0-800-759-750
Ми на зв'язку с 7:00 до 24:00
office@elit-web.ua

Хакери в e-commerce: як забезпечити безпеку онлайн-магазину

Поділіться
Зміст

    Бажаєте збільшити продажі в eCommerce? У тренді продажу на головних маркетплейсах, рішення віртуальної та доповненої реальності. І ви вже запровадили голосовий пошук та закупили ботів. Але що якщо цього недостатньо? Впроваджуючи технології на сайт магазину, ми вважаємо це запорукою успіху. І забуваємо про інформаційну безпеку, без якої у сфері мережевої торгівлі – як без рук.

    Хакери в e-commerce

    Злочинні цілі: навіщо аферисти атакують e-commerce

    Компанія Sift провела дослідження та з'ясувала, що у 2020 році кількість шахрайств у eCommerce зросла вдвічі, порівняно з 2019, повідомляє FreightWaves. Експерти Sift проаналізували діяльність 34000 онлайн-магазинів та програм для шопінгу. Через кіберзлочинців гравці сфери eCommerce сумарно втратили більше $1 трлн у 2020 році. На 40% збільшилася кількість атак з використанням програм-вимагачів.

    До зони ризику потрапили організації, які працюють у сферах криптовалюти, геймінгу та азартних ігор, а також запускають програми лояльності для підтримки бізнесу.

    Хакери мають кілька причин атакувати гравців у сфері електронної комерції.

    Фінансовий інтерес

    Звіт Digital Commerce 360 показав, що через пандемію продажу в eCommerce зросли з 15.8% (2019) до 21.3% (2020). Як з'ясували дослідники NTC Texas, 83% людей, які взяли участь в опитуванні споживачів, сплачують покупки прямо на сайті магазину. Більше 20% платять за допомогою банківської програми, 50% вводять дані картки. Лише 5% розплачуються за покупку після отримання замовлення – готівкою. Звісно, хакерам відома ця статистика. Власники інтернет-магазинів передбачають можливість оплатити замовлення онлайн. А кіберзлочинці зламують сайти та переказують кошти на свої рахунки.

    Інформація – нова валюта

    Хакерів цікавлять також персональні дані споживачів. Після злому кіберзлочинці дізнаються логіни і паролі облікових записів користувача. Багато користувачів використовують однакові дані як реєстрації на торгових майданчиках, і у приватних профілях. Тому хакери легко одержують доступ до персональної пошти користувачів.

    Навіщо хакерам чужі облікові записи? Їх можна використовувати для подальшого злому, розсилання шкідливих посилань. А іноді кіберзлочинці реєструються на торгових майданчиках під чужим ім'ям та акаунтом. Пропонують продукцію, одержують кошти – але товар не надсилають замовникам. Адміністрація порталу не знаходить шахраїв, адже обліковий запис зареєстрований не на хакера. Натомість у власника зламаного облікового запису виникають проблеми.

    Захоплення чужої аудиторії

    Творці онлайн-майданчиків, як правило, мають у своєму розпорядженні значні клієнтські бази. Саме через злому конкуренти отримують доступ до аудиторії онлайн-магазину. І переманюють клієнтів бренду на свій бік.

    Військова таємниця

    У темному вебі кожен знає, що таке хакінг-як-послуга. Користувач цілком офіційно звертається до хакера, замовляє конкурента, оплачує послугу. Виконавець атакує онлайн-майданчик.

    Навіщо? Щоб дізнатися про комерційну таємницю, подивитися на аналітику в eCommerce або побачити креслення продукту, який ще не вийшов у реліз.

    "Побічний ефект" кібератаки - витік DNS-запитів. У цьому випадку треті особи бачать вашу активність у мережі, наражаючи на ризик саме поняття конфіденційності. Розмірковуєте, чи хтось загрожує вашій приватності? Виключити себе із зони ризику можна, провівши тест на витік DNS на сайті ExpressVPN .

    Ворог причаївся в кущах

    Як демонструє торішній звіт компанії Verizon, 30% випадків витоку інформації трапляються з вини співробітників організації. Кіберзлочинці часто підкуповують інсайдерів - людей, які мають доступ до корпоративної інформації. Звичайно, часто інсайдери «зливають» персональні дані, тому що не знають правила кібербезпеки або не вважають за потрібне їх дотримуватися.

    Як продавати в e-commerce, не боячись хакерів

    Як продавати в e-commerce, не боячись хакерів

    Єдиний спосіб залишатися конкурентоспроможним у сфері електронної комерції – запровадити просунуті заходи захисту. А для цього потрібно мати чітке уявлення про кіберзагрози. Почнемо з поширеної афери – заміни DNS.

    Уявіть собі, що ви давно працюєте на ринку. І раптом у вас з'являється конкурент! За дві секунди обходить вас, веде ваших клієнтів. Ще нещодавно лояльні клієнти переходять на “бік зла”. До речі, у вас є друг – просунутий програміст. Ненароком він розповідає про сучасні методи, що дозволяють отримати доступ до корпоративних відомостей… Ми віримо у вашу чесність і переконані, що ви розробите унікальний продукт, завоюєте серця клієнтів.

