплатно.
  • Триангуляция – аферисты создают интернет-магазин и предлагают приобрести качественный товар по чрезвычайно низким ценам. Обещают отправить продукт сразу после оплаты онлайн. На этой стадии хакер узнает данные кредитной карты клиента. Сообщник мошенника заказывает товар в реальном магазине и отправляет покупателю. А в это же время хакеры покупают дополнительную продукцию для себя, воспользовавшись средствами ни о чем не подозревающего клиента.
  • Триангуляция перетекает в так называемое «чистое мошенничество». Хакеры, завладевшие персональными данными чужой кредитной карты, осуществляют оплаты в обход систем аутентификации. Перед тем как совершить покупку, мошенники тестируют карту и узнают как можно больше информации о жертве. Это самый опасный тип финансовых преступлений на сегодняшний день, ведь хакеров найти невозможно, а банк уверен, что все транзакции проводит покупатель.

Как противостоять финансовым атакам?

Конечно, каждый пользователь должен заботиться о собственной безопасности. Но, если ваш сайт взломали хакеры, и из-за этого юзеры потеряли деньги, аудитория обвинит именно компанию. Поэтому владельцам сетевого бизнеса стоит побеспокоиться о соблюдении норм кибербезопасности.

  • Внедряйте стандарт PCI, который обеспечивает безопасность собранной информации о кредитных картах.
  • Используйте систему адресной верификации, которая сравнивает фактический адрес владельца карты с информацией, сохраненной эмитентом.
  • Не забудьте о SSL-сертификате, гарантирующем безопасную коммуникацию на сайте посредством шифрования данных.
  • Пользуйтесь безопасными протоколами https, которые защищают клиентские данные.

К счастью, на сегодняшний день появляются алгоритмы искусственного интеллекта и машинного обучения, которые фиксируют проблемы и отправляют уведомления, если что-то идет не так. Эти системы способны идентифицировать фрод и даже отменить транзакцию!

«Код» в мешке

Иногда хакеры встраивают вредоносный код на страницу проведения оплаты на сайте интернет-магазина. Неправильное (но намеренное) перепрограммирование веб-приложений приводит к тому, что мошенник может использовать финансы онлайн-платформы, как ему вздумается. В сфере электронной коммерции отличают следующие киберпреступления с использованием вирусного кода.

  • Межсайтовый скриптинг (XSS) – на сервер встраивается вирусный скрипт, который крадет cookies. На деньги пользователей никто не претендует, ведь лакомым кусочком для мошенника являются персональные данные и аккаунты, которые можно продать в «темном вебе».
  • SQL-инъекция – встраивание фейкового кода на страницу онлайн-магазина приводит к краже баз данных.
  • «Инфицирование» cookie – файлы cookies подвергаются модификации, а хакер получает доступ к несанкционированной информации о пользователях сайта.
  • Управление удаленным кодом (Remote Command Execution) – кибератака, во время которой хакер в удаленном режиме отправляет команды на чужое электронное устройство.
  • Атака с обходом каталогов (File-Path Traversal) направлена на файлы и директории, которые хранятся в корневой папке веб-приложения.

Защититься от встроенных кодов – в ваших силах!

Обеспечивая меры защиты от хакеров в сфере электронной коммерции, ваша задача – убедиться в том, что веб-приложения настроены правильно.

  • Используйте веб-хостинг с надлежащим уровнем защиты на этапе создания собственного сайта.
  • Настройте файервол веб-приложений, чтобы определять вредоносные запросы и отвечать на них, избегая рисков. В сфере электронной коммерции актуальным будет шлюз прикладного уровня (Application-level getaway) и прокси-файервол.
  • Не пользуйтесь cookies для сохранения персональных данных или сенситивной информации. Всегда зашифровывайте информацию, которая хранится в cookies.

Уйти в отказ

Атака, нацеленная на доведение системы до отказа, более известна под аббревиатурой DDoS. Суть такой атаки – «положить» сервер, то есть, направить на сеть онлайн-магазина столько запросов и трафика, чтобы система не выдержала. Определить DDoS непросто, ведь владелец онлайн-площадки может думать, что у него проблемы с интернетом, а пользователь будет уверен, что из-за технических неполадок не загружается сайт.

Атака выглядит так. На сайт поступает бесконечное число сообщений, фейковых пакетов, месседжей, которые срочно хотят соединиться с онлайн-ресурсом. Иногда на этом этапе мошенники информируют хозяина интернет-магазина, что запустили DDoS. Обещают прекратить атаку, если получат выкуп. Как правило, деньги требуют в криптовалюте, чтобы личность хакеров не удалось вычислить.

Можно ли остановить DDoS-атаку?

