Как защитить бизнес в интернете от мошенников и хакеров: руководство к действию

Кибератаки в сфере электронной коммерции – не редкость. Пандемия зажгла зеленый свет для компаний, которые давно хотели сосредоточиться на онлайн-торговле. Но и хакеры не дремлют: при наличии продвинутого ПО мошенники осуществляют преступные действия безбоязненно, ведь в сети легко оставаться анонимом. Как обеспечить достойный уровень защиты для онлайн-бизнеса? Поговорим в материале.

Цифры не врут

В 2018 году пресса заговорила о хакерских атаках на сетевые-магазины. Забила тревогу компания Magneto IT Solutions – и очень даже не зря. 29% трафика сайтов содержат потенциальную опасность для eCommerce магазинов. 92,4% вирусных атак происходят, потому что владельцы интернет-бизнеса переходят по вредоносным ссылкам, приходящим на электронную почту. А 50% руководителей небольших фирм признаются, что хакерские атаки становятся все более совершенными.

В основном под удар попадают маленькие компании, 60% из них закрывают бизнес через полгода. Да и в целом лишь 38% организаций способны выжить после хакерской атаки. Сфера электронной коммерции представляет невероятный интерес для мошенников, потому что ее представители оперируют персональными данными клиентов, в частности, деталями банковских карт покупателей. Также хакеры воруют деньги самих компаний и стремятся завладеть доступом к аккаунтам юзеров.

Как хакерские атаки сказались на бизнесе? Accenture Security считает, что дурное влияние неоспоримо: организации потратили $2 613 952 чтобы возобновить деловые процессы в 2018 году. Это на 11% больше, чем расходы на восстановление систем в 2017 году.

В 2019-м ситуация ухудшилась. Эксперты Risk Based Security установили, что киберпреступники завладели бесчисленным количеством логинов, паролей и банковских карт – именно такая информация содержалась в 4,1 млрд аккаунтов, которые попали в «темный веб» в результате утечки данных. Ведь если юзер не знает, как провести тест на утечку DNS, киберпреступники получают доступ ко всей онлайн-активности.

Дальнейшая статистика выглядит так. 85% организаций столкнулись с фишингом и социальной инженерией. С 2019 года «мейнстримом» стали инсайдерские атаки. Что это значит? В каждой компании есть сотрудники, которые либо недовольны руководством, либо занимаются производственным шпионажем, «сливают» информацию. А также произошли мощные атаки с использованием ransomware (программ-вымогателей). Удар пришелся на юристов, медиков, производителей ПО. 

Причина взлома банальна. Сотрудники забывают поставить антивирус, проходят по подозрительным ссылкам, сообщают персональные данные непроверенным лицам, не видят смысла делать бэкап – резервное копирование данных.

Герои нашего времени

В последние годы мир и так взбудоражен кибератаками. Но с началом пандемии практически все организации – как торговые, так и финансовые – вышли в сеть, и доля eCommerce на рынке ретейла поднялась до 17% в 2020 году, согласно отчету UNCTAD и eTrade. Как говорится, свято место пусто не бывает. Там, где вращаются деньги, появляются и желающие поживиться за чужой счет. Удивляться нечему: с 2019 по 2020 продажи в электронной коммерции выросли почти на триллион долларов!

Не нужно быть экстрасенсом, чтобы предвидеть, что с учетом нынешних реалий в виде пандемии онлайн-продажи вырастут еще больше. В частности, аналитики Cybervore соглашаются с прогнозом eMarketer, согласно которому к декабрю 2021 американские игроки eCommerce продадут товар онлайн на сумму, превышающую $843,15 млрд. 

Но как насчет кибербезопасности? Ведь успех онлайн-магазина зависит не только от качества продукции, но и от безопасного пространства. Увы, большинство представителей электронной коммерции в США не могут похвастаться соблюдение норм ИБ. Исследование компании Cyberpion показало, что 83% организаций технически уязвимы для хакеров.

Рассмотрим каждую проблему и уязвимости детальнее.

Все, что тебе нужно, – это… деньги!

Компания N-iX подсчитала, что к 2023 году мошенничества с использованием CNP (операций без присутствия карты) вырастут на 14%. К указанному периоду владельцы онлайн-магазинов могут суммарно потерять $13 млрд. В нынешнем году сетевое мошенничество приобрело новые очертания.

