Как защитить интернет-магазин от хакеров?

Как защитить интернет-магазин от хакеров?
27.10.2021
25 мин
350
наш канал в ЯНДЕКС.ДЗЕН.

Можно ли взломать сайт в eCommerce? Ответ однозначный: да. Сфера электронной коммерции попала в поле зрения хакеров несколько лет назад, а в период пандемии, когда шоппинг перешел в онлайн-режим, кибератаки участились. Как защитить онлайн-бизнес от угроз цифровой эпохи?

Экскурс в историю

Хакеры не первый год атакуют интернет-магазины и мастерски заметают следы. В 2018 аналитики Magneto IT Solutions сообщили, что 43% кибератак нацелены на небольшие компании. 54% организаций пострадали в результате хакерских нападений. 60% фирм, столкнувшимся с киберпреступниками, закрылись в течение шести месяцев. Лишь 38% предприятий во всем мире смогли противостоять хакерам. А в отчете Accenture Security указано, что ущерб от вирусных атак обошелся глобальному бизнесу в $2,613,952, что на 11% превысило аналогичный показатель 2017-го. В зону риска, в основном, попадали веб-приложения.

В 2019 году, по информации Risk Based Security, хакеры организовали масштабные утечки данных, чтобы украсть 4,1 млрд реквизитов аккаунтов. При этом, 85% организаций столкнулись с фишингом и социальной инженерией. И если в 2018 году боялись внешнего врага, то в 2019 нападения производились инсайдерами – сотрудниками организации, которые «сливали» информацию за деньги, либо чтобы отомстить руководству.

Так, компания KnowBe4 провела опрос среди 600 организаций в сфере электронной коммерции. 76% респондентов указали, что угроза в области киберпреступности идет именно от инсайдеров.

В этом же году произошли мощные атаки программами-вымогателями (ransomware). В зоне риска оказались профессиональные услуги, например, юристы и сертифицированные финансовые консультанты (22,4%), производители программного обеспечения (17,2%), представители сферы здравоохранения (10,3%). Причина взлома – отсутствие технической готовности бизнеса отразить кибератаку и непонимание, зачем нужно делать резервное копирование данных. Об этом говорится в отчете Coveware.

Пандемия внесла свои коррективы в работу бизнеса. Торговые организации и потребители перешли в онлайн-режим, и в связи с этим доля электронной коммерции на глобальном рынке ритейла выросла с 14% (2019) до 17% (2020), сообщается в отчете UNCTAD и eTrade.

Но перспективы eCommerce привлекли не только предпринимателей, но и киберпреступников. И это неудивительно: продажи в данной сфере достигли $3.354 трлн в 2019, а в 2020 – 4.28 трлн, как демонстрирует Statista. Вот и хакеры быстро поняли, что, взламывая сайты интернет-магазинов, можно получить доступ к почти неисчерпаемому финансовому источнику. При этом, в зоне риска оказались не только корпорации, но и малый бизнес.

Причина проста – по информации Narvar, 56% покупателей делают заказ минимум в одном новом магазине в период пандемии. А значит, с точки зрения хакеров, финансы вливаются в развитие каждого сетевого магазина, и киберпреступникам есть чем поживиться.

Как обстоят дела в нынешнем году? eMarketer предполагает, что к концу 2021 только по США продажи в сфере электронной коммерции достигнут $843.15 млрд. При этом компания Cyberpion проводила аудиты американских онлайн-фирм и пришла к выводу, что 83% испытуемых содержат уязвимости, а значит, киберпреступникам не составит труда их взломать. Об этом рассказывает Cybervore.

Многие онлайн-магазины стараются защитить корпоративную информации в облачных инструментах. Но такие SaaS-приложения, как QuickBooks и Trello, тоже подвержены взлому. Да и платформы для eCommerce типа Shopify и BigCommerce не гарантируют полной сохранности данных. А бесплатные шаблоны для электронной коммерции (допустим, WooCommerce на базе WordPress) и вовсе предполагают, что нужно устанавливать плагины безопасности, если предприниматели хотят защититься от хакеров. Но, к сожалению, не все игроки онлайн-бизнеса оказались готовыми к требованиям эпохи. И многие бизнесмены занимаются коммерцией, выпуском продукта, распространением – и не уделяют должного внимания информационной безопасности сайта. А киберпреступники, зная об этом, атакуют еще серьезнее.