От DDoS-атаки никто не застрахован. Но, отследив преступление на начальной стадии и обратившись к киберспециалисту, можно спасти сайт.

Увы, зачастую игроки сферы электронной коммерции до последнего не понимают, что попали в беду. А когда осознают, что с ними случилась атака «доведение системы до отказа», уже поздно. Поэтому лучше всего – сразу же вызывать специалистов из службы мгновенного реагирования на инциденты, если заметите следующие признаки:

  • сайт выдает ошибку 503;
  • соединение слишком медленное;
  • происходит ничем не объяснимый, неадекватный всплеск трафика (имеется в виду, что вы не проводите сумасшедшую распродажу, которая могла бы привлечь такое количество посетителей на ваш сайт).

Атака посредника

Еще одной распространенной атакой является Man in the Middle (дословно – «человек посредине»). Во время общения покупателя с продавцом или поставщиком в беседе появляется третье лицо – некий хакер, о чем, конечно, никто не подозревает. 

Мошенник встраивает на страницу, где предполагается провести оплату, фейковый чат – и ведет беседу сразу с двумя сторонами коммуникации. Общаясь с клиентом, притворяется системой онлайн-банкинга. Просит сообщить информацию о карте. Дальше продолжает разговор с владельцем интернет-магазина, представляясь клиентом, который планирует оплатить заказ прямо сейчас. Техническая поддержка, не подозревая, что столкнулась с атакой посредника, предоставляет данные пользователя, и хакер входит в аккаунт пользователя. В дальнейшем делает заказы и расплачивается чужой картой.

Когда пользователь обнаруживает факт преступления, хакера и след простыл. А на плечи владельца интернет-магазина ложатся финансовые проблемы, не говоря уже о потере репутации.

Как избежать атаки посредника?

  1. Всегда используйте VPN. Виртуальная приватная сеть зашифрует информацию, которую вы передаете по сети. Ваш трафик проходит через специальный сервер. Но сможет ли VPN обеспечить тотальную защиту от атак посредника? Об этом спорят многие представители IT-сообщества. В любом случае виртуальная сеть однозначно сделает вас труднодостижимой целью для хакеров. А здесь, как и в электричестве, ток всегда идет по меньшему сопротивлению.
  2. Не открывайте незнакомые ссылки или письма, пришедшие на электронную почту от анонимов. Если имэйл со ссылкой от вашего знакомого, помните: возможно, его взломали. Так что не поленитесь уточнить лично, отправлял ли пользователь файлы и ссылки.
  3. Иногда бывает так: от имени крупной платформы (например, Amazon) вам пришло предложение приобрести товар по 90%-ной скидке. Всегда помните: бесплатный сыр только в мышеловке. Скорее всего, название бренда использует хакер. Это легко проверить: введите в отдельном браузере адрес сайта платформы и проверьте, есть ли там распродажа.
  4. Устанавливайте патчи на программное обеспечение. Разработчики должны позаботиться об обновлениях. А самое безопасное – пользоваться приватными браузерами и мессенджерами.
  5. Инсталлируйте DNSSEC – пакет расширений протокола IETF. Это уменьшит количество случаев подмены DNS.

Чем опасны боты?

Боты – это автоматизированные угрозы безопасности. Так называемые «плохие» (вирусные) боты используются, чтобы вмешиваться в работу веб-приложений. Часто именно из-за ботов происходит «падение» сайта и пропадает личная информация пользователей.

Представьте себе ситуацию. Ваш конкурент продает товар по более низкой цене, и некогда верная аудитория переметнулась на его сторону. Популярность таких услуг, как хакинг-как-сервис, доказывает, что в такой ситуации многие обращаются к киберпреступникам и просят, чтобы конкурента атаковали боты. 

Дальше события развиваются так. Боты добавляют определенную продукцию в корзину, но имитируют выход с сайта перед завершением сделки. Разумеется, юзерам приходит сообщение, что данный товар закончился. Таким образом, реальные клиенты не могут заказать продукт, а автоматизированные боты не собираются приобретать товар.

Как противостоять ботам?

Чтобы справиться с проблемой, стоит заранее подумать о последствиях атаки ботами. Установите лимит на время, в течение которого потенциальные покупатели могут хранить желаемый товар в корзине. Также решите, какое количество раз можно добавлять продукт без ущерба для интересов клиента, но с целью ограничить доступ ботам.

Заключение

Развитие IT-технологий можно сравнить со снежным комом, который с огромной скоростью катится с горы, с каждым метром прибавляя в размере и массе. Этот шар уже не остановить, вся наша жизнь постепенно становится цифровой. Плохо это или хорошо, покажет время. Но уже ясно одно: в новом мире нам никуда не деться от преступников и всякого рода мошенников, которые тоже идут в ногу со временем и всегда появляются там, где проходят финансовые потоки. А тем более в такое непростое время, связанное с локдауном во всем мире. 

