eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › Jak chronić sklep internetowy i jego klientów?

Jak chronić sklep internetowy i jego klientów?

2019-12-01 00:35

Jak chronić sklep internetowy i jego klientów?

Sklep online © Florian - Fotolia.com

Sklep internetowy to łakomy kąsek dla cyberprzestępców, a ataki na e-sklepy i ich klientów to pełna gama e-przestępstw. Od „odmowy usługi” (DoS), która zamyka możliwość generowania przychodu, do kampanii typu ransomware, poprzez które wyłudzane są dane i środki finansowe. Sezonowe szaleństwo sprzedażowe w e-commerce, które zaczyna się w czarny piątek, obejmuje świąteczne zakupy, a kończy styczniowymi wyprzedażami, jest szczególną okazją dla cyberprzestępców. Gwałtowny wzrost zakupów online znacznie ułatwia hakerom życie. Z jakich metod korzystają najczęściej?

Przeczytaj także: Na cyberataki naraża nas zbytnia pewność siebie

Formjacking – infekcja przenoszona drogą źródłową


W trakcie okresu wzmożonych zakupów jednym z większych zagrożeń będzie formjacking. Zgodnie z F5 Labs 2019 Application Protection Report, jest jednym z częściej dziś występujących ataków sieciowych. W 2018 r. odpowiadał już za 71% naruszeń danych związanych z siecią.

Coraz więcej aplikacji łączy się z krytycznymi w e-commerce komponentami jak koszyk zakupowy, płatności bezgotówkowe, reklamy i analityka. Kod wykorzystywany do budowy aplikacji i komponentów krytycznych może być dostarczany z wielu źródeł. Te źródła w absolutnej większości nie są objęte zwykłymi środkami kontroli bezpieczeństwa w e-commerce. Wiele witryn wykorzystuje te same „cegiełki” do budowania serwisu – korzysta z tych samych źródeł kodu. Co to oznacza dla cyberbezpieczeństwa sklepu? Atakujący mają świadomość, że wystarczy zmienić jeden element takich powielanych kodów, aby infekcja dostała się do wielu witryn. Daje to następnie możliwość zbierania danych od bardzo dużych grup odbiorców, którzy są klientami tych sklepów.

fot. Florian - Fotolia.com

Sklep online

Zachęcaj klientów do sprawdzenia czy kupują w lokalizacji zaszyfrowanej – oznaczonej prefiksem „https” i symbolem kłódki.


Phishing – podszywanie się


Ulubieńcem cyberprzestępców pozostaje też phishing, ponieważ jest prostą metodą. Hakerzy nie muszą się napracować nad przebiciem przez firewall, budowaniem wymagającego ataku zero-day exploit czy deszyfrowaniem ruchu. W zeszłorocznym sezonie sprzedażowym (październik 2018 – styczeń 2019) F5 Security Operations Centre odnotowało aż 50% wzrost tego typu ataków. Marki i serwisy, które są najczęściej fałszowane to Facebook, Microsoft Office Exchange oraz Apple, ale może to być także sklep internetowy. Podobne działania ułatwiają media społecznościowe, w których nieustannie eksponowane są prywatne informacje i dane: od prywatnych maili i telefonów po preferencje zakupowe i sympatie dla marek.

Edukuj swoich klientów – niech wiedzą, że ich bezpieczeństwo jest dla Ciebie ważne


Ataki nakierowane bezpośrednio na sklep internetowy, mogą narazić na ogromne straty finansowe, zarówno pod kątem kosztów samego ataku, ale także strat w postaci np. braku możliwości prowadzenia sprzedaży. Jednak ogromne ryzyko, w tym także wizerunkowe, niosą także te działania hakerów, które bezpośrednio dotykają klientów, którzy odwiedzają e- sklep. Warto zaangażować się w akcje edukacyjne, które mają na celu uświadomić konsumentów, jakie zagrożenia na nich czyhają.

Masz sklep internetowy? Zobacz, co możesz zrobić dla klientów?