Лакомый кусочек

Что нужно хакерам?

  • персональные данные клиентов,
  • финансовая информация организации,
  • имена пользователей и доступы к аккаунтам.

Почему представители электронной коммерции интересны киберпреступникам? Есть несколько причин.

  • Финансовая мотивация, конечно, самая сильная. Внедрение зловредного кода на страницу покупки позволяет перевести деньги за товар на счет злоумышленников.
  • Но онлайн-мошенничество несет в себе и косвенную выгоду для преступников. Если хакер взломает сайт и украдет базу данных, можно будет рассылать клиентам бренда фейковые письма с предложением скачать файл или перейти по ссылке, и т.п. Часто, проделав это, пользователь, сам того не зная, может сообщить свои персональные данные хакерам, в том числе – платежные данные: данные кредитных карт, логины пароли от банковского аккаунта (в случае заполнения «фейковых» форм на сайте).
  • Также мошенники могут взломать личный аккаунт, чтобы использовать его для рассылки фейковых писем. Как вариант, преступники регистрируются под электронной почты жертвы на платформах для шоппинга – и проводят свои махинации от имени человека, который ничего об этом не знает. Например, мошенники могут выставить товар на продажу, покупатели оплатят, но не получат продукцию. А когда заявят в службу поддержку, виноватым окажется пользователь, чей email был взломан ранее, но указан при регистрации. Тем временем, самого хакера и след простыл.
  • Наконец, многие игроки в сфере электронной коммерции пользуются инструментом для онлайн-банкинга PayPal. Хакеры знают, что на счетах скрыты огромные суммы. Выбирают жертву, отправляют ложную информацию о том, что администрация PayPal сочла аккаунт владельца интернет-магазина подозрительным. Дабы разблокировать профиль (который, на самом деле, в полном порядке), пользователь должен перейти по ссылке. Что и говорить, сделав то, что от него просят, жертва добровольно передает доступ от аккаунта мошенникам. А те распоряжаются чужими средствами, как им вздумается.

Кибератаки оказывают колоссальное влияние на бизнес в eCommerce. Во-первых, чтобы защитить себя, приходится тратить огромные суммы на работу отдела в сфере кибербезопасности, тестировщиков на возможность проникновения в систему. Также, если произошла утечка информации, об этом необходимо сообщить клиентам, выплатить компенсацию. Кроме того, если компания стала жертвой программ-вымогателей, приходится платить выкуп в обмен на ценную информацию или разблокировку системы. В частности, компания Sophos провела исследование и выяснила:

  • сайты eCommerce, специализирующиеся на ритейле и образовании, столкнулись с шантажом, который повлек за собой суммарную выплату более чем $1.97 млн в 2020;
  • 54% организаций сообщили, что киберпреступники успешно зашифровали их данные;
  • 32% заявили, что не смогли своими силами разблокировать доступ к базам данных и системе – поэтому им пришлось платить выкуп;
  • но даже те, кто пошел навстречу вымогателям, восстановили лишь 67% информации, треть осталась вне зоны доступа.

Из-за кибератак под угрозой репутация организаций. Когда клиенты и поставщики узнают о хакерской атаке на бренд, они чувствуют, что их данные не в безопасности. Например, компания Target рассказывала о том, что ее репутация пошатнулась после утечки информации в 2013 году. Мошенники получили доступ к сведениям о кредитных картах 40 млн покупателей. Чтобы восстановить систему, сотрудники Target потратили $18.5 млн.

Компании, ставшие жертвой киберпреступников, также сталкиваются с кратковременным падением рыночной стоимости продукта. Так, исследование Comparitech проанализировало 40 случаев утечки данных из 34 организаций на Нью-Йоркской фондовой бирже. Как выяснилось, цена акций «инфицированных» брендов упала в среднем на 3,5%.

Из-за киберпреступности страдает интеллектуальная собственность в eCommerce – дизайн продукта, технологии, маркетинговые стратегии. При этом, многие объекты авторского права хранятся в облачных серверах, которые также не защищены от хакеров должным образом. В частности, 30% американских eCommerce компаний заявили, что на протяжении 10 лет их китайские партнеры «заимствуют» то, что по праву принадлежит бизнесу в США.

