Najczęściej stosowane metody hackingu wobec branży e-commerce
Od lat mówi się, że najbardziej na ataki hakerskie narażona jest branża e-commerce: bo z jednej strony masa cennych danych klienckich, z drugiej wyjątkowo niski poziom zabezpieczenia e-sklepów, a z trzeciej integracje z systemami płatności on-line czy działanie na zewnętrznym oprogramowaniu, które również można atakować. Pamiętajmy, że ataki hakerskie wymierzone są także w kierunku Twoich klientów. Jakie metody wykorzystywane są do atakowania e-commerce?
Dlaczego e-commerce?
Rozwój e-commerce mocno przyspieszył po wybuchu pandemii, e-sklepy wyrastały jak grzyby po deszczu. Dla hakerów stało się to jedynie pretekstem do wzmożonych ataków, choć przecież próby przechwytywania danych należących kupujących obserwujemy od wielu lat.
- Zbyt szybko i w zasadzie nagle przeszliśmy do kanału e-commerce. Sam przeskok był dynamiczny, nie był procesem płynnym, tzn. wiele osób nie było ani przygotowanych na tego typu aktywności, ani nie miało wystarczającej wiedzy, jak to zrobić. Warto zauważyć, że nasze nawyki w sieci nie dotykają wyłącznie zakupów czy płatności, ale także sposobu, w jaki poruszamy się w internecie w ogóle. Cyberbezpieczeństwo dotyczy całej naszej działalności online, a to z kolei przekłada się na to, jak w takich wrażliwych procesach będziemy się zachowywać — mówił na łamach “Security Magazine” w wywiadzie z Joanną Świątkowską — Maciej Pawlak, Head of Risk and Security w Tpay.
Jak zyskać nowych klientów dla swojego e-sklepu? 5 sposobówMonika Świetlińska
Dane wskazują, że w 2021 roku w 47% za straty związane z cyberoszustwami związanymi z płatnościami cyfrowymi odpowiedzialne były zakupy online. To niepokojące, zwłaszcza, że w tym roku może być ich znacznie więcej, a to za sprawą rekordowych liczb ataków hakerskich w ogóle.
Cyberprzestępstwa najczęściej dotykające sektor e-commerce
Możemy je podzielić na ataki skierowane do konsumentów i wprost na sklepy.
- Pierwszą grupą ryzyka są dane kartowe, które mogą zostać wykradzione od konsumenta. W tym przypadku merchant, tj. właściciel e-sklepu, nie wie o tym, że ten proces ma miejsce, a co za tym idzie – jest on z punktu widzenia sprzedawcy bardzo trudny do wykrycia — zdradza Maciej Pawlak, mówiąc również o innym, popularnym mechanizmie oszustwa: - To klasyczny phishing – konsument otrzymuje np. maila z oszukańczej strony internetowej z pozornie bardzo atrakcyjną ofertą produktową. Konsument – dając się nabrać i klikając w link zawarty w mailu – zostaje przekierowany na fałszywą stronę płatności i bankowości, a ktoś wyprowadza jego środki finansowe. Mimo że wektor ataku jest w tym przypadku inny, to tego typu oszustwo również jest bardzo trudne do wykrycia.
Ekspert, który wypowiedział się na łamach “Security Magazine” zaznacza, że w ostatnim czasie bardzo popularne jest też oszustwo metodą „na BLIKA”. Oszust, przejmując należący do kogoś profil w mediach społecznościowych, kontaktuje się ze znajomymi osoby, której profil przejął, prosząc ich o wsparcie finansowe (uzasadnione nagłą, wyjątkową sytuacją) i podanie kodu do płatności mobilnych (BLIK).