• «Дружеский фрод» – пользователь делает заказ, оплачивает товар, а затем утверждает, что ему пришла испорченная продукция и требует от банка сделать возврат. Если владелец интернет-магазина не сможет доказать исправность товара, банк удовлетворяет требования клиента. А мошенник, в свою очередь, получает товар бесплатно.
• Триангуляция – аферисты создают интернет-магазин и предлагают приобрести качественный товар по чрезвычайно низким ценам. Обещают отправить продукт сразу после оплаты онлайн. На этой стадии хакер узнает данные кредитной карты клиента. Сообщник мошенника заказывает товар в реальном магазине и отправляет покупателю. А в это же время хакеры покупают дополнительную продукцию для себя, воспользовавшись средствами ни о чем не подозревающего клиента.
• Триангуляция перетекает в так называемое «чистое мошенничество». Хакеры, завладевшие персональными данными чужой кредитной карты, осуществляют оплаты в обход систем аутентификации. Перед тем как совершить покупку, мошенники тестируют карту и узнают как можно больше информации о жертве. Это самый опасный тип финансовых преступлений на сегодняшний день, ведь хакеров найти невозможно, а банк уверен, что все транзакции проводит покупатель.

Как противостоять финансовым атакам?

Конечно, каждый пользователь должен заботиться о собственной безопасности. Но, если ваш сайт взломали хакеры, и из-за этого юзеры потеряли деньги, аудитория обвинит именно компанию. Поэтому владельцам сетевого бизнеса стоит побеспокоиться о соблюдении норм кибербезопасности.

• Внедряйте стандарт PCI, который обеспечивает безопасность собранной информации о кредитных картах.
• Используйте систему адресной верификации, которая сравнивает фактический адрес владельца карты с информацией, сохраненной эмитентом.
• Не забудьте о SSL-сертификате, гарантирующем безопасную коммуникацию на сайте посредством шифрования данных.
• Пользуйтесь безопасными протоколами https, которые защищают клиентские данные.

К счастью, на сегодняшний день появляются алгоритмы искусственного интеллекта и машинного обучения, которые фиксируют проблемы и отправляют уведомления, если что-то идет не так. Эти системы способны идентифицировать фрод и даже отменить транзакцию!

«Код» в мешке

Иногда хакеры встраивают вредоносный код на страницу проведения оплаты на сайте интернет-магазина. Неправильное (но намеренное) перепрограммирование веб-приложений приводит к тому, что мошенник может использовать финансы онлайн-платформы, как ему вздумается. В сфере электронной коммерции отличают следующие киберпреступления с использованием вирусного кода.

• Межсайтовый скриптинг (XSS) – на сервер встраивается вирусный скрипт, который крадет cookies. На деньги пользователей никто не претендует, ведь лакомым кусочком для мошенника являются персональные данные и аккаунты, которые можно продать в «темном вебе».
• SQL-инъекция – встраивание фейкового кода на страницу онлайн-магазина приводит к краже баз данных.
• «Инфицирование» cookie – файлы cookies подвергаются модификации, а хакер получает доступ к несанкционированной информации о пользователях сайта.
• Управление удаленным кодом (Remote Command Execution) – кибератака, во время которой хакер в удаленном режиме отправляет команды на чужое электронное устройство.
• Атака с обходом каталогов (File-Path Traversal) направлена на файлы и директории, которые хранятся в корневой папке веб-приложения.

Защититься от встроенных кодов – в ваших силах!

Обеспечивая меры защиты от хакеров в сфере электронной коммерции, ваша задача – убедиться в том, что веб-приложения настроены правильно.

• Используйте веб-хостинг с надлежащим уровнем защиты на этапе создания собственного сайта.
• Настройте файервол веб-приложений, чтобы определять вредоносные запросы и отвечать на них, избегая рисков. В сфере электронной коммерции актуальным будет шлюз прикладного уровня (Application-level getaway) и прокси-файервол.
• Не пользуйтесь cookies для сохранения персональных данных или сенситивной информации. Всегда зашифровывайте информацию, которая хранится в cookies.

Уйти в отказ

Атака, нацеленная на доведение системы до отказа, более известна под аббревиатурой DDoS. Суть такой атаки – «положить» сервер, то есть, направить на сеть онлайн-магазина столько запросов и трафика, чтобы система не выдержала. Определить DDoS непросто, ведь владелец онлайн-площадки может думать, что у него проблемы с интернетом, а пользователь будет уверен, что из-за технических неполадок не загружается сайт.

Атака выглядит так. На сайт поступает бесконечное число сообщений, фейковых пакетов, месседжей, которые срочно хотят соединиться с онлайн-ресурсом. Иногда на этом этапе мошенники информируют хозяина интернет-магазина, что запустили DDoS. Обещают прекратить атаку, если получат выкуп. Как правило, деньги требуют в криптовалюте, чтобы личность хакеров не удалось вычислить.

Можно ли остановить DDoS-атаку?

От DDoS-атаки никто не застрахован. Но, отследив преступление на начальной стадии и обратившись к киберспециалисту, можно спасти сайт.

Увы, зачастую игроки сферы электронной коммерции до последнего не понимают, что попали в беду. А когда осознают, что с ними случилась атака «доведение системы до отказа», уже поздно. Поэтому лучше всего – сразу же вызывать специалистов из службы мгновенного реагирования на инциденты, если заметите следующие признаки:

• сайт выдает ошибку 503;
• соединение слишком медленное;
• происходит ничем не объяснимый, неадекватный всплеск трафика (имеется в виду, что вы не проводите сумасшедшую распродажу, которая могла бы привлечь такое количество посетителей на ваш сайт).

