Akademia

4 najczęstsze problemy związane z bezpieczeństwem w eCommerce

Bezpieczeństwo transakcji na rynku eCommerce pomimo dynamicznych zmian utrzymuje wciąż jednakowo wysoki priorytet. Nic w tym dziwnego, świadczy ono o wiarygodności i składa się na wizerunek. Naturalne, że użytkownicy nie wrócą do platformy, która padła ofiarą cyberprzestępstwa, czy też wycieku danych, a takie informacje rozprzestrzeniają się z prędkością światła szczególnie w sieci. Nowe technologie wprowadzane na rynek internetowy zwiększają ryzyko naruszenia danych.

 

Mimo funkcjonującego już od dwóch lat rozporządzenia RODO nadal mamy poczucie, że nasze dane są nieco „nadużywane”. Stąd też wniosek dla wszystkich właścicieli firm funkcjonujących w przestrzeni handlu internetowego. Od samego początku należy dużą wagę przywiązywać do bezpieczeństwa danych, najlepiej wyznaczyć do tego specjalistów z działu IT, lub skorzystać z profesjonalnych usług firmy zewnętrznej – w zależności od tego, czy prowadzimy dużą lub małą firmę.

 

Jeżeli nie jesteśmy do końca przekonani co do jakości aktualnego poziomu zabezpieczeń, warto zlecić audyt bezpieczeństwa, który pozwoli zweryfikować wszelkie luki w tym zakresie. Audyty zwykle zlecane są na zewnątrz. Dzięki uzyskanym poaudytowym informacjom możliwe jest stworzenie systemu, który w pełni chroni dane osobowe klientów.

 

Poznaj 4 najczęściej spotykanie zagrożenia dla użytkowników eCommerce, oraz wskazówki na ich zwalczanie.

 

1. Rozproszona odmowa usługi (DDoS)

Z ang. distributed denial of service, jest to atak na usługę sieciową uniemożliwiający jej prawidłowe funkcjonowanie. Zasoby witryny są sztucznie zajmowane z wielu urządzeń jednocześnie, przez co strona z trudem się ładuje i poruszanie się po niej jest praktycznie niemożliwe dla użytkownika.

 

Takie ataki mogą mieć na celu zniszczenie reputacji dla danej firmy lub też wyłudzenie pieniędzy warunkując usunięcie sztucznego tłumu na witrynie po otrzymaniu danej kwoty. Zdarza się to niezbyt często, co nie oznacza, że nie może się przydarzyć właśnie nam.

 

Należy być czujnym, obserwować pojawiające się „nagłe skoki” wizyt w witrynie, z pomocą przychodzi tutaj usługa DDoS Protection, która automatycznie blokuje ruch w ramach ataku, a pozostały przekazywany jest do docelowego miejsca. Przychodzący ruch jest na bieżąco monitorowany i analizowany, a niechciane wizyty uznane za „nieuczciwe”, są natychmiast blokowane.

 

2. Łamanie haseł dostępu

W dzisiejszej dobie już nikomu nie trzeba przypominać, że bezpieczne hasło nie powinno brzmieć „12345”. Imiona pupilów, daty urodzenia i inne nie wchodzą w grę. Próbujemy znaleźć kompromis pomiędzy wygodą i nienagannym bezpieczeństwem. Często nie zdajemy sobie sprawy, jak zaawansowane technologie są w rękach niepowołanych osób, które ułatwiają im dotarcie do naszych haseł. Mając dostęp do kanałów społecznościowych, można wiele podstawowych informacji o użytkowniku uzyskać, które prawdopodobnie mogą pojawić się w hasłach.

 

Złamanie hasła administratora witryny jest o tyle niebezpieczne, że samo ujawnienie obecności niepożądanej może nastąpić po jakimś czasie. Wówczas wprowadzone mogą zostać różne negatywne zmiany, skradzione dane, oraz dokonane przelewy. Przy tym wszystkim ryzyko osoby z dostępem jest minimalne.

 

Zalecane jest korzystanie wewnętrznie z bardziej złożonych haseł i wymaganie tego samego od użytkowników, cykliczna zmiana haseł, oraz korzystanie z wielopoziomowego uwierzytelniania przy panelach administracyjnych. Wówczas dostęp zalogowanego użytkownika powiązany jest z inną formą weryfikacji, np. kodem wysyłanym za pomocą wiadomości sms.

 

Podstawową formą ochrony, na wypadek wystąpienia włamania na serwer i dokonania na nim zmian jest regularne tworzenie kopii zapasowych witryn. Mamy wtedy możliwość szybkiego powrócenia do zapisanych danych systemowych.