Взрослые игры

В области электронной коммерции чаще всего встречаются следующие виды киберпреступлений:

  • финансовое мошенничество – кража персональных данных (паролей, ID, номеров банковских карт и использование их для нужд мошенников);
  • DDoS-атака – хакерское нападение, бомбардировка трафиком, который сеть не может вынести, с целью довести систему до отказа;
  • атака посредника (man-in-the-middle) – подразумевает, что хакер тайным образом вторгается в пространство общения двух сторон, прерывает существующий разговор или передачу данных, а, войдя в середину «цепи», попеременно притворяется то одним, то другим участником обмена данными;
  • вредоносные боты – имитируют органический трафик, проходящий через веб-приложения, так что со стороны кажется, что взаимодействуют реальные пользователи;
  • вирусы – разновидность программного обеспечения, созданного для того, чтобы нанести вред компьютерной системе;
  • фишинговые скамы – мошенник звонит по телефону или пишет по емэйлу, представляется банком, Интернет-провайдером или любой другой официальной компанией, и обманом выманивает персональные данные (номера банковских аккаунтов, пароли и PIN-коды карт);
  • веб-скимминг – злоумышленники добавляют вирусный код на сайт интернет-магазина (как правило, на страницу проведения платежа), посредством приложений третьих лиц, в результате информация о кредитных картах и персональные данные пользователей похищены.

При этом, три последних вида часто входят в состав других атак. Например, финансовое мошенничество совершается посредством веб-скимминга, а в ходе атаки посредника преступники используют фишинговые письма.

Рассмотрим признаки и последствия основных киберпреступлений, а также методы борьбы с хакерами.

Финансовое мошенничество

Итак, как понять, что вы стали жертвами чьих-то махинаций? Есть несколько признаков:

  • вы получаете уведомления о попытке входа в банковский аккаунт, хотя этого не делали;
  • вам пришло сообщение с просьбой сообщить Apple ID (ведь это на сегодняшний день самое надежное хранилище персональных данных пользователей);
  • вы получили квитанцию об оплате медицинских услуг (увы, манипуляции чужим здоровьем – излюбленная тема для хакеров);
  • вам пришло сообщение, что отказано в кредите, хотя вы и не планировали брать деньги у банка взаймы;
  • вам звонят коллекторы и требуют вернуть деньги, хотя вы точно не брали никаких кредитов.

Как предотвратить кражу средств?

Важно соблюдать базовые меры безопасности: надежный рандомный пароль, лицензионное программное обеспечение.

Кроме того, необходимо выбирать такую платформу для электронной коммерции, которая соответствует высокому стандарту безопасности. А именно, включает в себя зашифрованные платежные шлюзы (система проверяет данные клиентов, прежде чем проводить транзакцию), сертификат SSL (криптографический протокол, способный обеспечить безопасное интернет-соединение), а также аутентификацию как для владельцев онлайн-магазина, так и для покупателей.

Также безопасные платформы eCommerce, как правило, обновляются автоматически. Но если этого не происходит, коммерческим деятелям стоит быть начеку – и загружать патчи и обновления самостоятельно, если они выходят на рынок.

DDoS-атака

Атака «доведение системы до отказа» нацелена на сайты интернет-магазинов. Цель – отправить на сервер или сеть такое количество трафика, которое система просто не сможет переработать, и случится крах. Таким образом, сайт станет недоступен, либо пользователь не сможет загрузить страницу, думая, что у него неполадки с интернет-соединением.

Вредоносный трафик состоит из поступающих сообщений, запросов или фейковых пакетов, которые буквально «требуют» соединиться с сайтом.

В некоторых случаях хакеры требуют, чтобы владельцы сайтов заплатили выкуп в криптовалюте. Иначе DDoS-атака не прекратится.

Владельцы интернет-магазинов часто не понимают, что стали жертвами атаки. Думают, что сайт «лег» либо сетевое соединение прервалось. А когда обнаруживают DDoS, уже поздно.

Поэтому важно сразу обращаться к специалистам, если заметите один из этих признаков.

  • IP-адрес генерирует больше запросов в секунду, чем обычно.
  • На сайте возникает ошибка 503.
  • TTL на пинг-запрос показывает, что время вышло.
  • Соединение замедляется.
  • Анализ логов демонстрирует большой всплеск трафика.

