Як захистити бізнес в інтернеті від шахраїв та хакерів: керівництво до дії

Як захистити бізнес в інтернеті від шахраїв та хакерів: керівництво до дії

Кібератаки у сфері електронної комерції – не рідкість. Пандемія запалила зелене світло для компаній, які давно хотіли зосередитись на онлайн-торгівлі. Але й хакери не сплять: за наявності просунутого ПЗ шахраї здійснюють злочинні дії безбоязно, адже в мережі легко залишатися анонімом. Як забезпечити гідний рівень захисту для онлайн-бізнесу? Поговоримо у матеріалі.

Цифри не брешуть

У 2018 році преса заговорила про атаки хакерів на мережеві-магазини. Забила на сполох компанія Magneto IT Solutions – і дуже навіть не дарма. 29% трафіку сайтів містять потенційну небезпеку для eCommerce магазинів. 92,4% вірусних атак відбуваються, тому що власники інтернет-бізнесу переходять за шкідливими посиланнями, що надходять на електронну пошту. А 50% керівників невеликих фірм зізнаються, що атаки хакерів стають все більш досконалими.

Здебільшого під удар потрапляють маленькі компанії, 60% із них закривають бізнес через півроку. Та й загалом лише 38% організацій здатні вижити після атаки хакерів. Сфера електронної комерції становить неймовірний інтерес для шахраїв, тому що її представники оперують персональними даними клієнтів, зокрема деталями банківських карток покупців. Також хакери крадуть гроші самих компаній і прагнуть заволодіти доступом до облікових записів користувачів.

Як хакерські атаки позначилися на бізнесі? Accenture Security вважає, що поганий вплив незаперечний: організації витратили $2 613 952, щоб відновити ділові процеси в 2018 році. Це на 11% більше, ніж витрати на відновлення систем у 2017 році.

2019-го ситуація погіршилася. Експерти Risk Based Security встановили, що кіберзлочинці заволоділи незліченною кількістю логінів, паролів та банківських карток – саме така інформація містилася в 4,1 млрд акаунтів, які потрапили до «темного вебу» в результаті витоку даних. Адже якщо користувач не знає, як провести тест на витік DNS, кіберзлочинці отримують доступ до всієї онлайн-активності.

Подальша статистика має такий вигляд. 85% організацій зіштовхнулися з фішингом та соціальною інженерією. З 2019 року “мейнстрімом” стали інсайдерські атаки. Що це означає? У кожній компанії є співробітники, які або незадоволені керівництвом, або займаються виробничим шпигунством, «зливають» інформацію. А також відбулися потужні атаки з використанням ransomware (програм-вимагачів). Удар припав на юристів, медиків, виробників програмного забезпечення.

Причина злому банальна. Співробітники забувають поставити антивірус, проходять за підозрілими посиланнями, повідомляють персональні дані неперевіреним особам, не бачать сенсу робити бекап – резервне копіювання даних.

Герої нашого часу

В останні роки світ і так схвильований кібератаками. Але з початком пандемії практично всі організації – як торгові, так і фінансові – вийшли в мережу, і частка eCommerce на ринку ретейлу піднялася до 17% у 2020 році, згідно зі звітом UNCTAD та eTrade. Як то кажуть, святе місце порожнім не буває. Там, де обертаються гроші, з’являються й охочі поживитися за чужий рахунок. Дивуватися нема чому: з 2019 по 2020 продаж в електронній комерції зріс майже на трильйон доларів!

Не треба бути екстрасенсом, щоб передбачити, що з огляду на нинішні реалії у вигляді пандемії онлайн-продажу зростуть ще більше. Зокрема, аналітики Cybervore погоджуються з прогнозом eMarketer, згідно з яким до грудня 2021 року американські гравці eCommerce продадуть товар онлайн на суму, що перевищує $843,15 млрд.

Але як щодо кібербезпеки? Адже успіх онлайн-магазину залежить не лише від якості продукції, а й від безпечного простору. На жаль, більшість представників електронної комерції в США не можуть похвалитися дотриманням норм ІБ. Дослідження компанії Cyberpion показало, що 83% організацій технічно уразливі для хакерів.

Розглянемо кожну проблему та вразливості детальніше.

Все, що тобі потрібно – це… гроші!

Компанія N-iX підрахувала, що до 2023 шахрайства з використанням CNP (операцій без присутності карти) зростуть на 14%. До зазначеного періоду власники онлайн-магазинів можуть сумарно втратити $13 млрд. Нинішнього року мережеве шахрайство набуло нових обрисів.

  • «Дружній фрод» – користувач робить замовлення, оплачує товар, а потім стверджує, що йому прийшла зіпсована продукція та вимагає від банку зробити повернення. Якщо власник інтернет-магазину не зможе довести справність товару, банк відповідає вимогам клієнта. А шахрай, своєю чергою, отримує товар безкоштовно.
  • Тріангуляція – аферисти створюють інтернет-магазин та пропонують придбати якісний товар за надзвичайно низькими цінами. Обіцяють надіслати продукт одразу після оплати онлайн. На цій стадії хакер дізнається про дані кредитної картки клієнта. Спільник шахрая замовляє товар у реальному магазині та відправляє покупцю. А в цей час хакери купують додаткову продукцію для себе, скориставшись коштами ні про що не підозрюючого клієнта.
  • Тріангуляція перетікає в так зване «чисте шахрайство». Хакери, що заволоділи персональними даними чужої кредитної картки, здійснюють оплати в обхід систем автентифікації. Перед тим як зробити покупку, шахраї тестують картку і дізнаються якомога більше інформації про жертву. Це найнебезпечніший тип фінансових злочинів на сьогоднішній день, адже хакерів знайти неможливо, а банк упевнений, що всі транзакції проводить покупець.

Як протистояти фінансовим атакам?

Звичайно, кожен користувач повинен дбати про власну безпеку. Але, якщо ваш сайт зламали хакери, і через це користувачі втратили гроші, аудиторія звинуватить саме компанію. Тому власникам мережевого бізнесу варто подбати про дотримання норм кібербезпеки.

  • Впроваджуйте стандарт PCI, який забезпечує безпеку зібраної інформації про кредитні картки.
  • Використовуйте систему адресної верифікації, яка порівнює фактичну адресу власника картки з інформацією, збереженою емітентом.
  • Не забудьте про SSL-сертифікат, який гарантує безпечну комунікацію на сайті за допомогою шифрування даних.
  • Використовуйте безпечні протоколи https, які захищають дані клієнта.

На щастя, на сьогоднішній день з’являються алгоритми штучного інтелекту та машинного навчання, які фіксують проблеми та надсилають повідомлення, якщо щось іде не так. Ці системи здатні ідентифікувати фрод і навіть скасувати транзакцію!

«Код» у сумці

Іноді хакери вбудовують шкідливий код на платіжну сторінку інтернет-магазину. Неправильне (але навмисне) перепрограмування веб-застосунків призводить до того, що шахрай може використовувати фінанси онлайн-платформи, як йому заманеться. У сфері електронної комерції вирізняють такі кіберзлочини з використанням вірусного коду.

  • Міжсайтовий скриптинг (XSS) – на сервер вбудовується вірусний скрипт, який краде cookies. На гроші користувачів ніхто не претендує, адже ласим шматочком для шахрая є персональні дані та облікові записи, які можна продати в «темному вебі».
  • SQL-ін’єкція – вбудовування фейкового коду на сторінку онлайн-магазину призводить до крадіжки баз даних.
  • «Інфікування» cookie – файли cookie піддаються модифікації, а хакер отримує доступ до несанкціонованої інформації про користувачів сайту.
  • Керування віддаленим кодом (Remote Command Execution) – кібератака, під час якої хакер у віддаленому режимі надсилає команди на чужий електронний пристрій.
  • Атака з обходом каталогів (File-Path Traversal) спрямована на файли та директорії, що зберігаються в кореневій папці веб-програми.

Захиститись від вбудованих кодів – у ваших силах!

Забезпечуючи заходи захисту від хакерів у сфері електронної комерції, ваше завдання – переконатися в тому, що веб-програми налаштовані правильно.

  • Використовуйте веб-хостинг із належним рівнем захисту на етапі створення власного сайту.
  • Налаштуйте брандмауер веб-програм, щоб визначати шкідливі запити та відповідати на них, уникаючи ризиків. У сфері електронної комерції актуальним буде шлюз прикладного рівня (Application-level getaway) та проксі-файєрвол.
  • Не використовуйте cookies для збереження персональних даних чи сенситивної інформації. Завжди зашифровуйте інформацію, яка зберігається у cookies.

Піти у відмову

Атака, націлена на доведення системи вщерть, більш відома під абревіатурою DDoS. Суть такої атаки – «покласти» сервер, тобто направити на мережу онлайн-магазину стільки запитів та трафіку, щоб система не витримала. Визначити DDoS непросто, адже власник онлайн-майданчика може думати, що має проблеми з інтернетом, а користувач буде впевнений, що через технічні неполадки не завантажується сайт.

Атака має такий вигляд. На сайт надходить безліч повідомлень, фейкових пакетів, меседжів, які терміново хочуть з’єднатися з онлайн-ресурсом. Іноді на цьому етапі шахраї інформують господаря інтернет-магазину, який запустили DDoS. Обіцяють припинити атаку, якщо отримають викуп. Як правило, гроші вимагають у криптовалюті, щоб особистість хакерів не вдалося вирахувати.

Чи можна зупинити DDoS-атаку?

Від DDoS-атаки ніхто не застрахований. Але, відстеживши злочин на початковій стадії та звернувшись до кіберфахівця, можна врятувати сайт.

