Протокол SSL
Этот протокол разработан
американской компанией NetscapeCommunicationsCorp.
как средство, обеспечивающее защиту данных
между сервисными протоколами (такими
как HTTP, FTP и др.) и транспортными протоколами
(ТСР/IP с помощью современной криптографии.
Протокол SSL предназначен для
решения традиционных задач обеспечения
защиты информационного взаимодействия,
которые в среде «клиент-сервер»
интерпретируются следующим образом:
• при подключении пользователь
и сервер должны быть взаимно уверены,
что они обмениваются информацией не с
подставными абонентами, не ограничиваясь
паролевой защитой;
• после установления соединения
между сервером и клиентом весь информационный
поток должен быть защищен от несанкционированного
доступа;
Информационная безопасность в электронной коммерции
Основная статья:Информационная безопасность в электронной коммерции
Информационная безопасность в ритейле
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор — система контроля блокировки сайтов в России
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
2021
Число хакерских атак на российский ритейл взлетело на 117%
Число хакерских атак на российский ритейл в 2020-2021 годах увеличилось на 117% в сравнении с 2018-2019 гг. Такие данные в компании Positive Technologies обнародовали в конце июля 2022 года.
Согласно исследованию, в 2021 году число атак на розничную торговлю составило 3% от общего количества атак. Как правило, атакующие ретейл хакеры хотят получить доступ к клиентским данным (90% от общей доли атак на ретейл в 2020 году, 70% — в 2021-м) или преследуют прямую финансовую выгоду (22% — в 2020 году, 54% — в 2021-м).
Число хакерских атак на российский ритейл возрасло на 117%
Как сообщила руководитель исследовательской группы департамента аналитики информационной безопасности Positive Technologies Екатерина Килюшева, в 2021 году в 70% атак на компании из сферы торговли злоумышленники намеревались получить доступ к важной информации. В первую очередь хакеров интересовали персональные данные (32% от общего объема украденных данных), данные платежных карт (21%), базы данных клиентов (13%) и коммерческая тайна (13%).
В Positive Technologies предупреждают, что, помимо кражи данных, грозящей репутационными издержками для бизнеса, значимой угрозой эксперты назвали остановку продаж, связанную с недоступностью инфраструктуры: ретейлер может лишиться части прибыли, если хакеры атакуют сайт онлайн-магазина, ERP-систему, кассовое оборудование или другие системы. Вдобавок злоумышленники могут нарушить работу систем хранения и транспортировки товаров.
По словам специалистов, возможность реализации большинства угроз связана с недостаточной безопасностью сервисов, в том числе сайтов, поэтому важно регулярно проводить анализ их защищенности. Чтобы не дать злоумышленникам воспользоваться недостатками веб-ресурсов, эксперты рекомендуют использовать межсетевые экраны уровня приложений.
Сотни супермаркетов Spar пострадали от кибератаки
Сотни супермаркетов SPAR пострадали от кибератаки. Об этом стало известно 7 декабря 2021 года. Подробнее здесь.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор — система контроля блокировки сайтов в России
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
Электронная коммерция
- Электронная коммерция
- Интернет-торговля (рынок России)
Антифрод
Использование системы предупреждений и оповещений о подозрительной активности — множество операций с одного IP, смена реквизитов доставки и множество других факторов, обычно узкоспециализированных в той или иной сфере онлайн торговли. Здесь же может применяться холд/проверка чистоты сделки и прочее.
Хорошей практикой будет использование 3-D Secure, MasterCard SecureCode, J/Secure и SafeKey. За рубежом зачастую иcпользуется система AVS (Address Verification System).
Обеспечение безопасности электронной коммерции
Вместе с ростом электронной коммерции всё острее встаёт вопрос, каким образом ритейлеры могут сделать онлайн-транзакции столь же безопасными и поддающимися контролю, что и транзакции с использованием чипа и проверкой PIN-кода в офлайн супермаркетах?
Хорошая новость заключается в том, что на рынке уже существует множество решений, которые выполняют проверку подлинности покупателя и достоверности деталей платежа, а также гарантируют, что ритейлер действительно является реальным и ответственным получателем данных покупателя.
Технология двухфакторной аутентификации (2FA) является одним из наиболее распространённых инструментов для предотвращения онлайн-мошенничества. Эта технология может быть реализована в самом различном виде, начиная с биометрических датчиков Apple Pay и шифрования данных средствами смартфона и заканчивая технологией SnapScan на базе QR кодов, которая используется, например, банком Standard Bank в Южно-Африканской Республике, где для обработки платежной транзакции пользователю необходимо иметь верифицированный телефон, оснащенный камерой.
Тем временем, мексиканский банк BBVA Bancomer предлагает своим клиентам банковские карты стандарта EMV, которые оснащены новым видом CSV кода – трёхзначного кода или «кода безопасности», который в большинстве платежных карт расположен с обратной стороны карты – для целей подтверждения CNP платежей. Вместо статического кода безопасности здесь реализовано решение с использованием динамического кода верификации (Dynamic Code Verification, DCV). При этом каждые 20 минут генерируется новый проверочный код, который отображается для держателя карты либо на небольшом экране, встроенном в карту, либо генерируется на установленном в телефоне приложении.
Таким образом, даже в случае хищения данных банковской карты в результате какой-либо утечки, в отсутствие актуального DCV кода, необходимого для двухфакторной аутентификации, остальные реквизиты платежной карты фактически бесполезны для злоумышленника.
2020
StormWall: во время пандемии количество DDoS-атак на онлайн-ритейл выросло в 4 раза
13 ноября 2020 года компания StormWall сообщила, что провела исследование DDoS-атак, осуществленных на ресурсы компаний, работающих в сфере онлайн-ритейла. Во время проведения исследования были использованы данные клиентов StormWall, работающих в разных сегментах электронной коммерции. Эксперты обнаружили, что во время пандемии, в период с февраля по октябрь 2020 года, число DDoS-атак на сервисы онлайн-ритейла увеличилось в 4 раза по сравнению с аналогичным периодом 2019 года.
По информации компании, рост атак связан, в первую очередь, с тем, что во время кризиса значительно обострилась конкуренция между ритейлерами в онлайне, и DDoS-атаки часто используются при нечестной конкурентной борьбе. Кроме того, хакеры более активно атакуют ресурсы компаний с целью вымогательства денег. Неработающий сайт может привести к огромной потере прибыли, и хакеры обещают своим жертвам, что после получения требуемой суммы атака прекратится и сайт заработает. Также хакеры могут пытаться украсть персональные данные пользователей Интернет-магазина, а атаки используют как отвлекающий маневр.
По данным StormWall, в период с февраля по сентябрь 2020 года число атак на интернет-магазины одежды увеличилось в 5 раз по сравнению с аналогичным периодом 2019 года, число атак на интернет-магазины электроники — в 7 раз, а количество атак на онлайн-магазины мебели — в 10 раз. Также выросли атаки на интернет-магазины по продаже товаров для автомобиля (в 4 раза) и товаров для ремонта (в 8 раз). Количество атак растет постоянно, однако, во время пандемии рост стал намного значительнее.
Специалисты StormWall отмечают появление обновленных типов DDoS-атак в 2020 году в секторе электронной коммерции, что говорит о том, что с каждым годом атаки становятся все более изощренными. Если в 2019 году выполнялись в основном атаки по протоколу HTTP, то в период с февраля по сентябрь 2020 года помимо атак по протоколу HTTP (97%) были также существенно выросло число атак по протоколам TCP (3%) и UDP (1%). Это может быть связано с тем, что выросло число атак с использованием так называемых `стрессеров` — платных утилит для генерации высокой нагрузки, доступных непрофессиональным пользователям Интернет. Кроме того, с февраля по сентябрь 2020 года количество DDoS-атак по протоколу HTTP увеличилось на 300% по сравнению с аналогичным периодом 2019 года.
Рис. 1 Сравнение атак по протоколам HTTP, UDP и TCP в 2019-2020 гг. среди клиентов StormWall
Взлом 2 тыс. интернет-магазинов на основе Magento
14 сентября 2020 года стало известно о масштабной хакерской кампании, в рамках которой за два дня было взломано свыше 2000 интернет-магазинов, созданных на основе Magento. Подробнее здесь.
Данные
Не храните критичные данные. Никаких CVV кодов, сейчас не начало нулевых. Более того, стандарт PCI DSS это прямо запрещает: такие элементы как CVV2 (Card Verification Value 2 — код проверки подлинности карты платёжной системы Visa) и CVC2 (аналогичный код платежной системы MasterCard) относятся к критичным аутентификационным данным, а значит не подлежат хранению.
Если что-то приходится хранить — минимизируйте объем хранимых данных и по возможности применяйте шифрование. Это касается, в основном, обработки ПДн общей категории — ФИО, адрес, заказ и т.д.
Патч менеджмент
Необходимо поддерживать актуальность используемых компонентов информационной системы — как версии CMS и ее составляющих, так и всего остального — версии серверной ОС и модулей и т.д.
Важность обновлений и их своевременной установки очевидна для поддержания надлежащего уровня информационной безопасности.
Хорошей практикой будет тестирование обновлений в dev-среде, перед обновлением продакшена, некоторые обновления могут содержать или вносить ошибки, в том числе содержащие критичные уязвимости.
Хостинг
В первую очередь необходимо выбрать надежного хостинг-провайдера. Многие ведущие игроки рынка имеют специализированные предложения для интернет-магазинов. Важно чтобы ваш хостинг-провайдер поддерживал регулярное резервное копирование; вел всесторонние журналы действий; выполнял мониторинг сетевой активности. Также одним из важных факторов является система уведомлений об аномальных действиях на аккаунте, возможном заражении сайта и т.д. Техническая поддержка (обычно в рамках тарифа) должна уведомить о нарушении и снабдить хотя бы минимальными инструкциями (или ссылкой на базу знаний) о методах решения возникшей проблемы и содействовать в ее решении. Оптимальным решением будет использование VPS/VDS-хостинга.
3 совета, как сделать онлайн-торговлю более безопасной
- Используйте строгую аутентификацию
Внедряйте механизмы строгой аутентификации – они помогут завоевать доверие ваших заказчиков. Используйте шифрование не только для защиты процессов оплаты: сделав SSL (Secure Sockets Layer) на своём сайте обязательным для всех браузеров, вы сможете максимально оперативно узнавать о любых фишинговых атаках, предпринимаемых фиктивными сайтами с использованием поддельных сертификатов безопасности. - Обеспечивайте безопасность процессов оформления заказа и его оплаты
Защищайте платежные данные ваших клиентов за счет реализации безопасных процессов оформления заказа. Обязательным условием является работа с надежной и респектабельной платежной системой, поддерживающей двухфакторную аутентификацию. - Защитите свои сайты от DNS атак
В 2012 году сирийская электронная армия взломала сайты New York Times, Twitter и Huffington Post, изменив записи в DNS системе, и таким образом перенаправив пользовательский трафик. Для защиты от подобных атак убедитесь, что ваш сайт соответствует требованиям стандартов DNSSEC.
https://youtube.com/watch?v=gY6h7-830l0%3Frel%3D0%26showinfo%3D1
Решения для безопасности в электронной коммерции
Подробнее разберем, как избежать проблем безопасности в электронной коммерции.
1. Переключитесь на HTTPS
Использование устаревших HTTP-протоколов делает сайт уязвимым для атак. Необходимо переключиться на HTTPS – протокол, который защищает пользовательские данные и конфиденциальную информацию. Для перехода на HTTPS вы должны приобрести сертификат SSL в хостинговой компании. Наличие актуального SSL-сертификата и протокола HTTPS стало стандартом, поэтому очень важно получить их, если вы не хотите терять трафик.
2. Защитите свои серверы и панели администратора
Не забывайте использовать сложные пароли и регулярно меняйте их, чтобы предотвратить взлом сайта.