Как купировать DDoS-атаку?

Однозначно, лучшая битва – та, которая не состоялась. Поэтому нужно предпринять некоторые меры, во избежание DDoS-атак.

  • Защитите доменное имя интернет-магазина путем регистрации.
  • Убедитесь, что сведения о контактах доступны сервисным провайдерам и клиентам.
  • Обеспечьте мониторинг доступности сайта в режиме реального времени, чтобы отследить начало DDoS-атаки.
  • Помните, что хакеры скорее нацелятся на разделение критических онлайн-сервисов (таких, как электронная почта) от других сетевых услуг (например, веб-хостинги).
  • Подготовьте статическую версию сайта, требующую минимальной поддержки и пропускной способности, чтобы в случае атаки поддерживать жизнеспособность сервиса.
  • Воспользуйтесь облачными хостингами от ведущих провайдеров в данной сфере с высокой пропускной способностью и сетями предоставления контента, которые кэшируют нединамические сайты интернет-магазинов.

Атака посредника

Обычно атака посредника на интернет-магазин происходит по двум сценариям.

1. В случае отсутствия HTTPS на сайте хакер перехватывает передачу данных между клиентом и сервером. Обманывая клиента, заставляет последнего думать, что по-прежнему происходит коммуникация с сервером и так далее. В это время киберпреступник устанавливает сниффер для анализа сетевого трафика. Как только пользователь залогинился на сайте, хакер получает доступ к данным юзера и перенаправляет их на фейковый портал, который имитирует реальный интернет-магазин. Именно на хакерской платформе удается перехватить ценную информацию.

2. Мошенник вторгается в разговор, проходя сквозь отдельные сегменты дискуссии. Хакер запускает фейковый чат-сервис, например, на странице проведения оплаты. Притворяется банком или платежной системой и начинает беседу с потенциальной жертвой. И это не все – преступник притворяется реальным пользователем, который сейчас хочет провести транзакцию в Интернет-магазине, обращается в чат платежной системы и получает необходимую информацию для вторжения в аккаунт юзера.

Известнейший пример такой атаки произошел в 2006 году, когда сайт AT&T DSL атаковали хакеры. Мошенники принялись рассылать клиентам письма по электронной почте с информацией, что с их карточек нельзя снять деньги, так как банк не предоставил необходимые сведения. Письма выглядели достаточно реалистичными, включали номер заказа, последние 4 цифры карты. Реципиентов перенаправляли на фейковый сайт, где предлагалось «обновить» данные карты, предоставив больше информации – номер социального страхования и дату рождения. Те пользователи, которые последовали за редиректом, передали персональные данные хакерам.

Как справиться с атакой посредника?

Возьмите за правило пользоваться виртуальной приватной сетью. VPN спрячет ваш IP-адрес, проводя трафик через специальный сервер, а также зашифрует информацию, передаваемую по сети. Пусть эта мера не сможет полностью защитить вас от атак посредника. Но, скорее всего, киберпреступники захотят найти жертву, которую проще взломать.

Для атаки посредника мошенники часто используют редирект – переводят жертву на фейковый сайт и изымают персональные данные ни о чем не подозревающего пользователя. Поэтому важно смотреть, защищен ли сайт, на который вас направляют – содержит ли он https:// вместо http соединения. Кроме того, хорошая идея – вручную набирать необходимый сайт в адресной строке, а не полагаться на ссылку, которую вам прислали. Конечно, это занимает больше времени, но зато экономит ваши силы в перспективе.

Не обсуждайте рабочие вопросы, подключившись к общественному Wi-Fi. Незащищенное соединение легко взломать, перехватив самые ценные сведения.

Обновляйте браузеры до последних версий, а еще лучше – пользуйтесь приватными мессенджерами и браузерами. Обращайте внимание на уведомление в браузере о том, что соединение небезопасно, и переходить на сайт не стоит.

Отдавайте себе отчет, какие ссылки и электронные письма вы открываете. Внимательно проверяйте емэйл отправителя, лучше уточните у пользователя лично, что и зачем вам отправили. Если это письмо официального характера (например, PayPal с предложением разблокировать аккаунт или eBay с 99%-ным дисконтом), напишите в службу поддержки, уточните, действительно ли вам предлагают перейти по ссылке или скачать прикрепленный файл.