На жаль, найчастіше гравці сфери електронної комерції до останнього не розуміють, що потрапили в халепу. А коли усвідомлюють, що з ними трапилася атака «доведення системи вщент», вже пізно. Тому найкраще – відразу викликати фахівців зі служби миттєвого реагування на інциденти, якщо помітите такі ознаки:

  • сайт видає помилку 503;
  • з’єднання надто повільне;
  • відбувається нічим не зрозумілий, неадекватний сплеск трафіку (мається на увазі, що ви не проводите божевільний розпродаж, який міг би залучити таку кількість відвідувачів на ваш сайт).

Атака посередника

Ще однією поширеною атакою є Man in the Middle (дослівно – “людина посередині”). Під час спілкування покупця з продавцем або постачальником у розмові з’являється третя особа – хакер, про що, звичайно, ніхто не підозрює.

Шахрай вбудовує на сторінку, де передбачається провести оплату, фейковий чат – і розмовляє відразу з двома сторонами комунікації. Спілкуючись із клієнтом, прикидається системою онлайн-банкінгу. Просить повідомити інформацію про картку. Далі продовжує розмову з власником інтернет-магазину, представляючись клієнтом, який планує сплатити замовлення прямо зараз. Технічна підтримка, не підозрюючи, що зіткнулася з атакою посередника, надає дані користувача, і хакер входить до облікового запису користувача. Надалі робить замовлення та розплачується чужою картою.

Коли користувач виявляє факт злочину, хакер і слід простиг. А на плечі власника інтернет-магазину лягають фінансові проблеми, не говорячи вже про втрату репутації.

Як уникнути атак посередника?

  1. Завжди використовуйте VPN. Віртуальна приватна мережа зашифрує інформацію, яку ви передаєте через мережу. Ваш трафік відбувається через спеціальний сервер. Але чи зможе VPN забезпечити тотальний захист від атак посередника? Про це сперечаються багато представників IT-спільноти. У будь-якому випадку віртуальна мережа однозначно зробить вас важкою метою для хакерів. А тут, як і в електриці, струм завжди йде за меншим опором.
  2. Не відкривайте незнайомі посилання або листи, які надходять на електронну пошту від анонімів. Якщо імейл із посиланням від вашого знайомого, пам’ятайте: можливо, його зламали. Так що не полінуйтеся уточнити особисто, чи надсилав користувач файли та посилання.
  3. Іноді буває так: від імені великої платформи (наприклад, Amazon) вам прийшла пропозиція придбати товар за 90% знижкою. Завжди пам’ятайте: безкоштовний сир тільки в мишоловці. Швидше за все назва бренду використовує хакер. Це легко перевірити: введіть в окремому браузері адресу сайту платформи та перевірте, чи є там розпродаж.
  4. Встановлюйте патчі на програмне забезпечення. Розробники повинні подбати про оновлення. А найбезпечніше – користуватися приватними браузерами та месенджерами.
  5. Інсталюйте DNSSEC – пакет розширень IETF. Це зменшить кількість випадків заміни DNS.

Чим небезпечні боти?

Боти – це автоматизовані загрози безпеці. Так звані погані (вірусні) боти використовуються, щоб втручатися в роботу веб-додатків. Часто саме через боти відбувається «падіння» сайту та зникає особиста інформація користувачів.

Уявіть собі ситуацію. Ваш конкурент продає товар за нижчою ціною, і колись вірна аудиторія перекинулася на його бік. Популярність таких послуг, як хакінг-як-сервіс, доводить, що в такій ситуації багато хто звертається до кіберзлочинців і просить, щоб конкурента атакували боти.

Далі події розвиваються так. Боти додають певну продукцію в кошик, але імітують вихід із сайту перед завершенням угоди. Вочевидь, користувачам надходить повідомлення, що це товар закінчився. Таким чином, реальні клієнти не можуть замовити продукт, а автоматизовані боти не мають наміру купувати товар.

Як протистояти ботам?

Щоб впоратися із проблемою, варто заздалегідь подумати про наслідки атаки ботами. Встановіть ліміт на час, протягом якого потенційні покупці можуть зберігати бажаний товар у кошику. Також вирішіть, скільки разів можна додавати продукт без шкоди для інтересів клієнта, але з метою обмежити доступ роботам.

Висновок

Розвиток IT-технологій можна порівняти зі сніговою грудкою, яка з великою швидкістю котиться з гори, з кожним метром додаючи у розмірі та масі. Цю кулю вже не зупинити, все наше життя поступово стає цифровим. Погано це чи добре, покаже час. Але вже ясно одне: у новому світі нам нікуди не подітися від злочинців та всякого роду шахраїв, які теж йдуть у ногу з часом і завжди з’являються там, де проходять фінансові потоки. А тим більше в такий непростий час, пов’язаний із локдауном у всьому світі.

Через неможливість вийти в магазин за продуктами люди, які раніше не користувалися послугами інтернет-магазинів, змушені замовляти товари через онлайн-платформи, не завжди розуміючи, як убезпечити себе від шахраїв. Попадають на вудку кіберзлочинців, позбавляючись останнього. Відповідальність (нехай і непряма) лягає на власників інтернет-платформ, які часом не хочуть інвестувати у кібербезпеку підприємства. Тим самим підставлять не лише себе, а й своїх клієнтів.