Атака посредника

Еще одной распространенной атакой является Man in the Middle (дословно – «человек посредине»). Во время общения покупателя с продавцом или поставщиком в беседе появляется третье лицо – некий хакер, о чем, конечно, никто не подозревает. 

Мошенник встраивает на страницу, где предполагается провести оплату, фейковый чат – и ведет беседу сразу с двумя сторонами коммуникации. Общаясь с клиентом, притворяется системой онлайн-банкинга. Просит сообщить информацию о карте. Дальше продолжает разговор с владельцем интернет-магазина, представляясь клиентом, который планирует оплатить заказ прямо сейчас. Техническая поддержка, не подозревая, что столкнулась с атакой посредника, предоставляет данные пользователя, и хакер входит в аккаунт пользователя. В дальнейшем делает заказы и расплачивается чужой картой.

Когда пользователь обнаруживает факт преступления, хакера и след простыл. А на плечи владельца интернет-магазина ложатся финансовые проблемы, не говоря уже о потере репутации.

Как избежать атаки посредника?

1. Всегда используйте VPN. Виртуальная приватная сеть зашифрует информацию, которую вы передаете по сети. Ваш трафик проходит через специальный сервер. Но сможет ли VPN обеспечить тотальную защиту от атак посредника? Об этом спорят многие представители IT-сообщества. В любом случае виртуальная сеть однозначно сделает вас труднодостижимой целью для хакеров. А здесь, как и в электричестве, ток всегда идет по меньшему сопротивлению.
2. Не открывайте незнакомые ссылки или письма, пришедшие на электронную почту от анонимов. Если имэйл со ссылкой от вашего знакомого, помните: возможно, его взломали. Так что не поленитесь уточнить лично, отправлял ли пользователь файлы и ссылки.
3. Иногда бывает так: от имени крупной платформы (например, Amazon) вам пришло предложение приобрести товар по 90%-ной скидке. Всегда помните: бесплатный сыр только в мышеловке. Скорее всего, название бренда использует хакер. Это легко проверить: введите в отдельном браузере адрес сайта платформы и проверьте, есть ли там распродажа.
4. Устанавливайте патчи на программное обеспечение. Разработчики должны позаботиться об обновлениях. А самое безопасное – пользоваться приватными браузерами и мессенджерами.
5. Инсталлируйте DNSSEC – пакет расширений протокола IETF. Это уменьшит количество случаев подмены DNS.

Чем опасны боты?

Боты – это автоматизированные угрозы безопасности. Так называемые «плохие» (вирусные) боты используются, чтобы вмешиваться в работу веб-приложений. Часто именно из-за ботов происходит «падение» сайта и пропадает личная информация пользователей.

Представьте себе ситуацию. Ваш конкурент продает товар по более низкой цене, и некогда верная аудитория переметнулась на его сторону. Популярность таких услуг, как хакинг-как-сервис, доказывает, что в такой ситуации многие обращаются к киберпреступникам и просят, чтобы конкурента атаковали боты. 

Дальше события развиваются так. Боты добавляют определенную продукцию в корзину, но имитируют выход с сайта перед завершением сделки. Разумеется, юзерам приходит сообщение, что данный товар закончился. Таким образом, реальные клиенты не могут заказать продукт, а автоматизированные боты не собираются приобретать товар.

Как противостоять ботам?

Чтобы справиться с проблемой, стоит заранее подумать о последствиях атаки ботами. Установите лимит на время, в течение которого потенциальные покупатели могут хранить желаемый товар в корзине. Также решите, какое количество раз можно добавлять продукт без ущерба для интересов клиента, но с целью ограничить доступ ботам.

Заключение

Развитие IT-технологий можно сравнить со снежным комом, который с огромной скоростью катится с горы, с каждым метром прибавляя в размере и массе. Этот шар уже не остановить, вся наша жизнь постепенно становится цифровой. Плохо это или хорошо, покажет время. Но уже ясно одно: в новом мире нам никуда не деться от преступников и всякого рода мошенников, которые тоже идут в ногу со временем и всегда появляются там, где проходят финансовые потоки. А тем более в такое непростое время, связанное с локдауном во всем мире. 

Из-за невозможности выйти в магазин за продуктами люди, которые раньше не пользовались услугами интернет-магазинов, вынуждены заказывать товары через онлайн-платформы, не всегда понимая, как обезопасить себя в интернете от мошенников. Попадают на удочку киберпреступников, лишаясь последнего. Ответственность (пусть и косвенная) ложится на владельцев интернет-платформ, которые порой не хотят инвестировать в кибербезопасность предприятия. Тем самым подставляют не только себя, но и своих клиентов.