21.12.2022, 17:20
ADPASS рекомендует материал к прочтению
Материал блога компании: Альтера

Как защитить интернет-магазин от хакеров

Поделиться
Можно ли взломать сайт в e-commerce? Ответ однозначный: да. Сфера электронной коммерции попала в поле зрения хакеров несколько лет назад, а в период пандемии, когда шоппинг перешел в онлайн-режим, кибератаки участились. Как же защитить онлайн-бизнес от угроз цифровой эпохи?

Экскурс в историю

Хакеры не первый год атакуют интернет-магазины и мастерски заметают следы. В 2018 аналитики Magneto IT Solutions сообщили, что 43% кибератак нацелены на небольшие компании. 54% организаций пострадали в результате хакерских нападений. 60% фирм, столкнувшихся с киберпреступниками, закрылись в течение шести месяцев. Лишь 38% предприятий во всем мире смогли противостоять хакерам. А в отчете Accenture Security указано, что ущерб от вирусных атак обошелся глобальному бизнесу в $2,613,952, что на 11% превысило аналогичный показатель 2017-го. В зону риска в основном попадали веб-приложения.

В 2019 году, по информации Risk Based Security, хакеры организовали масштабные утечки данных, чтобы украсть 4,1 млрд реквизитов аккаунтов. При этом 85% организаций столкнулись с фишингом и социальной инженерией. И если в 2018 году боялись внешнего врага, то в 2019 нападения производились инсайдерами — сотрудниками организации, которые «сливали» информацию за деньги либо чтобы отомстить руководству.

В этом же году произошли мощные атаки программами-вымогателями (ransomware). В зоне риска оказались профессиональные услуги: например, юристы и сертифицированные финансовые консультанты (22,4%), производители программного обеспечения (17,2%), представители сферы здравоохранения (10,3%). Причина взлома — отсутствие технической готовности бизнеса отразить кибератаку и непонимание, зачем нужно делать резервное копирование данных. Об этом говорится в отчете Coveware.

Пандемия внесла свои коррективы в работу бизнеса. Торговые организации и потребители перешли в онлайн-режим, и в связи с этим доля электронной коммерции на глобальном рынке ритейла выросла с 14% (2019) до 17% (2020), сообщается в отчете UNCTAD и eTrade.

Но перспективы e-commerce привлекли не только предпринимателей, но и киберпреступников. И это неудивительно: продажи в данной сфере достигли $3.354 трлн в 2019, а в 2020 — 4.28 трлн, как демонстрирует Statista. Вот и хакеры быстро поняли, что взламывая сайты интернет-магазинов, можно получить доступ к почти неисчерпаемому финансовому источнику. При этом в зоне риска оказались не только корпорации, но и малый бизнес.

Многие онлайн-магазины стараются защитить корпоративную информации в облачных инструментах. Но такие SaaS-приложения, как QuickBooks и Trello, тоже подвержены взлому. Да и платформы для e-commerce типа Shopify и BigCommerce не гарантируют полной сохранности данных. А бесплатные шаблоны для электронной коммерции (допустим, WooCommerce на базе WordPress) и вовсе предполагают, что нужно устанавливать плагины безопасности, если предприниматели хотят защититься от хакеров.

Но к сожалению, не все игроки онлайн-бизнеса оказались готовы к требованиям эпохи. И многие бизнесмены занимаются коммерцией, выпуском продукта, распространением — и не уделяют должного внимания информационной безопасности сайта. А киберпреступники, зная об этом, атакуют еще серьезнее.

Лакомый кусочек

Что нужно хакерам?

  • персональные данные клиентов;

  • финансовая информация организации;

  • имена пользователей и доступы к аккаунтам.

Почему представители электронной коммерции интересны киберпреступникам? Есть несколько причин:

  • Финансовая мотивация, конечно, самая сильная. Внедрение зловредного кода на страницу покупки позволяет перевести деньги за товар на счет злоумышленников.

  • Онлайн-мошенничество несет в себе и косвенную выгоду для преступников. Если хакер взломает сайт и украдет базу данных, можно будет рассылать клиентам бренда фейковые письма с предложением скачать файл или перейти по ссылке. Проделав это, пользователь, сам того не зная, может сообщить свои персональные данные хакерам, включая платежные данные: данные кредитных карт, логины и пароли от банковского аккаунта (в случае заполнения «фейковых» форм на сайте).

  • Мошенники могут взломать личный аккаунт, чтобы использовать его для рассылки фейковых писем. Преступники регистрируются под электронной почтой жертвы на платформах для шоппинга и проводят свои махинации от имени человека, который ничего об этом не знает. Например, мошенники могут выставить товар на продажу, покупатели оплатят, но не получат продукцию. А когда заявят в службу поддержку, виноватым окажется пользователь, чей email был взломан ранее, но указан при регистрации. Тем временем самого хакера и след простыл.

  • Многие игроки в сфере электронной коммерции пользуются инструментом для онлайн-банкинга PayPal. Хакеры знают, что на счетах скрыты огромные суммы. Выбирают жертву, отправляют ложную информацию о том, что администрация PayPal сочла аккаунт владельца интернет-магазина подозрительным. Дабы разблокировать профиль (который на самом деле в полном порядке), пользователь должен перейти по ссылке. Сделав то, что от нее просят, жертва добровольно передает доступ от аккаунта мошенникам. А те распоряжаются чужими средствами, как им вздумается.

Кибератаки оказывают колоссальное влияние на бизнес в e-commerce. Чтобы защитить себя, приходится тратить огромные суммы на работу отдела в сфере кибербезопасности, тестировщиков на возможность проникновения в систему. Также если произошла утечка информации, об этом необходимо сообщить клиентам и выплатить компенсацию. Кроме того, если компания стала жертвой программ-вымогателей, приходится платить выкуп в обмен на ценную информацию или разблокировку системы. В частности, компания Sophos провела исследование и выяснила:

  • сайты e-commerce, специализирующиеся на ритейле и образовании, столкнулись с шантажом, который повлек за собой суммарную выплату более чем $1.97 млн;

  • 54% организаций сообщили, что киберпреступники успешно зашифровали их данные;

  • 32% заявили, что не смогли своими силами разблокировать доступ к базам данных и системе — поэтому им пришлось платить выкуп;

  • но даже те, кто пошел навстречу вымогателям, восстановили лишь 67% информации, треть осталась вне зоны доступа.

Из-за кибератак под угрозой репутация организаций. Когда клиенты и поставщики узнают о хакерской атаке на бренд, они чувствуют, что их данные не в безопасности. Например, компания Target рассказывала о том, что ее репутация пошатнулась после утечки информации в 2013 году. Мошенники получили доступ к сведениям о кредитных картах 40 млн покупателей. Чтобы восстановить систему, сотрудники Target потратили $18.5 млн.

Компании, ставшие жертвой киберпреступников, также сталкиваются с кратковременным падением рыночной стоимости продукта. Исследование Comparitech проанализировало 40 случаев утечки данных из 34 организаций на Нью-Йоркской фондовой бирже. Как выяснилось, цена акций «инфицированных» брендов упала в среднем на 3,5%.

Из-за киберпреступности страдает интеллектуальная собственность в e-commerce — дизайн продукта, технологии, маркетинговые стратегии. При этом многие объекты авторского права хранятся в облачных серверах, которые также не защищены от хакеров должным образом. 30% американских e-commerce компаний заявили, что на протяжении 10 лет их китайские партнеры «заимствуют» то, что по праву принадлежит бизнесу в США.

Взрослые игры

В области электронной коммерции чаще всего встречаются следующие виды киберпреступлений:

  • финансовое мошенничество — кража персональных данных (паролей, ID, номеров банковских карт и использование их для нужд мошенников);

  • DDoS-атака — хакерское нападение, бомбардировка трафиком, который сеть не может вынести, с целью довести систему до отказа;

  • атака посредника (man-in-the-middle) – подразумевает, что хакер тайным образом вторгается в пространство общения двух сторон, прерывает существующий разговор или передачу данных, а войдя в середину «цепи», попеременно притворяется то одним, то другим участником обмена данными;

  • вредоносные боты – имитируют органический трафик, проходящий через веб-приложения, так что со стороны кажется, что взаимодействуют реальные пользователи;

  • вирусы — разновидность программного обеспечения, созданного для того, чтобы нанести вред компьютерной системе;

  • фишинговые скамы — мошенник звонит по телефону или пишет по e-mail, представляется банком, Интернет-провайдером или любой другой официальной компанией и обманом выманивает персональные данные (номера банковских аккаунтов, пароли и PIN-коды карт);

  • веб-скимминг — злоумышленники добавляют вирусный код на сайт интернет-магазина (как правило, на страницу проведения платежа), посредством приложений третьих лиц, в результате информация о кредитных картах и персональные данные пользователей похищены.

При этом три последних вида часто входят в состав других атак. Например, финансовое мошенничество совершается посредством веб-скимминга, а в ходе атаки посредника преступники используют фишинговые письма.