  • Bezpośrednio w witrynie czy materiałach promocyjnych zwróć uwagę, aby klienci nie robili zakupów za pomocą wyszukiwarek. Znacznie bezpieczniejsze jest wpisanie adresu sklepu odręcznie w przeglądarce;
  • Podpowiedz klientom, że fałszywe strony zawierają błędy językowe i w formatowaniu – jedna literka w adresie czy nieco inny kolor w logotypie powinny zwrócić ich uwagę i zaalarmować;
  • Zachęcaj klientów do sprawdzenia czy kupują w lokalizacji zaszyfrowanej – oznaczonej prefiksem „https” i symbolem kłódki. Nawet wtedy jednak należy zachować wzmożoną czujność: aż 71% stron phishingowych używa prefiksu „https”, aby być bardziej wiarygodnymi!
  • Hakerzy kolportujący phishing zwykle wysyłają przekonujące maile, w których proszą o prywatne czy finansowe informacje. Poważne i zaufane marki tego nie robią – warto jednak poinformować o tym klientów w witrynie i prowadzić politykę informacyjną, która dokładnie opisuje standardy, jakie stosuje sklep internetowy w procesie zakupowym.
  • Phishing and Fraud Report odnotowuje, że phishingowe wiadomości trzy razy częściej zawierają złośliwe linki niż załączniki – poproś klientów, aby ich nie klikali, nie otwierali. Jest to szczególnie ważne przy finalizowaniu transakcji np. potwierdzaniu zamówień czy płatności.
  • Szczególną uwagę poświęć bezpieczeństwu transakcji opłat – tu w grę wchodzą dane finansowe Twoich klientów – polityka Twojego sklepu powinna wyraźnie określać procedurę i narzędzia, być transparentna dla klienta, tym bardziej gdy korzystasz z serwisów dostawców zewnętrznych w tym obszarze.

Sprawdź ze swoim IT, czy pomyśleliście o wszystkich zabezpieczeniach


Na rynku dostępne są narzędzia IT do zwalczania nadużyć finansowych. Pomogą one wykryć niespójności transakcyjne w sytuacjach, gdy np. karta klienta jest używana na obcym urządzeniu. Zapewnienie wszelkich środków cyberbezpieczeństwa powinno być priorytetem. Warto skontaktować się ze swoim działem IT, żeby potwierdzić, że używane narzędzia są aktualne oraz kompletne. Na co sklep internetowy powinien zwracać uwagę?
  • W każdym systemie, który łączy się z zasobami wymagającymi ochrony, warto też wdrożyć rozwiązania do weryfikacji wieloskładnikowego uwierzytelniania. Uzupełnienie protokołów TLS/SSL szyfrowaniem warstwy aplikacji pozwoli zachować poufność na poziomie przeglądarki.
  • Ochronę danych osobowych i finansowych klienta podczas procesu finalizowania transakcji (check-out) wspierają tokeny i szyfrowanie w aplikacji. Inwentaryzując swoje aplikacje sieciowe rozpoznaj kontent pochodzący od dostawców zewnętrznych (kod z takich źródeł może być zainfekowany!). Proces ten jest złożony, ponieważ zewnętrzni dostawcy często łączą się z innymi stronami, które rzadko spełniają normy kontroli bezpieczeństwa.
  • Skanuj swoje podatności. Szefowie IT coraz częściej sięgają po możliwość przeprowadzania zewnętrznych testów, żeby spojrzeć na sytuację okiem hakera, co pozwala im na dokładne sprawdzenie stosowanych zabezpieczeń.
  • Monitoruj zmiany w kodzie, bez względu na to, gdzie jest hostowany. Oznacza to monitorowanie zarówno GitHub czy AWS S3 Buckets jak repozytoriów kodu natywnego.
  • Skorzystaj z rozwiązań do filtrowania sieci, aby zapobiec przypadkowym odwiedzinom użytkowników w witrynach wyłudzających informacje. W sytuacji, gdy klient klika w taki link, rozwiązanie do filtrowania zablokuje ruch wychodzący.
  • Badaj ruch szyfrowany pod kątem malware. Będzie do tego potrzebna bramka deszyfrująca – ruch pochodzący ze złośliwego oprogramowania komunikującego się z serwerami C&C (Command and Control) poprzez szyfrowane tunele jest niewykrywalny bez takiego narzędzia.
  • Popraw mechanizmy raportowania. Reakcja na incydenty zagrożenia powinna obejmować możliwość łatwego przekazania przez użytkowników informacji o podejrzeniach ataku phishingowego.

Ireneusz Wiśniewski, dyrektor zarządzający

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: