Кибербезопасность для интернет-магазина: чего бояться и как предотвратить?

Вот статистика за 2022 год от американского хостинг-провайдера phoenixNAP:

• Более 91 % онлайн-площадок отметили, как минимум, один киберинцидент за год.
• Почти 98 % всех кибератак в e-commerce имеют финансовые мотивы.
• Четверть от всех попыток входа на сайты электронной торговли были попытками захватить чужие учетные записи.

Каждому интернет-магазину независимо от размера и объема продаж, важно следовать международному регламенту GDPR, а также создавать собственные протоколы защиты данных.

• Халатное отношение к защите информации. В небольших интернет-магазинах не только отсутствует отдел информбезопасности, но и сотрудники могут обмениваться данными через бесплатный Wi-Fi. Проще только напрямую отправить их мошеннику.
• Прямое подключение к платежным платформам. Если хакеру удается взломать сайт электронной коммерции, он может поменять настройки платежных систем таким образом, что все средства будут перенаправляться на его собственный счет. Оплату заказа получит не продавец, а мошенник.

Недобросовестное отношение к онлайн-безопасности может привести к разорению магазина. Даже один случай удачной хакерской атаки получит освещение в соцсетях. Негативные отзывы, особенно те, которые касаются потери денег, принимаются во внимание гораздо больше, чем положительные, к ним прислушиваются. Отток клиентов начнется сразу.

1. Связаться с хостинг-провайдером, он поможет вернуть доступ к взломанному сайту и даст рекомендации по мерам безопасности, например, двухфакторной аутентификации или резервному копированию.
2. Проанализировать утечку данных и уведомить клиентов об инциденте, чтобы предотвратить последствия.
3. Обратиться к специалистам по информационной безопасности, чтобы выявить уязвимости в системе и обеспечить надежную защиту.

Если кто-то из клиентов пострадал, принести извинения — возместить ущерб (вернуть деньги или предложить скидку на следующие заказы). Рассказать о предпринятых мерах и гарантировать безопасность при дальнейшем сотрудничестве. При крупных серьезных атаках можно обращаться за помощью в Управление «К» МВД России.


Из-за таких ситуаций покупатели, даже добившись возмещения ущерба, прекращают работать с такой организацией и переходят к ее более безопасным конкурентам.

Виды киберпреступлений в e-commerce:

• Межсайтовый скриптинг (XSS). Это вид атак, при котором хакер внедряет вредоносный код на страницу со стороны пользователя. Например, через форму с комментариями, где поддерживается html. Хакер просто публикует сообщение с вирусным кодом. В итоге браузер запускает скрипт, который крадет данные клиента или меняет информацию. Например, может изменить данные для оплаты, доставки или скопировать данные карты пользователя. Отличить мошенника от обычного пользователя в этом случае очень сложно.
• Электронный скимминг. Вообще термин относится к мошенничеству с банкоматами: когда хакер взламывает банковскую сеть и заставляет банкоматы создавать копии карточек, которые проходят сквозь них. В дальнейшем мошенник сможет пользоваться копиями в своих целях. Но в сфере электронной коммерции под скиммингом понимают вид хакерской атаки, при которой на платежной странице интернет-магазина устанавливается скрытый код для перехвата банковских данных и персональной информации. Кроме кода, хакеры взламывают сайты через фишинговые электронные письма с ложными ссылками или запросом на ввод личной информации. Иногда используется метод брутфорса: автоматическая генерация и перебор комбинаций логинов и паролей, пока не удастся получить доступ к учетной записи администратора.
• DDoS-атаки (Distributed Denial of Service). Это киберпреступление делается для того, чтобы «положить» сайт. Интернет-магазин не справляется с объемом вирусного трафика и просто становится недоступным для пользователей. Иногда такие атаки заказывают конкуренты: например, когда в магазине проходит распродажа или акция. Но это не главное, сама атака — просто повод усыпить бдительность. Пока ваши клиенты считают, что на сайте ведутся работы, а вы думаете, как решить ситуацию, хакеры забирают базы данных клиентов, получают доступ к карточкам.

В первую очередь, это общие меры:

• Регулярное обновление всех программ и операционных систем на серверах интернет-магазина.
• Использование лицензионного ПО. В первую очередь антивируса.
• Постоянный мониторинг и анализ логов — чтобы вовремя обнаружить подозрительную активность.
• Регулярная установка патчей (обновлений) на платежные платформы для безопасных платежей.

К специальным мерам относится:

• Шифрование данных — коммерческая информация преобразовывается в нечитаемый вид, восстановить его можно только с помощью специального ключа. Так защищают конфиденциальные данные о клиентах от доступа несанкционированных лиц.
• SSL-сертификаты — криптографический протокол для безопасного обмена данными между сервером и браузером пользователя. В интернет-магазинах SSL-сертификат используется для шифрования информации о платежах и личных данных клиентов, чтобы предотвратить их кражу.
• Только надежные плагины и расширения для CMS. Бесплатные приложения, например, WooCommerce на базе WordPress, могут изначально содержать уязвимости. При их установке на сайт интернет-магазина вы как будто открываете вход хакерам. Не экспериментируйте, доверяйте только проверенным плагинам от официальных источников.

Для выявления угроз важно проводить аудит сети, проверять обновления антивирусов, брандмауэров, систем безопасности. Контролировать права доступа и мониторить активность пользователей. Проверять пароли на критических точках: должны быть сложными, длинными, с цифрами, буквами разных регистров и специальными символами. Регулярное изменение паролей и двухфакторная аутентификация повышают безопасность. Критические данные нужно хранить только в зашифрованном виде, если они стали неактуальны, их нужно безопасно удалить с сервера.

Позаботьтесь о безопасности — а логистику товаров доверьте Yunu. Проконсультируем по выходу на маркетплейсы и ответим на вопросы в течение 15 минут после обращения.