Из-за невозможности выйти в магазин за продуктами люди, которые раньше не пользовались услугами интернет-магазинов, вынуждены заказывать товары через онлайн-платформы, не всегда понимая, как обезопасить себя в интернете от мошенников. Попадают на удочку киберпреступников, лишаясь последнего. Ответственность (пусть и косвенная) ложится на владельцев интернет-платформ, которые порой не хотят инвестировать в кибербезопасность предприятия. Тем самым подставляют не только себя, но и своих клиентов.

Есть о чем рассказать? Тогда присылайте свои материалы Марине Ибушевой


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Как мы увеличили число посетителей сайта на 89 000 человек и индекс качества на 30 единиц за 4 месяца
Никита Ширяев
4
комментария
0
читателей
Полный профиль
Никита Ширяев - Здравствуйте, 1. ТЗ на создание контента, это всего лишь одна из задач, которую мы делаем на проекте. 2. Получаемый текст обязательно проходит проверки на спам. 3. ТЗ на создание контента, это ориентир для авторов. 4. Как раз таки ТЗ помогает не переспамить в тексте, так как мы замеряем показатели ТОПа и ориентируемся на него. И опять приведу Вам скриншот, который подтверждает постоянный рост рейтинга домена. DR имеет сильную прогрессию.
Авторы на RUTUBE теперь могут загружать видео в формате серий
Наиль г.Пенза
4
комментария
0
читателей
Полный профиль
Наиль г.Пенза - Ну что вы принимаете мою заявку? Или удалиться с "тихой грустью". А моих фото пока нет,они у меня удалились с Галереи, когда покупал себе смартфон. На фото пока моя дочь,сам я лежу в каридологие, сами понимаете какая у меня будет фотография
Рейтинги сайтов по отзывам в выдаче Яндекса: откуда берутся и как их улучшить
Romano
2
комментария
0
читателей
Полный профиль
Romano - дополнение: такие оценки не отображаются, но участвуют в общем рейтинге
Настоящий квест: как увеличили трафик на сайт сети компьютерных клубов в 19,5 раз, а число конверсий в 42,5 раза
Владлен
1
комментарий
0
читателей
Полный профиль
Владлен - Интересно, есть только вопрос по ссылкам, в каком диапазоне стоимость ссылки была, ведь судя по скринам за 5 месяцев было куплено 10 ссылок
В какой поисковой системе продвигать финансовый сайт: выводы исследования Sape
Sape
3
комментария
0
читателей
Полный профиль
Sape - Добрый день! Спасибо за вашу обратную связь. Да, действительно, метрика DA не обновляется последние три месяца из-за проблем с поставщиком данных. Мы уже работаем над этим, в ближайшее время исправим. На данный момент для отбора сайтов в системе доступны десятки других метрик, которые обновляются регулярно. Касательно цен — с ними всё в порядке. Если у вас есть вопросы относительно ценообразования, мы готовы на них ответить. Благодарим, что поделились мнением. Мы всегда рады конструктивному диалогу!
Как вырастить трафик из блога в 9,7 раз за год. Кейс
Сергей Шабуров
1
комментарий
0
читателей
Полный профиль
Сергей Шабуров - Константин, здравствуйте! Лид-формы у нас прямо в статьях, так что трафик идет с самих статей.
Топ-10 SEO-курсов на 2024-2025 год для вашего роста
Юрий Марьенко
1
комментарий
0
читателей
Полный профиль
Юрий Марьенко - Спасибо за анонс — всё чётко!
WordPress выпустил Windows-приложение для разработки сайтов
BlackSeo
8
комментариев
0
читателей
Полный профиль
BlackSeo - Очередное бесполезное Г..... вы его сами видели? Как вы думаете как можно было так угробить; 1. Tumblr - после его покупки wordpress эта сеть превратилась в говносайт 2. Везде пихают свои шаблоны - я про wp 3. Теперь это недоразумение запилили Есть один плюс - люди столкнувшиеся с говнопродуктами созданными командой wordpress быстрее начнут изучать языки программирования и создавать что то стоящее
Мастер-класс по использованию операторов Wordstat: повышаем эффективность сбора семантики
Олег Шестаков
1
комментарий
0
читателей
Полный профиль
Олег Шестаков - Спасибо, Кэп
Яндекс 360 запускает прямые продажи цифровых продуктов для бизнеса в Беларуси
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Найти женщину которая хочет меня по видео поговорим на откровенные темы если хочешь встретимся на выходных
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
389
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
121
Комментариев
100
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
64
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!