E-sklepy: jak się ustrzec przed hakerem [poradnik]

Ataki na e-sklepy i ich klientów to pełna gama e-przestępstw. Od "odmowy usługi" (DoS), która zamyka możliwość generowania przychodu, do kampanii typu ransomware, poprzez które wyłudzane są dane i środki finansowe. O tym, jak się przed nimi ustrzec, radzi ekspert z F5 Poland.

Sezonowe szaleństwo sprzedażowe w e-commerce, które zaczyna się w czarny piątek, obejmuje świąteczne zakupy, a kończy styczniowymi wyprzedażami, jest szczególną okazją dla cyberprzestępców. Gwałtowny wzrost zakupów online znacznie ułatwia hakerom życie. Z jakich metod korzystają najczęściej? Wskazuje je Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland.

Formjacking – infekcja źródła

W trakcie okresu wzmożonych zakupów jednym z większych zagrożeń jest formjacking (atak na infrastrukturę strony www e-sklepu i mechanizmu pozwalającego na podawanie danych karty płatniczej celem wykradzenia tych danych). Zgodnie z F5 Labs 2019 Application Protection Report, jest jednym z częściej dziś występujących ataków sieciowych. W 2018 r. odpowiadał już za 71% naruszeń danych związanych z siecią.

Coraz więcej aplikacji łączy się z krytycznymi w e-commerce komponentami jak koszyk zakupowy, płatności bezgotówkowe, reklamy i analityka. Kod wykorzystywany do budowy aplikacji i komponentów krytycznych może być dostarczany z wielu źródeł. - Te źródła zwykle nie są objęte zwykłymi środkami kontroli bezpieczeństwa w e-commerce – zwraca uwagę Ireneusz Wiśniewski.

Jego zdaniem wiele witryn wykorzystuje te same „cegiełki” do budowania serwisu, czyli korzysta z tych samych źródeł kodu. Co to oznacza dla cyberbezpieczeństwa sklepu? - Atakujący mają świadomość, że wystarczy zmienić jeden element takich powielanych kodów, aby infekcja dostała się do wielu witryn. Daje to następnie możliwość zbierania danych od bardzo dużych grup odbiorców, którzy są klientami tych sklepów – wyjaśnia ekspert.

 Phishing – podszywanie się

Ulubieńcem cyberprzestępców pozostaje też phishing, ponieważ jest prostą metodą. Hakerzy nie muszą się napracować nad przebiciem przez firewall, budowaniem wymagającego ataku zero-day exploit (atak „w godzinie zero” – w dniu wykrycia słabości w zabezpieczeniach) czy deszyfrowaniem ruchu. W zeszłorocznym sezonie sprzedażowym (październik 2018 – styczeń 2019) F5 Security Operations Centre odnotowało aż 50% wzrost tego typu ataków.

Marki i serwisy, które są najczęściej fałszowane to Facebook, Microsoft Office Exchange oraz Apple, ale może to być także sklep internetowy. Podobne działania ułatwiają media społecznościowe, w których nieustannie eksponowane są prywatne informacje i dane: od prywatnych maili i telefonów po preferencje zakupowe i sympatie dla marek.

 Edukacja klientów

Ataki nakierowane bezpośrednio na sklep mogą narazić na ogromne straty finansowe, zarówno pod kątem kosztów samego ataku, ale także strat w postaci np. braku możliwości prowadzenia sprzedaży. - Jednak ogromne ryzyko, w tym także wizerunkowe, niosą także te działania hakerów, które bezpośrednio dotykają klientów sklepu. Warto zaangażować się w akcje edukacyjne, które mają na celu uświadomić konsumentów, jakie zagrożenia na nich czyhają – podpowiada dyrektor zarządzający F5 Poland.

Co można więc zrobić dla klientów?

  1. Bezpośrednio w witrynie czy materiałach promocyjnych zwróć uwagę, aby klienci nie robili zakupów za pomocą wyszukiwarek. Znacznie bezpieczniejsze jest wpisanie adresu sklepu odręcznie w przeglądarce;

  2. Podpowiedz klientom, że fałszywe strony zawierają błędy językowe i w formatowaniu – jedna literka w adresie czy nieco inny kolor w logotypie powinny zwrócić ich uwagę i zaalarmować;

  3. Zachęcaj klientów do sprawdzenia czy kupują w lokalizacji zaszyfrowanej – oznaczonej prefiksem „https” i symbolem kłódki. Nawet wtedy jednak należy zachować wzmożoną czujność: aż 71% stron phishingowych używa prefiksu „https”, aby być bardziej wiarygodnymi.