3. Безопасность платежного шлюза
Следует особенно внимательно отнестись к безопасности платежных данных. Никогда не храните информацию о дебетовых и кредитных картах на своих серверах, убедитесь, что безопасность платежных шлюзов не находится под угрозой. Вы можете использовать сторонние системы обработки платежей.
4. Антивирусное программное обеспечение
Хакеры могут использовать украденную информацию по картам для размещения заказов. Антивирус или программное обеспечение для защиты от мошенничества может помочь с этой проблемой. Алгоритмы умеют распознавать вредоносные транзакции и оценивать риски мошенничества.
5. Используйте брандмауэры
Еще одна эффективная рекомендация – использовать программное обеспечение брандмауэра и плагины, которые контролируют ненадежные сети и регулируют входящий и исходящий трафик, защищают от киберугроз.
6. Используйте SSL-сертификаты
Сертификаты уровня защищенных сокетов (SSL) – это файлы, которые связывают ключ с транзакциями по разным путям в сети. SSL-сертификаты шифруют данные, чтобы защитить платежную информацию от перехвата.
Кроме того, SSL предоставляет вам свидетельство о праве собственности, чтобы хакеры не могли подделать сайт для фишинга.
7. Используйте многоуровневую безопасность
Вы можете усилить свою безопасность, используя различные уровни: сеть доставки контента, двухфакторную аутентификацию и т. д.
8. Используйте плагины
Плагины – это простой способ обеспечить безопасность сайта. Они обеспечивают защиту от вредоносных ботов, внедрения зараженного кода и сотен других серьезных атак.
9. Сделайте резервную копию данных
Потеря данных из-за неисправности оборудования или кибератак – не редкость. Регулярно делайте резервные копии данных, для этого вы можете использовать службу автоматического резервного копирования или >выбрать управляемый веб-хостинг для электронной коммерции , который автоматически создает для вас резервные копии.
10. Обновляйте инструменты
Необходимо регулярного обновлять инструменты безопасности и плагины. Устанавливайте обновления и исправления сразу после их выпуска, потому что хакеры могут использовать ботов, которые определяют, на каких ресурсах установлено устаревшее программное обеспечение.
11. Выберите надежную платформу электронной коммерции
Важно выбрать безопасную платформу электронной коммерции, которая регулярно обновляется. Популярные платформы защищают вас от распространенных угроз.
12. Обучайте персонал
Сотрудники должны знать о законах и политиках, касающихся защиты пользовательской информации. Персонал, имеющий доступ к данным клиентов, не должен предоставлять учетные данные для входа посторонним.
13. Обучайте своих клиентов
Проблемы в безопасности не всегда происходят на вашей стороне, ошибки могут допускать и клиенты – использовать легкие пароли, предоставлять конфиденциальную информацию на фишинговых сайтах и т.д.
Обучайте клиентов, рассказывайте о рисках и фишинге.
Электронная цифровая подпись
Применение глобальных коммуникаций
в коммерческой деятельности и повседневной
жизни привело к появлению
принципиально новой области
юридических отношений, связанных
с электронным обменом данными.
В таком обмене участвуют производители
товаров и услуг, оптовые и
розничные торговцы, дистрибьюторы,
перевозчики, банки, страхователи, органы
государственной власти и их организации,
а также физические лица в своих
деловых и личных отношениях. Поэтому
здесь необходимы специальные средства,
гарантирующие подтверждение подлинности
и авторства документа. В настоящее
время основным из этих средств служит
так называемая электронная подпись.
ЭЦП — реквизит электронного
документа, предназначенный для
защиты данного электронного документа
от подделки, полученный в результате
криптографического преобразования информации
с использованием закрытого ключа
электронной цифровой подписи и
позволяющий идентифицировать владельца
сертификата ключа подписи, а
также установить отсутствие искажения
информации в электронном документе.
