5 najczęstszych cyberataków e-commerce

Nieustanny postęp w transformacji cyfrowej i przedłużający się okres pandemii, powoduje, że usługi konsumenckie przenoszą się głównie do kanałów online’owych, a tym samym to one są kluczowe w budowaniu lojalności klientów oraz rozpoznawalności marki.

Marki sprzedażowe są częściej narażone na straty powodowane przez działania cyberkryminalistów, którzy wdrażają schematy przejmowania kont celem dokonywania oszustw. Wraz ze wzrostem liczby transakcji rośnie pole podatności na atak.

Tylko tegoroczna sprzedaż e-commerce w sezonie świąteczno-noworocznym miała wzrosnąć do 859 mld. dolarów[1]. Dla wielu podmiotów był to okres budowania większości rocznych przychodów. Niemniej przychody e-commerce w innych okresach także rosną. Dlatego bardzo ważne jest, aby witryny biznesowe działały płynnie i dla zweryfikowanych klientów. Firmy muszą zabezpieczać swoją e-działalność przed cyberprzestępcami, aby zapewnić bezpieczne oraz bezbłędne cyfrowe wrażenia konsumentów.

Zwróćmy uwagę, że każdego dnia zgłaszanych jest ponad milion skradzionych danych uwierzytelniających[2] w chwili, gdy podziemne przestępcze swoje działania już uprzemysłowiło. Automatyzacja, złośliwe boty i ataki odręczne narażają użytkowników i firmy na oszustwa, co doprowadziło do 65% wzrostu liczby udanych prób oszustwa w latach 2019-2020.

Pięć kluczowych zagrożeń – na które w gorącym okresie handlowym organizacje powinny zwrócić szczególną uwagę:

1. Przejęcie konta

Polega na testowaniu przez osoby atakujące aplikacji logowania do stron WWW za pomocą dużej ilości danych uwierzytelniających wykradzionych z innych źródeł (np. innych witryn). Ma na celu złamanie zabezpieczeń kont dzięki tym danym i uzyskanie korzyści finansowych.

2. Łamanie / cracking kart podarunkowych

Rodzaj ataku typu brute force, w którym osoby atakujące sprawdzają miliony wariantów numerów kart podarunkowych w aplikacji karty podarunkowej, aby zidentyfikować numery kart, które posiadają środki finansowe, aby następnie je sprzedać zanim legitymizowany użytkownik z nich skorzysta.

3. Content scrapping (skrobanie treści ze stron)

Wykorzystanie zautomatyzowanych narzędzi do zbierania dużych ilości danych z aplikacji/strony w celu ponownego wykorzystania lub sprzedaży tych danych w innym miejscu (np. ceny produktów dla konkurencji).

4. Inventory hoarding (gromadzenie zapasów)

Pozyskiwanie towarów lub usług (przetrzymywanie w koszyku zakupowym – brak dostępności dla innych) poprzez nadużywanie aplikacji w sposób, którego zwykły użytkownik nie byłby w stanie wykonać ręcznie.

5. Oszustwa związane z kartami płatniczymi i kredytowymi

Automatyczne wykorzystanie podstron finalizowania zakupów (kasa/koszyk) w celu identyfikacji brakujących wartości danych karty kredytowej, takich jak data ważności lub kody zabezpieczające karty (CSC).

Czujność popłaca

Nowoczesne, wielopłaszczyznowe cyberataki sprawiają, że w e-commerce droga użytkownika do kasy może być problematyczna i niebezpieczna.

Dlatego organizacje powinny zwrócić szczególną uwagę na monitorowanie i analizę ruchu w czasie rzeczywistym, zanim hakerzy zaszkodzą biznesowi. Transparentność i widoczność pozwolą na lepszą ochronę zarówno po stronie ludzi jak i botów – tą drogą następuje rozpoznanie zagrożeń i zapobieganie zakłóceniom obsługi i wrażeń klienta. Zbudowana w ten sposób strategia cyberochrony powinna też uwzględniać demotywowanie napastników przez utrudnianie im działań na całej ścieżce zakupowej.

Ireneusz Wiśniewski, dyrektor zarządzający F5 Polska

[1] https://nrf.com/media-center/press-releases/nrf-predicts-highest-holiday-retail-sales-record

[2] https://www.helpnetsecurity.com/2018/07/19/credential-spill-report/