 

3. Oszustwa transakcyjne

Liczba wykonywanych przepływów pieniężnych oraz transakcji każdego dnia online jest niewyobrażalna. Najczęściej występujące oszustwa związane z płatnościami to kradzieże kart kredytowych, a także transakcje realizowane na niezabezpieczonych systemach, które łatwo przerwać i przekierować.

 

Aktualnie dostępne systemy zapewniają niespotykaną dotąd wygodę, jeśli chodzi o usługi finansowe. Banki służą wsparciem przy zastosowaniu czatów na żywo, a nowoczesne aplikacje umożliwiają anulowanie płatności. Niestety cyberprzestępcy są czujni, czekają na każdą chwilę nieuwagi, by dostać się do cennych danych.

 

Użytkownicy platform transakcyjnych są teraz świadomi znaczenia certyfikatów SSL i innych podstawowych oznaczeń świadczących o bezpiecznych witrynach. Mimo to takie wskaźniki często można sfałszować w sposób, który jest wystarczająco przekonujący dla większości ludzi. Ten rodzaj fałszerstwa może sprawić, że ustalenie, kiedy witryna internetowa zapewnia bezpieczną usługę, jest dość trudne. Konsumenci muszą być edukowani i czuć się pewniej w przestrzeni eCommerce.

 

Payment Card Industry Data Security Standard (PCI DSS), czyli norma bezpieczeństwa akceptacji kart płatniczych znacznie podniosła poziom bezpieczeństwa w płatnościach online. Każdy właściciel platformy eCommerce oferujący płatność kartą zobligowany jest do przestrzegania tej normy. Standard składa się z 12 wymagań zgrupowanych w 6 grup tematycznych. Weryfikacja zgodności ze standardem odbywa się raz na rok, a certyfikat można uzyskać online.

 

4. Wyłudzanie danych

Socjotechnika jest nauką, która prezentuje szeroki zakres metod uzyskiwania dostępów do różnych cennych systemów. Oszustwo tutaj dokonywane jest z poziomu społecznego, bez użycia dodatkowych technologii.
Wyłudzenie danych jest jedną z najczęściej występujących metod tzw. inżynierii społecznej. Zwykle polega to na udawaniu osoby godnej zaufania podczas kontaktu z „ofiarą wyłudzenia” oraz wykorzystaniu tego zaufania do uzyskania materialnej korzyści.

 

Jeszcze niedawno tego typu działania były częściej spotykane za pośrednictwem rozmów telefonicznych, listów, lub wizyt domowych. Jednak rozwój i wzrost popularności transakcji online spowodował przeniesienie się tych praktyk do sieci.

 

Obecnie osoby odpowiedzialne za wyłudzenia mają możliwości pozyskać informacje, w jakich sklepach zakupy robi użytkownik, fałszować wiadomości e-mail z tychże sklepów oraz załączać do wiadomości formularze zakupu. Oczywiście to nie wszystko. Mogą występować jako detaliści sprzedający za pomocą social media lub zakładać sklepy złudnie podobne do legalnych witryn.

 

Zjawisko wyłudzania danych jest trudne do zwalczenia i wciąż poszukuje się nowych metod, by ograniczać je do minimum. Ważne jest, by uświadamiać klientów o tym jak firma funkcjonuje w sieci. Tak naprawdę im więcej szczegółów, tym lepiej. Wskazówki dotyczące wiarygodności e-maili, danych, które firma może wymagać, a których na pewno nie zażąda, powinny być zawierane w treściach umieszczanych na głównej witrynie, oraz w materiałach marketingowych. Warto też wypracować specyficzne elementy przy dokonywaniu różnych transakcji jak na przykład dodatkowe potwierdzenia.

 

 

Właściciele sklepów internetowych oraz innych platform będących stroną transakcji online doskonale wiedzą, że kwestia bezpieczeństwa w serwisach jest i będzie numerem jeden. Poprzez pełne struktury zarządzania systemem bezpieczeństwa, instrukcje, przejrzyste i czytelne regulaminy, aż po umowy zawierane z partnerami -tj. z kurierami, czy firmami outsourcingowymi o przekazywanych danych. Oferują różnorodność przy wyborze formy płatności, ograniczają wymaganą liczbę danych do minimum, dane osobiste i finansowe kontrahentów przechowują na odpowiednio zabezpieczonych serwerach tzw. sejfach, korzystają ze specjalnych programów uwierzytelniających. W końcu, zapewniają stały nadzór specjalistów IT, którzy opiekują się daną platformą i przeprowadzają niezbędne aktualizacje oraz zmiany. Należy zdać sobie sprawę, że inwestowanie w bezpieczne oprogramowania i certyfikaty jest jednocześnie inwestycją w zaufanie klienta i wiarygodność marki. Jest to tak samo ważne, jak wygląd i obsługa witryny czy działania marketingowe. Może od tego również zależeć przetrwanie firmy na rynku online.

 

Zobacz wszystkie artykuły