Использование ЭЦП является
необходимым, но недостаточным элементом
обеспечения безопасности электронных
сделок (электронной коммерции). С
помощью средств ЭЦП обеспечивается
аутентификация сторон сделки при обмене
сообщениями и проверяется целостность
сообщений. Конфиденциальность же содержания
сообщений по сделкам достигается
с помощью средств шифрования.
Однако сфера применения
ЭЦП не ограничивается электронной
коммерцией и охватывает также публично
правовые отношения (внутри государственного
сектора), взаимоотношения с государственными
органами и организациями и частноправовые
(«межличностные») отношения, не связанные
с коммерцией.
При использовании ЭЦП
возникают новые права и обязанности
субъектов правоотношений, для удостоверения
подлинности ЭЦП формируется
система специальных организаций,
права, обязанности и ответственность
которых также должны быть законодательно
установлены. Нормативным актом, устанавливающим
права, обязанности, ответственность
субъектов, может быть только закон.
Подзаконные акты вправе конкретизировать
правовые механизмы им установленные.
SSL/TLS
Используйте защищенное соединение — шифруйте канал связи между сайтом и браузером клиента для передачи информации. В наше время актуальным является использование TLS (Transport Layer Security — безопасность транспортного уровня), который по привычке многие до сих пор называют SSL (Secure Sockets Layer — уровень защищённых сокетов).
Важно использовать последние (актуальные) версии криптографических протоколов для надлежащей защиты данных.
Отличной практикой будет использование HSTS (HTTP Strict-Transport-Security) — механизм, активирующий форсированное защищённое соединение по HTTPS. Данная политика безопасности позволяет сразу же устанавливать безопасное соединение, вместо использования HTTP. Механизм использует особый заголовок HTTP Strict-Transport-Security, для переключения пользователя, зашедшего по HTTP, на HTTPS-сервер.
Протокол SET
Стандартный многосторонний
протокол SET разработан компаниями MasterCard
и Visa при участии IBM, GlobeSet и других партнеров.
Он позволяет покупателям приобретать
товары через Интернет с помощью пластиковых
карточек, используя самый защищенный
на данный момент механизм выполнения
платежей. SET обеспечивает кросс-аутентификацию
счета держателя карты, продавца и банка
продавца для проверки готовности оплаты,
целостность и секретность сообщения,
шифрование ценных и уязвимых данных.
Поэтому SET правильнее называть стандартной
технологией или системой протоколов
выполнения безопасных платежей с использованием
пластиковых карт через Интернет.
В отличие от других протоколов,
SET позволяет решать базовые задачи
защиты информации в целом. В частности,
он обеспечивает следующие специальные
требования защиты операций электронной
коммерции:
• секретность данных оплаты
и конфиденциальность информации заказа,
переданной наряду с данными об оплате;
• сохранение целостности данных
платежей, что обеспечивается с помощью
цифровой подписи;
• специальную криптографию
с открытым ключом для проведения аутентификации;
• аутентификацию держателя
по кредитной карточке с применением цифровой
подписи и сертификатов держателя карт;
• аутентификацию продавца
и его возможности принимать платежи по
пластиковым карточкам с применением
цифровой подписи и сертификатов продавца;
• аутентификацию банка продавца
как действующей организации, которая
может принимать платежи по пластиковым
карточкам через связь с процессинговый
карточной системой (аутентификация осуществляется
с использованием цифровой подписи и сертификатов
банка продавца);
• готовность оплаты транзакций
в результате аутентификации сертификата
с открытым ключом для всех сторон;
• безопасность передачи данных
посредством преимущественного использования
криптографии.
Основное преимущество SET
заключается в применении так
называемых цифровых сертификатов, которые
ассоциируют держателя карты, продавца
и банк продавца с рядом банковских
учреждений, входящих в платежные
системы Visa и MasterCard.
Цифровые сертификаты
содержат открытые криптографические
ключи абонентов, заверенные электронной
цифровой подписью центра сертификации,
и обеспечивают однозначную аутентификацию
участников обмена. Цифровой сертификат
— это определенная последовательность
битов, основанных на криптографии с
открытым ключом, представляющая собой
совокупность персональных данных владельца
и открытого ключа его электронной
подписи (при необходимости, и шифрования),
связанных в единое неизменяемое
целое электронной подписью центра
сертификации. Цифровой сертификат оформляется
в виде файла или области памяти
и может быть записан на дискету, интеллектуальную
карту, элемент touch-memory, любой другой носитель
данных.