  4. Hakerzy kolportujący phishing zwykle wysyłają przekonujące maile, w których proszą o prywatne czy finansowe informacje. Poważne i zaufane marki tego nie robią – warto poinformować o tym klientów w witrynie i prowadzić politykę informacyjną, która dokładnie opisuje proces zakupowy w waszym sklepie.

  5. Phishing and Fraud Report odnotowuje, że phishingowe wiadomości trzy razy częściej zawierają złośliwe linki niż załączniki. Poproś klientów, aby ich nie klikali, nie otwierali. Jest to szczególnie ważne przy finalizowaniu transakcji np. potwierdzaniu zamówień czy płatności.

  6. Szczególną uwagę poświęć bezpieczeństwu transakcji opłat – tu w grę wchodzą dane finansowe twoich klientów. Polityka e-sklepu powinna wyraźnie określać procedurę i narzędzia, być transparentna dla klienta, tym bardziej gdy korzystasz z serwisów dostawców zewnętrznych w tym obszarze.

Burza mózgów z działem IT

Na rynku dostępne są narzędzia IT do zwalczania nadużyć finansowych. Pomogą one wykryć niespójności transakcyjne w sytuacjach, gdy np. karta klienta jest używana na obcym urządzeniu. - Zapewnienie wszelkich środków cyberbezpieczeństwa powinno być priorytetem. Warto skontaktować się ze swoim działem IT, żeby potwierdzić, że używane narzędzia są aktualne oraz kompletne – tłumaczy Ireneusz Wiśniewski, który dodaje, na co warto zwrócić uwagę:

  • W każdym systemie, który łączy się z zasobami wymagającymi ochrony, warto wdrożyć rozwiązania do weryfikacji wieloskładnikowego uwierzytelniania. Uzupełnienie protokołów TLS/SSL szyfrowaniem warstwy aplikacji pozwoli zachować poufność na poziomie przeglądarki.

  • Ochronę danych osobowych i finansowych klienta podczas procesu finalizowania transakcji (check-out) wspierają tokeny i szyfrowanie w aplikacji. Inwentaryzując swoje aplikacje sieciowe rozpoznaj kontent pochodzący od dostawców zewnętrznych (kod z takich źródeł może być zainfekowany). Proces ten jest złożony, ponieważ zewnętrzni dostawcy często łączą się z innymi stronami, które rzadko spełniają normy kontroli bezpieczeństwa.

  • Skanuj swoje podatności. Szefowie IT coraz częściej sięgają po możliwość przeprowadzania zewnętrznych testów, żeby spojrzeć na sytuację okiem hakera, co pozwala im na dokładne sprawdzenie stosowanych zabezpieczeń.

  • Monitoruj zmiany w kodzie, bez względu na to, gdzie jest hostowany. Oznacza to monitorowanie zarówno GitHub (wiodąca na świecie platforma programistyczna) czy AWS S3 Buckets jak repozytoriów kodu natywnego (chmurowy nośnik danych od Amazona; buckets oznacza tu zbiory danych).

  • Skorzystaj z rozwiązań do filtrowania sieci, aby zapobiec przypadkowym odwiedzinom użytkowników w witrynach wyłudzających informacje. W sytuacji, gdy klient klika w taki link, rozwiązanie do filtrowania zablokuje ruch wychodzący.

  • Badaj ruch szyfrowany pod kątem malware. Będzie do tego potrzebna bramka deszyfrująca – ruch pochodzący ze złośliwego oprogramowania komunikującego się z serwerami C&C (Command and Control) poprzez szyfrowane tunele jest niewykrywalny bez takiego narzędzia.

  • Popraw mechanizmy raportowania. Reakcja na incydenty zagrożenia powinna obejmować możliwość łatwego przekazania przez użytkowników informacji o podejrzeniach ataku phishingowego.

F5 Networks to notowana na Nowojorskiej Giełdzie Papierów Wartościowych spółka dostarczająca rozwiązania wspierające biznes w obszarze bezpieczeństwa aplikacji i sieci.

Katarzyna Pierzchała 3076 Artykuły

W „Handlu” od 2004 r. Europę przemierza dla przyjemności, Polskę w poszukiwaniu sklepów wartych uwagi. Zgłębia handel od podszewki. Puzzlomaniaczka.

Komentarze

Prosimy o wypowiadanie się w komentarzach w sposób uprzejmy, z poszanowaniem innych uczestników dyskusji i ich odrębnych stanowisk. Komentując akceptujesz regulamin publikowania komentarzy.

} }