Установите DNSSEC – набор расширений IETF-протокола, который позволяет свести к минимуму атаки, в ходе которых хакер заменяет DNS-адрес в случае, если разрешены доменные имена.

Чем опасны боты?

Как сообщает DataDome, 30% трафика в сети приходится на ботов, способных ухудшить работу интернет-магазина, заставить сайт «упасть» и изъять персональные данные клиентов. Как же проявляют себя боты в электронной коммерции?

  • Боты выбирают вещи в онлайн-магазине, добавляют товар в корзину, но не завершают сделку. В то же время, реальные покупатели видят уведомление, что продукция закончилась. Чтобы справиться с такой ситуацией, владельцы интернет-магазинов ограничивают время, в течение которого пользователи могут держать вещи в корзине – и количество раз добавления товара.
  • Более продвинутые боты приобретают лимитированные товары и продают их по более высокой цене. Скажем, в день релиза продукта бот использует мощность своего компьютера, чтобы купить как можно больше товаров одного типа. В итоге, людям, которые планируют приобрести такой продукт, приходит уведомление «нет в наличии», а те, кто все-таки хочет купить товар, платят втридорога ботам. С такой атакой бороться непросто. Но современные инструменты мониторинга позволяют отслеживать ботов круглосуточно – и защищать пользователей от хитрых происков онлайн-мошенников.
  • Результатом активности ботов также может стать DDoS-атака на седьмом уровне – перегруз определенных элементов инфраструктуры в сервере веб-приложения. Целью такой атаки является модель OSI (стека сетевых протоколов). Опять же, единственный способ защиты – постоянно отслеживание активности на сайте и устранение ботов по мере возникновения проблемы.

Заключение

Технологии киберпреступников не стоят на месте. Многие хакеры нацеливаются именно на сферу электронной коммерции, ведь именно сюда вливаются колоссальные инвестиции. Но, прибегая к мерам безопасности, владельцы интернет-магазинов способны защитить свой бизнес. Крайне важно зашифровать данные, проходящие между веб-сервером компании и сайтом клиента. Для этого обычно внедряют SSL-сертификат, защищающий потребителей во время проведения платежей онлайн. Также не стоит хранить на сервере супер-конфиденциальную информацию, особенно данные кредитных карт покупателей. По крайней мере, так предполагает стандарт безопасности PCI.

Защититься от атак вам поможет постоянный мониторинг и тестирование системы на наличие уязвимостей. А если вы боитесь троянских вирусов, самое правильное решение – установить файрвол. Этот сетевой слой отправляет уведомления, когда на сервере происходит подозрительная активность.

Наконец, важно внедрять дополнительные слои защиты на страницы интернет-магазина, которые отвечают за процесс регистрации покупателя, контактную форму и запросы (поиск).

Вы дочитали статью! Отличная работа!

  • В некоторых нюансах продвижения сайтов сложно разобраться без опыта. Вы можете доверить продвижение вашего сайта нам. Отправьте заявку и мы изучим ваш сайт и предложим эффективную стратегию продвижения вашего бизнеса в сети.
  • Подпишитесь на нашу рассылку - ежемесячно мы публикуем статьи про SEO-продвижение, онлайн-маркетинг, контекстную рекламу, новости отрасли и многое другое.
  • Понравилась статья? Поделитесь ссылкой на статью в социальных сетях - возможно, статья окажется полезной для ваших друзей и коллег.
  • Хотите стать экспертом?
    Предлагаем вам почитать другие наши статьи, вот некоторые из них:
  • Ищете работу? Приглашаем вас в наш дружный и профессиональный коллектив: интересные задачи, перспективы профессионального и личностного роста, одна из самых опытных команд в области SEO-продвижения в Санкт-Петербурге. Наши вакансии.

Рекомендуем ознакомиться со значениями терминов:

JavaScript / JSBM25ЧПУКоды ответа сервераМикроразметкаАдаптивная версткаschema.orgGET-параметрRobots.txtFTPСкриптЮзабилити сайтаСайдбарCanonicalGoogle Search ConsoleПарсерСтатичный web-сайтСтатичная web-страницаПагинацияРеферерCSSCMSОбфускацияIP-адресХостингФутерРедиректПингДоменБаг