    То справді був оптимістичний прогноз. Але комерційний успіх напряму "хакінг-як-сервіс" доводить, що на сьогоднішній день багато хто знищує конкурентів, замовляючи атаки хакерів, підкуповуючи співробітників. В останньому випадку, як правило, кіберзлочинці застосовують такий різновид кібервторгнення, як заміну DNS.

    Розберемося, як це відбувається. Іноді хакери розгортають свій DNS-сервер прямо на маршрутизаторі. Роблять редирект: варто користувачеві ввести запит доменного імені, як він одразу потрапляє на фейковий сайт (назвемо його умовно malicious_site.com) – і мимоволі «повідомляє» хакерам персональні дані, у тому числі й логіни/паролі від акаунтів на торгових майданчиках. А в найгіршому випадку до рук хакерів потрапляють бази даних клієнтів або таємна інформація.

    А. Ярошенко у книзі «Хакінг на прикладах: уразливості, злом, захист» розповідає, як діють реальні кіберзлочинці.

    • На комп'ютері жертви відкривають файл hosts, розташований на диску C, серед драйверів у папці Systems32 (Windows).
    • Даний файл виглядає так: IP-адреса ..... доменне ім'я.
    • Кіберзлочинець підставляє IP-адресу власного хостингу, де розташована сторінка, на яку планують перенаправити жертву. Тепер початковий формат перетворено таким чином: IP-адреса …. malicious_site.com.
    • Після збереження у командному рядку хакер застосовує команду ipconfig/flushdns.
    • Готово! Варто користувачеві ввести сайт, на який зроблений редирект, як користувач відразу потрапляє на сторінку, створену хакером.

    Чим небезпечна заміна DNS? Перенаправляючи користувачем з тих сайтів, які планувалося відвідати, на фейкові платформи, хакери отримують паролі користувачів.

    Кожну секунду бути напоготові

    Працюючи в онлайн-бізнесі, потрібно зважувати кожну дію. Постійно бути напоготові. Знати про хакерські загрози та запобігати ризикам.

    Так, кіберзлочинці часто використовують віруси та шкідливе ПЗ. Найпростіший спосіб атакувати бізнесмена – зламати його електронну пошту, наприклад, за допомогою електронного листа з «Троянським конем» (відомими такого роду вірусами є DarkComet RAT, SpyEye, Carberp).

    Щоб власник онлайн-магазину відкрив вірусне програмне забезпечення, потрібно його мотивувати – наприклад, написати персоналізований лист нібито від імені колеги з пропозицією подивитися проект. А оскільки підприємці рекламують послуги в соціальних мережах, хакери легко дізнаються про сфери інтересів – і активно «запрошують на курси», «пропонують співпрацю», повідомляють про «божевільний розпродаж» та застосовують інші методи психологічного впливу, щоб отримати доступ до чужого комп'ютера.

    Якщо власник онлайн-магазину перейде за шкідливим посиланням і на його комп'ютер потрапить вірусне програмне забезпечення, хакер легко перегляне список процесів, файлову систему - і, звичайно, отримає доступ до паролів від облікових записів, серед яких виявиться і онлайн-банкінг. Наслідки цілком передбачувані.

    Тому, працюючи в мультибільйонній доларовій індустрії, треба розуміти психологію хакерів – і продумувати кожен крок.

    Загальні рекомендації

    Загальні рекомендації

    Пропонуємо до вашої уваги чек-лист способів захисту від хакерів. Отже, вам нічого не загрожує, якщо ви:

    • Користуєтеся надійним хостингом, де у тарифному плані передбачено заходи безпеки;
    • Зашифрували дані та впровадили SSL-сертифікат;
    • Встановили спеціальні плагіни безпеки, якщо ведете бізнес на базі Magento, WooCommerce, BigCommerce, Drupal, PrestaShop;
    • Регулярно чистіть cookies та видаляєте інформацію про клієнтів із сервера;
    • Не залишаєте відомості про банківські картки вашої аудиторії на сервері та в базах даних;
    • Дотримуєтеся стандарту безпеки даних індустрії платіжних карток PCI DSS;
    • Використовуєте надійні паролі, захищаєтесь від вірусів за допомогою фаєрволів;
    • Проводьте регулярний аудит системи.

    У сфері електронної комерції до зони ризику потрапляють як виробники, і споживачі. Перші ризикують залишитися без грошей та репутації. Другі – втратити персональні дані. Але, звісно, саме від власників інтернет-магазинів залежить захищеність аудиторії.

    У Вас залишились запитання?
    Наші експерти готові відповісти на них.
    Залишіть ваші контактні дані.
    Будемо раді обговорити ваш проект!
    Отримати консультацію
    Наш менеджер зв'яжеться з Вами найближчим часом