Как защитить интернет-магазин от хакеров?

Можно ли взломать сайт в eCommerce? Ответ однозначный: да. Сфера электронной коммерции попала в поле зрения хакеров несколько лет назад, а в период пандемии, когда шоппинг перешел в онлайн-режим, кибератаки участились. Как защитить онлайн-бизнес от угроз цифровой эпохи?

Экскурс в историю

Хакеры не первый год атакуют интернет-магазины и мастерски заметают следы. В 2018 аналитики Magneto IT Solutions сообщили, что 43% кибератак нацелены на небольшие компании. 54% организаций пострадали в результате хакерских нападений. 60% фирм, столкнувшимся с киберпреступниками, закрылись в течение шести месяцев. Лишь 38% предприятий во всем мире смогли противостоять хакерам. А в отчете Accenture Security указано, что ущерб от вирусных атак обошелся глобальному бизнесу в $2,613,952, что на 11% превысило аналогичный показатель 2017-го. В зону риска, в основном, попадали веб-приложения.

В 2019 году, по информации Risk Based Security, хакеры организовали масштабные утечки данных, чтобы украсть 4,1 млрд реквизитов аккаунтов. При этом, 85% организаций столкнулись с фишингом и социальной инженерией. И если в 2018 году боялись внешнего врага, то в 2019 нападения производились инсайдерами – сотрудниками организации, которые «сливали» информацию за деньги, либо чтобы отомстить руководству.

В этом же году произошли мощные атаки программами-вымогателями (ransomware). В зоне риска оказались профессиональные услуги, например, юристы и сертифицированные финансовые консультанты (22,4%), производители программного обеспечения (17,2%), представители сферы здравоохранения (10,3%). Причина взлома – отсутствие технической готовности бизнеса отразить кибератаку и непонимание, зачем нужно делать резервное копирование данных. Об этом говорится в отчете Coveware.

Пандемия внесла свои коррективы в работу бизнеса. Торговые организации и потребители перешли в онлайн-режим, и в связи с этим доля электронной коммерции на глобальном рынке ритейла выросла с 14% (2019) до 17% (2020), сообщается в отчете UNCTAD и eTrade.

Но перспективы eCommerce привлекли не только предпринимателей, но и киберпреступников. И это неудивительно: продажи в данной сфере достигли $3.354 трлн в 2019, а в 2020 – 4.28 трлн, как демонстрирует Statista. Вот и хакеры быстро поняли, что, взламывая сайты интернет-магазинов, можно получить доступ к почти неисчерпаемому финансовому источнику. При этом, в зоне риска оказались не только корпорации, но и малый бизнес.

Как обстоят дела в нынешнем году? eMarketer предполагает, что к концу 2021 только по США продажи в сфере электронной коммерции достигнут $843.15 млрд. При этом компания Cyberpion проводила аудиты американских онлайн-фирм и пришла к выводу, что 83% испытуемых содержат уязвимости, а значит, киберпреступникам не составит труда их взломать. Об этом рассказывает Cybervore.

Многие онлайн-магазины стараются защитить корпоративную информации в облачных инструментах. Но такие SaaS-приложения, как QuickBooks и Trello, тоже подвержены взлому. Да и платформы для eCommerce типа Shopify и BigCommerce не гарантируют полной сохранности данных. А бесплатные шаблоны для электронной коммерции (допустим, WooCommerce на базе WordPress) и вовсе предполагают, что нужно устанавливать плагины безопасности, если предприниматели хотят защититься от хакеров. Но, к сожалению, не все игроки онлайн-бизнеса оказались готовыми к требованиям эпохи. И многие бизнесмены занимаются коммерцией, выпуском продукта, распространением – и не уделяют должного внимания информационной безопасности сайта. А киберпреступники, зная об этом, атакуют еще серьезнее.

Лакомый кусочек

Что нужно хакерам?

• персональные данные клиентов,
• финансовая информация организации,
• имена пользователей и доступы к аккаунтам.

Почему представители электронной коммерции интересны киберпреступникам? Есть несколько причин.