Рассмотрим признаки и последствия основных киберпреступлений, а также методы борьбы с хакерами.

Финансовое мошенничество

Итак, как понять, что вы стали жертвами чьих-то махинаций? Есть несколько признаков:

  • вы получаете уведомления о попытке входа в банковский аккаунт, хотя этого не делали;

  • вам пришло сообщение с просьбой сообщить Apple ID (ведь это на сегодняшний день самое надежное хранилище персональных данных пользователей);

  • вы получили квитанцию об оплате медицинских услуг (увы, манипуляции чужим здоровьем — излюбленная тема для хакеров);

  • вам пришло сообщение, что отказано в кредите, хотя вы и не планировали брать деньги у банка взаймы;

  • вам звонят коллекторы и требуют вернуть деньги, хотя вы точно не брали никаких кредитов.

Как предотвратить кражу средств?

Важно соблюдать базовые меры безопасности: надежный рандомный пароль, лицензионное программное обеспечение.

Безопасные платформы e-commerce обновляются автоматически. Но если этого не происходит, коммерческим деятелям стоит быть начеку — и загружать патчи и обновления самостоятельно, если они выходят на рынок.

DDoS-атака

Атака «доведение системы до отказа» нацелена на сайты интернет-магазинов. Цель — отправить на сервер или сеть такое количество трафика, которое система просто не сможет переработать, и случится крах. Сайт станет недоступен, либо пользователь не сможет загрузить страницу, думая, что у него неполадки с интернет-соединением.

Вредоносный трафик состоит из поступающих сообщений, запросов или фейковых пакетов, которые буквально «требуют» соединиться с сайтом.

В некоторых случаях хакеры требуют, чтобы владельцы сайтов заплатили выкуп в криптовалюте. Иначе DDoS-атака не прекратится.

Поэтому важно сразу обращаться к специалистам, если заметите один из этих признаков.

  • IP-адрес генерирует больше запросов в секунду, чем обычно.

  • На сайте возникает ошибка 503.

  • TTL на пинг-запрос показывает, что время вышло.

  • Соединение замедляется.

  • Анализ логов демонстрирует большой всплеск трафика.

Как купировать DDoS-атаку?

Однозначно, лучшая битва — та, которая не состоялась. Поэтому нужно предпринять некоторые меры во избежание DDoS-атак.

  • Защитите доменное имя интернет-магазина путем регистрации.

  • Убедитесь, что сведения о контактах доступны сервисным провайдерам и клиентам.

  • Обеспечьте мониторинг доступности сайта в режиме реального времени, чтобы отследить начало DDoS-атаки.

  • Помните, что хакеры скорее нацелятся на разделение критических онлайн-сервисов (таких, как электронная почта) от других сетевых услуг (например, веб-хостинги).

  • Подготовьте статическую версию сайта, требующую минимальной поддержки и пропускной способности, чтобы в случае атаки поддерживать жизнеспособность сервиса.

  • Воспользуйтесь облачными хостингами от ведущих провайдеров в данной сфере с высокой пропускной способностью и сетями предоставления контента, которые кэшируют нединамические сайты интернет-магазинов.

Атака посредника

Обычно атака посредника на интернет-магазин происходит по двум сценариям.

1. В случае отсутствия HTTPS на сайте хакер перехватывает передачу данных между клиентом и сервером. Обманывая клиента, заставляет последнего думать, что по-прежнему происходит коммуникация с сервером и так далее. В это время киберпреступник устанавливает сниффер для анализа сетевого трафика. Как только пользователь залогинился на сайте, хакер получает доступ к данным юзера и перенаправляет их на фейковый портал, который имитирует реальный интернет-магазин. Именно на хакерской платформе удается перехватить ценную информацию.

2. Мошенник вторгается в разговор, проходя сквозь отдельные сегменты дискуссии. Хакер запускает фейковый чат-сервис, например, на странице проведения оплаты. Притворяется банком или платежной системой и начинает беседу с потенциальной жертвой. И это не все — преступник притворяется реальным пользователем, который сейчас хочет провести транзакцию в Интернет-магазине, обращается в чат платежной системы и получает необходимую информацию для вторжения в аккаунт юзера.

Известнейший пример такой атаки произошел в 2006 году, когда сайт AT&T DSL атаковали хакеры. Мошенники принялись рассылать клиентам письма по электронной почте с информацией, что с их карточек нельзя снять деньги, так как банк не предоставил необходимые сведения. Письма выглядели достаточно реалистичными, включали номер заказа, последние 4 цифры карты. Реципиентов перенаправляли на фейковый сайт, где предлагалось «обновить» данные карты, предоставив больше информации — номер социального страхования и дату рождения. Те пользователи, которые последовали за редиректом, передали персональные данные хакерам.