Цифровые сертификаты
предотвращают возможность подделок,
от которых не застрахованы существующие
виртуальные системы. Сертификаты
также дают уверенность держателю
карты и продавцу в том, что
их транзакции будут обработаны с
таким же высоким уровнем защиты,
что и традиционные транзакции. Упрощенно
говоря, по своим функциям цифровые
сертификаты аналогичны обычной
печати, которой удостоверяют подпись
на бумажных документах.
50% ритейлеров в мире столкнулась с атаками кибервымогателей
В середине августа 2021 года вышел отчет аналитической фирмы Sophos, согласно которому в 2020 году около 44% предприятий розничной торговли пострадали от атак вирусов-вымогателей. Более половины из пострадавших (54%) сообщили, что киберпреступникам удалось зашифровать их данные. Подробнее здесь.
Информационная безопасность
Основная статья Информационная безопасность
Задача, стоящая перед ритейлерами
Европейский Союз настаивает на введении обязательной двухфакторной аутентификации для всех онлайн-транзакций. Согласно рекомендациям, опубликованным Европейской службой банковского надзора (European Banking Authority) в 2013 году, поставщики платежных сервисов должны заблаговременно изучать возможности и внедрять инструменты двухфакторной аутентификации – еще до принятия новой Директивы о платёжных услугах (Payment Services Directive), которая будет подписана и вступит в силу в течение следующих двух лет и, вероятнее всего, потребует от поставщиков сервисов предоставления всем своим клиентам возможности двухфакторной аутентификации.
Однако для ритейлеров основной задачей по-прежнему остаётся обеспечение удобства для своих клиентов: согласно исследованию Baymard Institute от 2015 года, примерно в 68% случаев покупатели так и не завершают оформление заказа. Малейшее препятствие или неудобство на этапе оплаты (к примеру, необходимость использовать дополнительный токен аутентификации) увеличивает вероятность того, что они передумают и не станут совершать покупку.
В этом случае использование таких систем как DCV может оказаться существенным преимуществом. Ведь при этом ни для покупателя, ни для продавца никаких видимых изменений не происходит – в процессе оплаты покупатель по-прежнему вводит данные своей банковской карты, точно так же, как и при работе с любой другой системой, которая в настоящее время может быть установлена у продавца. Единственное отличие заключается в том, что эмитенту карты придётся осуществлять аутентификацию транзакции с использованием DCV несколько иначе, чем это происходит при проверке CSV кода.
Подобная инновация способна в корне изменить ситуацию с обеспечением безопасности в отрасли электронной коммерции. И если благодаря этому удастся добиться такого же эффекта в области противодействия онлайн-мошенничеству, как введение стандарта EMV повлияло на оффлайн-угрозы, то следующая «Чёрная пятница» окажется не только самым крупной и масштабной распродажей за все время, но при этом и самой безопасной.
2019
Fortinet: Из-за киберугроз онлайн-шопинг все больше похож на боевую операцию
Так, перед началом шоппинга необходимо убедиться, что используемые устройства, системы, браузеры и приложения обновлены до последних версий. Особенно важно обновлять и устанавливать патчи для операционных систем на всех используемых гаджетах.
Помимо этого надо проверить наличие антивируса и сменить пароли на более надежные. Также для расчетов следует приготовить специальную карту. Не лишним будет создать на компьютере или гаджете специальную виртуальную машину, которая позволит ограничить киберугрозу своими границами. А также установить многофакторную аутентификацию на важных для вас сайтах. Делая это, «не ограничивайтесь исключительно проверкой через SMS, используйте специальные инструменты типа Google Authenticator или YubiKey», — советуют профессионалы.