• Финансовая мотивация, конечно, самая сильная. Внедрение зловредного кода на страницу покупки позволяет перевести деньги за товар на счет злоумышленников.
• Но онлайн-мошенничество несет в себе и косвенную выгоду для преступников. Если хакер взломает сайт и украдет базу данных, можно будет рассылать клиентам бренда фейковые письма с предложением скачать файл или перейти по ссылке, и т.п. Часто, проделав это, пользователь, сам того не зная, может сообщить свои персональные данные хакерам, в том числе – платежные данные: данные кредитных карт, логины пароли от банковского аккаунта (в случае заполнения «фейковых» форм на сайте).
• Также мошенники могут взломать личный аккаунт, чтобы использовать его для рассылки фейковых писем. Как вариант, преступники регистрируются под электронной почты жертвы на платформах для шоппинга – и проводят свои махинации от имени человека, который ничего об этом не знает. Например, мошенники могут выставить товар на продажу, покупатели оплатят, но не получат продукцию. А когда заявят в службу поддержку, виноватым окажется пользователь, чей email был взломан ранее, но указан при регистрации. Тем временем, самого хакера и след простыл.
• Наконец, многие игроки в сфере электронной коммерции пользуются инструментом для онлайн-банкинга PayPal. Хакеры знают, что на счетах скрыты огромные суммы. Выбирают жертву, отправляют ложную информацию о том, что администрация PayPal сочла аккаунт владельца интернет-магазина подозрительным. Дабы разблокировать профиль (который, на самом деле, в полном порядке), пользователь должен перейти по ссылке. Что и говорить, сделав то, что от него просят, жертва добровольно передает доступ от аккаунта мошенникам. А те распоряжаются чужими средствами, как им вздумается.

Кибератаки оказывают колоссальное влияние на бизнес в eCommerce. Во-первых, чтобы защитить себя, приходится тратить огромные суммы на работу отдела в сфере кибербезопасности, тестировщиков на возможность проникновения в систему. Также, если произошла утечка информации, об этом необходимо сообщить клиентам, выплатить компенсацию. Кроме того, если компания стала жертвой программ-вымогателей, приходится платить выкуп в обмен на ценную информацию или разблокировку системы. В частности, компания Sophos провела исследование и выяснила:

• сайты eCommerce, специализирующиеся на ритейле и образовании, столкнулись с шантажом, который повлек за собой суммарную выплату более чем $1.97 млн в 2020;
• 54% организаций сообщили, что киберпреступники успешно зашифровали их данные;
• 32% заявили, что не смогли своими силами разблокировать доступ к базам данных и системе – поэтому им пришлось платить выкуп;
• но даже те, кто пошел навстречу вымогателям, восстановили лишь 67% информации, треть осталась вне зоны доступа.

Из-за кибератак под угрозой репутация организаций. Когда клиенты и поставщики узнают о хакерской атаке на бренд, они чувствуют, что их данные не в безопасности. Например, компания Target рассказывала о том, что ее репутация пошатнулась после утечки информации в 2013 году. Мошенники получили доступ к сведениям о кредитных картах 40 млн покупателей. Чтобы восстановить систему, сотрудники Target потратили $18.5 млн.

Компании, ставшие жертвой киберпреступников, также сталкиваются с кратковременным падением рыночной стоимости продукта. Так, исследование Comparitech проанализировало 40 случаев утечки данных из 34 организаций на Нью-Йоркской фондовой бирже. Как выяснилось, цена акций «инфицированных» брендов упала в среднем на 3,5%.

Из-за киберпреступности страдает интеллектуальная собственность в eCommerce – дизайн продукта, технологии, маркетинговые стратегии. При этом, многие объекты авторского права хранятся в облачных серверах, которые также не защищены от хакеров должным образом. В частности, 30% американских eCommerce компаний заявили, что на протяжении 10 лет их китайские партнеры «заимствуют» то, что по праву принадлежит бизнесу в США.

Взрослые игры

В области электронной коммерции чаще всего встречаются следующие виды киберпреступлений:

• финансовое мошенничество – кража персональных данных (паролей, ID, номеров банковских карт и использование их для нужд мошенников);
• DDoS-атака – хакерское нападение, бомбардировка трафиком, который сеть не может вынести, с целью довести систему до отказа;
• атака посредника (man-in-the-middle) – подразумевает, что хакер тайным образом вторгается в пространство общения двух сторон, прерывает существующий разговор или передачу данных, а, войдя в середину «цепи», попеременно притворяется то одним, то другим участником обмена данными;
• вредоносные боты – имитируют органический трафик, проходящий через веб-приложения, так что со стороны кажется, что взаимодействуют реальные пользователи;
• вирусы – разновидность программного обеспечения, созданного для того, чтобы нанести вред компьютерной системе;
• фишинговые скамы – мошенник звонит по телефону или пишет по емэйлу, представляется банком, Интернет-провайдером или любой другой официальной компанией, и обманом выманивает персональные данные (номера банковских аккаунтов, пароли и PIN-коды карт);
• веб-скимминг – злоумышленники добавляют вирусный код на сайт интернет-магазина (как правило, на страницу проведения платежа), посредством приложений третьих лиц, в результате информация о кредитных картах и персональные данные пользователей похищены.

При этом, три последних вида часто входят в состав других атак. Например, финансовое мошенничество совершается посредством веб-скимминга, а в ходе атаки посредника преступники используют фишинговые письма.

Рассмотрим признаки и последствия основных киберпреступлений, а также методы борьбы с хакерами.

Финансовое мошенничество

Итак, как понять, что вы стали жертвами чьих-то махинаций? Есть несколько признаков:

• вы получаете уведомления о попытке входа в банковский аккаунт, хотя этого не делали;
• вам пришло сообщение с просьбой сообщить Apple ID (ведь это на сегодняшний день самое надежное хранилище персональных данных пользователей);
• вы получили квитанцию об оплате медицинских услуг (увы, манипуляции чужим здоровьем – излюбленная тема для хакеров);
• вам пришло сообщение, что отказано в кредите, хотя вы и не планировали брать деньги у банка взаймы;
• вам звонят коллекторы и требуют вернуть деньги, хотя вы точно не брали никаких кредитов.

Как предотвратить кражу средств?

Важно соблюдать базовые меры безопасности: надежный рандомный пароль, лицензионное программное обеспечение.

Также безопасные платформы eCommerce, как правило, обновляются автоматически. Но если этого не происходит, коммерческим деятелям стоит быть начеку – и загружать патчи и обновления самостоятельно, если они выходят на рынок.

DDoS-атака

Атака «доведение системы до отказа» нацелена на сайты интернет-магазинов. Цель – отправить на сервер или сеть такое количество трафика, которое система просто не сможет переработать, и случится крах. Таким образом, сайт станет недоступен, либо пользователь не сможет загрузить страницу, думая, что у него неполадки с интернет-соединением.

Вредоносный трафик состоит из поступающих сообщений, запросов или фейковых пакетов, которые буквально «требуют» соединиться с сайтом.

В некоторых случаях хакеры требуют, чтобы владельцы сайтов заплатили выкуп в криптовалюте. Иначе DDoS-атака не прекратится.

Поэтому важно сразу обращаться к специалистам, если заметите один из этих признаков.

• IP-адрес генерирует больше запросов в секунду, чем обычно.
• На сайте возникает ошибка 503.
• TTL на пинг-запрос показывает, что время вышло.
• Соединение замедляется.
• Анализ логов демонстрирует большой всплеск трафика.

Как купировать DDoS-атаку?

Однозначно, лучшая битва – та, которая не состоялась. Поэтому нужно предпринять некоторые меры, во избежание DDoS-атак.

• Защитите доменное имя интернет-магазина путем регистрации.
• Убедитесь, что сведения о контактах доступны сервисным провайдерам и клиентам.
• Обеспечьте мониторинг доступности сайта в режиме реального времени, чтобы отследить начало DDoS-атаки.
• Помните, что хакеры скорее нацелятся на разделение критических онлайн-сервисов (таких, как электронная почта) от других сетевых услуг (например, веб-хостинги).
• Подготовьте статическую версию сайта, требующую минимальной поддержки и пропускной способности, чтобы в случае атаки поддерживать жизнеспособность сервиса.
• Воспользуйтесь облачными хостингами от ведущих провайдеров в данной сфере с высокой пропускной способностью и сетями предоставления контента, которые кэшируют нединамические сайты интернет-магазинов.