Как справиться с атакой посредника?

  • Возьмите за правило пользоваться виртуальной приватной сетью. VPN спрячет ваш IP-адрес, проводя трафик через специальный сервер, а также зашифрует информацию, передаваемую по сети. Пусть эта мера не сможет полностью защитить вас от атак посредника. Но скорее всего киберпреступники захотят найти жертву, которую проще взломать.

  • Для атаки посредника мошенники часто используют редирект — переводят жертву на фейковый сайт и изымают персональные данные ни о чем не подозревающего пользователя. Поэтому важно смотреть, защищен ли сайт, на который вас направляют — содержит ли он https:// вместо http соединения. Кроме того, хорошая идея — вручную набирать необходимый сайт в адресной строке, а не полагаться на ссылку, которую вам прислали. Конечно, это занимает больше времени, но зато экономит ваши силы в перспективе.

  • Не обсуждайте рабочие вопросы, подключившись к общественному Wi-Fi. Незащищенное соединение легко взломать, перехватив самые ценные сведения.

  • Обновляйте браузеры до последних версий, а еще лучше — пользуйтесь приватными мессенджерами и браузерами. Обращайте внимание на уведомление в браузере о том, что соединение небезопасно и переходить на сайт не стоит.

  • Отдавайте себе отчет, какие ссылки и электронные письма вы открываете. Внимательно проверяйте email отправителя, а лучше уточните у пользователя лично, что и зачем вам отправили. Если это письмо официального характера (например, PayPal с предложением разблокировать аккаунт или eBay с 99%-ным дисконтом), напишите в службу поддержки, уточните, действительно ли вам предлагают перейти по ссылке или скачать прикрепленный файл.

  • Установите DNSSEC — набор расширений IETF-протокола, который позволяет свести к минимуму атаки, в ходе которых хакер заменяет DNS-адрес в случае, если разрешены доменные имена.

Чем опасны боты?

Как сообщает DataDome, 30% трафика в сети приходится на ботов, способных ухудшить работу интернет-магазина, заставить сайт «упасть» и изъять персональные данные клиентов. Как же проявляют себя боты в электронной коммерции?

  • Боты выбирают вещи в онлайн-магазине, добавляют товар в корзину, но не завершают сделку. В то же время реальные покупатели видят уведомление, что продукция закончилась. Чтобы справиться с такой ситуацией, владельцы интернет-магазинов ограничивают время, в течение которого пользователи могут держать вещи в корзине — и количество раз добавления товара.

  • Более продвинутые боты приобретают лимитированные товары и продают их по более высокой цене. Скажем, в день релиза продукта бот использует мощность своего компьютера, чтобы купить как можно больше товаров одного типа. В итоге людям, которые планируют приобрести такой продукт, приходит уведомление «нет в наличии», а те, кто все-таки хочет купить товар, платят втридорога ботам. С такой атакой бороться непросто. Но современные инструменты мониторинга позволяют отслеживать ботов круглосуточно — и защищать пользователей от хитрых происков онлайн-мошенников.

  • Результатом активности ботов также может стать DDoS-атака на седьмом уровне — перегруз определенных элементов инфраструктуры в сервере веб-приложения. Целью такой атаки является модель OSI (стека сетевых протоколов). Единственный способ защиты — постоянное отслеживание активности на сайте и устранение ботов по мере возникновения проблемы.

Заключение

Технологии киберпреступников не стоят на месте. Многие хакеры нацеливаются именно на сферу электронной коммерции, ведь именно сюда вливаются колоссальные инвестиции. Но прибегая к мерам безопасности, владельцы интернет-магазинов способны защитить свой бизнес.

Крайне важно зашифровать данные, проходящие между веб-сервером компании и сайтом клиента. Для этого обычно внедряют SSL-сертификат, защищающий потребителей во время проведения платежей онлайн. Не стоит хранить на сервере супер-конфиденциальную информацию, особенно данные кредитных карт покупателей. По крайней мере, так предполагает стандарт безопасности PCI.

Наконец, важно внедрять дополнительные слои защиты на страницы интернет-магазина, которые отвечают за процесс регистрации покупателя, контактную форму и запросы (поиск).


Подписывайтесь на наш канал в Telegram, в котором мы делимся последними новостями digital-маркетинга, полезными чек-листами и лайфхаками.

Поделиться
Мы в соцсетях
Еженедельные рассылки ADPASS