Особое внимание стоит уделить самому сайту продавца. Прежде чем воспользоваться им, надо провести ряд действий. Они заключаются в следующем: «Наведите указатель мыши на ссылку, и ее URL-адрес появится в виде всплывающего окна или внизу программы просмотра электронной почты или браузера. Внимательно изучите содержимое строки, прежде чем щелкнуть на ней. Все выглядит нормально? Нет ли в адресе слишком много дефисов или цифр, не выглядит ли он слишком длинным? Совпадает ли URL-адрес сайта с надписью на ссылке или ведет куда-то в другое место? Нет ли подмены букв цифрами, например, amaz0n.com? Внимательно изучите URL-адрес, прежде чем перейти по ссылке. Можно скопировать его в сервис поиска доменов, например, who.is. Это даст полную информацию, в том числе о том, когда сайт был создан, где расположен физически, данные о владельце. Проявляйте недоверие к любым ссылкам, если они были созданы недавно или зарегистрированы в другой стране».
Помимо этого необходимо проверить дизайн сайта и его функциональность, описание на нем товаров и методы оплаты за них. Стоит доверять лишь тем сайтам, где для оплаты принимаются кредитные карточки основных типов. «Следует избегать сайтов, где предлагается платить с помощью прямых банковских платежей, денежным переводом или с использованием сервисов без возможности отслеживания платежей. При возможности лучше использовать PayPal или платежные системы с маркировкой Verified by Visa — это позволит дополнительно защитить банковские счета и активы».
Стоит уделить особое внимание самому товару и цене на него. «Помните, если предложение выглядит слишком хорошо, чтобы быть правдой, обычно так и есть. Конечно, иногда встречаются действительно выгодные предложения. Но в целом неправдоподобно низкие цены и легкая доступность редких товаров являются значимыми признаками возможного мошенничества или продажи подделок».
В целом же онлайн-шоппинг и развитие цифровых платформ преображают наш мир, открывая быстрый доступ к более широкому ассортименту товаров, чем когда-либо ранее в истории. Однако расширение возможностей влечет за собой и появление новых рисков, с которыми следует считаться.
Qrator Labs: Онлайн-ритейл в России наиболее подвержен DDoS-атакам и взломам
13 ноября 2019 года компания Qrator Labs, специализирующаяся на противодействии DDoS-атакам и обеспечении доступности интернет-ресурсов, представила результаты исследования информационной безопасности в российском секторе e-commerce в 2019 году. Опрос был организован среди российских представителей розничной торговли, ведущих бизнес в интернете (средний и крупный бизнес).
По данным опроса, проведенного в 3 квартале 2019 года, респонденты, представляющие средний и крупный e-commerce, наиболее часто сталкивались за последний год с DDoS-атаками (34%) и взломами (26%). При этом 10% отмечают, что в принципе не фиксировали серьезных инцидентов кибербезопасности.
Более половины опрошенных отмечают рост DDoS-атак за последний год. В то же время, по мнению еще трети опрошенных, уровень этой угрозы за 12 месяцев не изменялся. Треть опрошенных ритейлеров регулярно сталкивались за последний год с DDoS-атаками. 18% респондентов допускают, что могли не зафиксировать или не идентифицировать корректно небольшие инциденты.
Основным мотивом таких атак большинство респондентов из среднего и крупного e-commerce считают фактор вымогательства. Недобросовестная конкуренция находится на втором месте. В частности, компании из продуктового сектора в целом заказных атак от конкурентов не опасаются.
Наиболее эффективным средством защиты от DDoS-атак 42% респондентов считают аппаратное решение, размещенное на собственной инфраструктуре. Более четверти – операторское решение. Услугами распределенной сети фильтрации пользуются 18% опрошенных.
Первый способ, к которому обычно прибегают ритейлеры, — это организация самостоятельной защиты путем установки средств противодействия на собственном сервере. Однако подобный вид мер безопасности способен нейтрализовать лишь самые простые атаки и в большинстве случаев не дает положительного результата. Некоторые ритейлеры предпочитают полагаться на облачное масштабирование серверных мощностей, в облаках наподобие Amazon, однако в случае организации DDoS-атаки компании также придется оплачивать весь «мусорный» трафик, ведь ни одно публичное облако не будет отрабатывать паразитные пакеты бесплатно.