Атака посредника

Обычно атака посредника на интернет-магазин происходит по двум сценариям.

1. В случае отсутствия HTTPS на сайте хакер перехватывает передачу данных между клиентом и сервером. Обманывая клиента, заставляет последнего думать, что по-прежнему происходит коммуникация с сервером и так далее. В это время киберпреступник устанавливает сниффер для анализа сетевого трафика. Как только пользователь залогинился на сайте, хакер получает доступ к данным юзера и перенаправляет их на фейковый портал, который имитирует реальный интернет-магазин. Именно на хакерской платформе удается перехватить ценную информацию.

2. Мошенник вторгается в разговор, проходя сквозь отдельные сегменты дискуссии. Хакер запускает фейковый чат-сервис, например, на странице проведения оплаты. Притворяется банком или платежной системой и начинает беседу с потенциальной жертвой. И это не все – преступник притворяется реальным пользователем, который сейчас хочет провести транзакцию в Интернет-магазине, обращается в чат платежной системы и получает необходимую информацию для вторжения в аккаунт юзера.

Известнейший пример такой атаки произошел в 2006 году, когда сайт AT&T DSL атаковали хакеры. Мошенники принялись рассылать клиентам письма по электронной почте с информацией, что с их карточек нельзя снять деньги, так как банк не предоставил необходимые сведения. Письма выглядели достаточно реалистичными, включали номер заказа, последние 4 цифры карты. Реципиентов перенаправляли на фейковый сайт, где предлагалось «обновить» данные карты, предоставив больше информации – номер социального страхования и дату рождения. Те пользователи, которые последовали за редиректом, передали персональные данные хакерам.

Как справиться с атакой посредника?

Чем опасны боты?

Как сообщает DataDome, 30% трафика в сети приходится на ботов, способных ухудшить работу интернет-магазина, заставить сайт «упасть» и изъять персональные данные клиентов. Как же проявляют себя боты в электронной коммерции?

• Боты выбирают вещи в онлайн-магазине, добавляют товар в корзину, но не завершают сделку. В то же время, реальные покупатели видят уведомление, что продукция закончилась. Чтобы справиться с такой ситуацией, владельцы интернет-магазинов ограничивают время, в течение которого пользователи могут держать вещи в корзине – и количество раз добавления товара.
• Более продвинутые боты приобретают лимитированные товары и продают их по более высокой цене. Скажем, в день релиза продукта бот использует мощность своего компьютера, чтобы купить как можно больше товаров одного типа. В итоге, людям, которые планируют приобрести такой продукт, приходит уведомление «нет в наличии», а те, кто все-таки хочет купить товар, платят втридорога ботам. С такой атакой бороться непросто. Но современные инструменты мониторинга позволяют отслеживать ботов круглосуточно – и защищать пользователей от хитрых происков онлайн-мошенников.
• Результатом активности ботов также может стать DDoS-атака на седьмом уровне – перегруз определенных элементов инфраструктуры в сервере веб-приложения. Целью такой атаки является модель OSI (стека сетевых протоколов). Опять же, единственный способ защиты – постоянно отслеживание активности на сайте и устранение ботов по мере возникновения проблемы.

Заключение

Технологии киберпреступников не стоят на месте. Многие хакеры нацеливаются именно на сферу электронной коммерции, ведь именно сюда вливаются колоссальные инвестиции. Но, прибегая к мерам безопасности, владельцы интернет-магазинов способны защитить свой бизнес. Крайне важно зашифровать данные, проходящие между веб-сервером компании и сайтом клиента. Для этого обычно внедряют SSL-сертификат, защищающий потребителей во время проведения платежей онлайн. Также не стоит хранить на сервере супер-конфиденциальную информацию, особенно данные кредитных карт покупателей. По крайней мере, так предполагает стандарт безопасности PCI.