Oszustwa skierowane do klientów sklepów to także:
Uruchamianie reklam na Facebooku, Google, YouTube itp. celem ściągnięcia ruchu z tych reklam na fałszywe strony. Reklamy są uruchamiane po to, by zwiększyć zasięgi, a co za tym idzie wypozycjonować wysoko w wyszukiwarce np. fałszywy sklep. Oczywiste jest, że wówczas oszuści mogą w ten sposób dotrzeć do masy osób zainteresowanych danymi produktami (np. reklamowanymi w social mediach). Klienci mają złudne przekonanie, że media społecznościowe są względnie bezpiecznym miejscem, a treści są wyselekcjonowane (przecież pracownicy social mediów mają kontrolę, jakie reklamy i przez kogo są wyświetlane). Niestety, to nieprawda. Mało tego, algorytmy jeszcze nie są w stanie właściwie zareagować na fałszywe reklamy i zgłoszenia samych użytkowników, które w większości przypadków uznawane są za bezzasadne, bo reklama nie narusza standardów społeczności i kampanii reklamowych.
Współpracujesz z influencerami, którzy promują Twoje produkty?Monika Świetlińska
Przykładem takich kampanii z tego roku jest podszywanie się oszustów pod Amazon, kiedy na Facebooku pojawiły się reklamy, że gigant zatrudnia pracowników. Kliknięcie w pole “Aplikuj” mogło mieć fatalne skutki, łącznie z utratą pieniędzy z konta. Kampania ta trwała około pół roku i Amazon w rozmowie z nami absolutnie zaprzeczył, jakoby uruchamiał taką reklamę, a sam fakt został zgłoszony organom ścigania. Innym przykładem, który pokazuje, jak bezradne są platformy społecznościowe, jest Klinika Ambroziak.
Co prawda nie ma nic wspólnego z e-commerce, ale świetnie pokazuje, że zgłaszanie social mediom oszustw przez samą markę, pod którą podszywa się przestępca, oraz sposób weryfikacji przez społecznościówki, mogą zakończyć się porażką. Otóż, od dwóch lat klinika bezskutecznie próbuje namierzyć osoby, podszywające się pod pracowników kliniki, w tym samego właściciela. Do dziś się to nie udało. A może być to zaskakujące, ponieważ uruchomienie reklamy wiąże się z podaniem masy danych, prowadzenie konta reklamowego wymaga uwierzytelnienia dwuskładnikowego. Social media mają wiele informacji, które pomogłyby dotrzeć do oszustów. Pytanie, czy wolą social mediów jest uporządkowanie tego tematu.
Niskie ceny produktów. Nadal wielu klientów nabiera się na oszustwa. Wybiorą tę ofertę, która jest dla nich korzystniejsza. Zresztą, nie od dziś wiadomo, że sortowanie według ceny np. na platformach handlowych jest najpopularniejszą opcją wyszukiwania. Ponadto obecnie oszuści wykorzystują fakt inflacji i tego, że klienci woleliby kupić taniej, by oszczędzić. Tacy “łowcy okazji” stają się często ofiarami, a przykładem z ostatnich dni jest mieszkaniec Podkarpacia, który skuszony niską ceną cukru, kupił go kilka ton. Stracił pieniądze, a towar do niego nie dotarł. Zamówienie złożył na popularnym portalu ogłoszeniowym, gdzie przestępca podszył się pod jedną z hurtowni.
Jeden serwer, wiele domen. Przestępcy na wielu stronach internetowych tworzą jeden sklep, które zazwyczaj działają bardzo krótko — kilka dni, a nawet zaledwie jeden dzień. Taki sklep to kopalnia pieniędzy ofiar.
zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniomJeżeli szukasz wsparcia prawnego swojego e-biznesu
Zegar liczy czas do końca promocji. Ta taktyka stosowana jest również przez wielu uczciwych przedsiębiorców, jednak jest coraz mniej skuteczna i nie rekomendujemy stosowania takiego sposobu wywierania wpływu na konsumentów. Zegar ustawiany jest wówczas, gdy sprzedawcy zależy na sprzedaży danego produktu i organizuje w związku z tym wyprzedaż. Oszuści dobrze o tym wiedzą i również stosują tę taktykę, która poniekąd zmusza klienta do jak najszybszej reakcji. Presja czasu, podkreślanie, że promocja już się nie powtórzy zamykają oczy klientom na inne szczegóły, tzn. często nie zwracają uwagi, w jakim w ogóle sklepie są, czy jest to na pewno jego ulubiony, znany sklep, a nawet jeśli jest… to czy na pewno nim jest (czy oszust podszył się pod ten sklep).