Средний и крупный e-commerce уже имеет достаточно средств на покупку дорогостоящего «железа» для защиты, однако, как правило, закупает и устанавливает оборудование без предварительно заказанного и рассчитанного проекта, включающего в себя анализ потенциальных рисков атак. Купленные, фактически, наудачу продукты, тем не менее, часто выдерживают подаваемую на них нагрузку, поскольку ввиду устоявшегося рынка серьёзные атаки на крупный e-commerce очень редко проводятся.
При приобретении WAF-решения (Web Application Firewall) большинство опрошенных (54%) сфокусированы на защите от взлома, на втором месте — защита от перебора паролей. Часто муссировавшаяся в течение года тема защиты от парсинга волнует респондентов из среднего и крупного бизнеса намного в меньшей степени. Основной причиной взломов респонденты считают нарушение работоспособности магазина, также часто упоминается кража пользовательской базы.
Более 60% отмечают, что сталкиваются (постоянно или периодически) с ботами, мешающими рабочей деятельности. Современный ритейл действительно страдает от нападений, организованных с помощью ботов и направленных на прикладной уровень сайтов, то есть на сами веб-страницы.
Боты также занимаются перебором паролей на сайтах крупного ритейла с целью кражи учетных данных в программах лояльности, позволяющих получить товар за накопленные баллы, или с целью покупки товаров по привязанной к онлайн-магазину пластиковой карте взломанного пользователя. Для перебора также используются многочисленные базы, включающие себя пары email-пароль, от других взломанных ресурсов — как те, которые есть в публичном доступе, так и приватные. Существуют также боты, занимающиеся анализом цен и товарного ассортимента – так называемый web scraping (парсинг).
Аудит безопасности
Интернет-магазин, как основной инструмент торговли, должен стабильно и бесперебойно работать. Обеспечить данные условия возможно только уделяя надлежащее внимание безопасности ресурса, а именно такой процедуре, как аудит безопасности сайта.
Регламентная процедура (например, раз в квартал) проведения аудита безопасности информационной системы позволяет оценить зрелость системы управления ИБ и выявить уязвимости для их оперативного устранения. Один из основных этапов — проведение внешнего Blackbox тестирования на проникновение.
Комплексный аудит безопасности сайта необходим для выполнения требований 6.3, 6.5, 6.6, 11.3.2 стандарта PCI DSS.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ) и требования к проведению аудита не такие жесткие, как в стандарте PCI DSS, но и в этом случае необходимо проводить работы по выявлению возможных уязвимостей e-commerce сайта.
Информационная безопасность в ритейле
Основная статья: Информационная безопасность в ритейле
3 совета, как сделать онлайн-торговлю более безопасной
- Используйте строгую аутентификацию
Внедряйте механизмы строгой аутентификации – они помогут завоевать доверие ваших заказчиков. Используйте шифрование не только для защиты процессов оплаты: сделав SSL (Secure Sockets Layer) на своём сайте обязательным для всех браузеров, вы сможете максимально оперативно узнавать о любых фишинговых атаках, предпринимаемых фиктивными сайтами с использованием поддельных сертификатов безопасности. - Обеспечивайте безопасность процессов оформления заказа и его оплаты
Защищайте платежные данные ваших клиентов за счет реализации безопасных процессов оформления заказа. Обязательным условием является работа с надежной и респектабельной платежной системой, поддерживающей двухфакторную аутентификацию. - Защитите свои сайты от DNS атак
В 2012 году сирийская электронная армия взломала сайты New York Times, Twitter и Huffington Post, изменив записи в DNS системе, и таким образом перенаправив пользовательский трафик. Для защиты от подобных атак убедитесь, что ваш сайт соответствует требованиям стандартов DNSSEC.
https://youtube.com/watch?v=gY6h7-830l0%3Frel%3D0%26showinfo%3D1