Ataki skierowane bezpośrednio w e-sklep
Wspominaliśmy o oszustwie wykorzystującym Amazona, ale zagrożenia dotyczą nie tylko dużych e-commerców (znane są też ataki na eBay, Allegro, PrestaShop czy MediaMarkt). Firmy takie zwykle mają środki i możliwości, by przetrwać nie tylko same ataki, ale również zamieszanie wokół spowodowane atakiem (skutkującym np. wyciekiem danych klientów). Przykładem takiego ataku jest ten skierowany na Sony Pictures. Małe czy średnie e-sklepy lub te dopiero rozwijające się po ataku czy nawet niewielkim incydencie mogą zakończyć swoją działalność z powodu bankructwa czy zniszczenia wizerunku, którego nie będą w stanie odbudować.
e-Sprzedawcy muszą zrobić więcej, by chronić swoich klientówMonika Świetlińska
W jaki sposób hakerzy atakują bezpośrednio e-sklepy lub platformy handlowe?
Uwaga na karty podarunkowe. Łamanie kart podarunkowych to atak typu brute force. Hakerzy sprawdzają ogromne ilości wariantów numerów kart podarunkowych w aplikacji karty podarunkowej. Robią to po to, by zidentyfikować numery kart, na których są pieniądze. Później je sprzedają nim prawowity użytkownik z nich skorzysta.
Sprzedaż danych o Twoim sklepie. Content scrapping to metoda polegająca na wykorzystaniu zautomatyzowanych narzędzi, które zbierają ogromne ilości danych z aplikacji sklepu czy strony sklepu, by następnie wykorzystać je we własnym celu lub sprzedać. Przykładem może być sprzedaż do Twojej konkurencji informacji o cenach Twoich produktów.
Przetrzymywanie produktów w Twoim sklepie. To tzw. inventory hoarding polegający na tym, że oszust przetrzymuje produkty w koszyku zakupowym, co może powodować brak dostępności dla innych zainteresowanych. Robi to przez nadużywanie aplikacji w sposób, którego użytkownik nie byłby w stanie wykonać ręcznie.
Tradycyjne przejęcie e-sklepu. Osoby atakujące aplikacje logowania do stron e-sklepu próbują korzystać z dużej ilości danych uwierzytelniających wykradzionych z innych źródeł. Cel jest jeden — złamanie zabezpieczeń kont dzięki tym danym i uzyskanie dostępu do sklepu, a co za tym idzie pieniędzy.
Karty płatnicze i kredytowe. Oszuści lubią też wykorzystywać podstrony finalizowania zakupów, w tym kasy czy koszyk, by identyfikować brakujące wartości danych karty kredytowej, takich jak data ważności lub kody zabezpieczające karty.
Ataki na oprogramowania, na których oparty jest sklep. Taki scenariusz również należy brać pod uwagę, zwłaszcza po lipcowym ataku tego roku na PrestaShop. Wówczas hakerzy znaleźli sposób na wykorzystanie luki w zabezpieczeniach do wykonania dowolnego kodu na serwerach, na których działają witryny PrestaShop. To otworzyło drzwi do sklepów opartych na tym oprogramowaniu. Początkiem tego roku ofiarą ataku padła platforma Magento.
Jak chronić e-sklep przed atakami czy incydentami hakerskimi? O tym w kolejnych artykułach. Polecamy śledzić nasz blog. Tymczasem zachęcamy również do skorzystania z audytu bezpieczeńtwa.
Czy ten artykuł był przydatny?
