security

Cyberbezpieczeństwo e-commerce. Co grozi sklepom internetowym?

 

O cyberbezpieczeństwo sklepów internetowych trzeba dbać wszyscy nauczyliśmy się tego dwa lata temu na przykładzie Morele.net. Krótkie przypomnienie: ze sklepu wyciekły dane prawie 2,5 miliona klientów, padło żądanie zapłaty około 200 tysięcy złotych okupu (Morele zdecydowało się nie ulegać szantażowi), a ostatecznie UODO nałożyło na sklep karę w wysokości prawie 3 milionów złotych.

Od tego czasu chyba nikt nie ma wątpliwości, że kwestii bezpieczeństwa w e-commerce nie należy lekceważyć. Zobaczmy więc, co grozi sklepom i jak zabezpieczać się przed tymi zagrożeniami.

Co grozi sklepom?

Hakerzy nie próżnują. Z roku na rok (a wręcz z miesiąca na miesiąc) powstają nowe sposoby ataków i służące im narzędzia. Dlaczego o tym mówimy? Przede wszystkim po to, aby uświadomić, że poniższa lista, choć porusza aktualnie najczęstsze typy ataków, zdecydowanie nie wyczerpuje tematu w całości. Warto monitorować kwestie bezpieczeństwa na bieżąco i regularnie testować sklep pod kątem nowo wykrytych podatności.

Atak DDoS

To jeden z najprostszych do przeprowadzenia ataków. Jego pełna nazwa to Distributed Denial of Service, czyli z angielskiego rozproszona odmowa usługi. Atak ten jest przeprowadzany jednocześnie z wielu urządzeń. Celem hakera jest zalanie strony taką ilością ruchu, że poskutkuje ona jej przeciążeniem aż po wyłączenie usługi lub jej ogromne spowolnienie.

W przypadku DDoS haker co prawda nic nie kradnie, ale i tak może spowodować niemałe straty. Nie wierzysz? Wyobraź sobie, że Twoja strona przestaje działać w Black Friday.

Jak zapobiegać atakom DDOS? Przede wszystkim monitorować ruch na stronie, za pomocą odpowiednich narzędzi, np. CloudFlare. Wiedząc mniej więcej, ile klientów odwiedza Twój sklep każdego dnia, bez problemu zauważysz znaczne odstępstwa od normy. Często też o ataku DDoS powiadamiają sklep sami klienci, gdy zauważą, że działa on wyjątkowo wolno lub nie można dostać się na stronę.

Atak można odeprzeć banując źródła, z których pochodzi nienaturalnie duży ruch lub takie połączenia, które nie pociągają za sobą dalszych działań (użytkownik wchodzi na stronę, ale nie przegląda oferty, nie dodaje produktów do koszyka itd.).

Kradzieże i wycieki danych

Gdyby zapytać przeciętnego internautę o proces kradzieży danych, prawdopodobnie od razu nasuną mu się na myśl wpojone przez popkulturę obrazy: biurko ze wszystkich stron osłonięte ekranami komputerów, skomplikowane algorytmy, tysiące linijek kodu…

Tymczasem rzeczywistość bywa dużo prostsza… i zarazem smutniejsza. Wiele firm samemu wręcz prosi się o kradzież danych, pozostawiając je na widoku. Dobrym przykładem jest wyciek danych tysięcy pracowników McDonald’s Polska. W oficjalnym oświadczeniu sieć poinformowała, że „sytuacja była spowodowana nieprawidłowym, omyłkowym umieszczeniem kopii bazy danych narzędzia do wyświetlania grafików pracy w publicznym folderze” jak widać, wpadki zdarzają się nawet największym graczom.

Z punktu widzenia e-commerce najgorzej, jeśli cyberprzestępca uzyska dostęp do faktur, danych osobowych klientów, zamówień, loginów i haseł. W przypadku tych ostatnich problem nasila się, gdy właściciel hasła używa go również poza sklepem, np. loguje się za jego pomocą w mediach społecznościowych. Wtedy haker może za jego pomocą dostać się do profilu danej osoby i podszywając się pod nią wyłudzać pieniądze od jej znajomych.

Inną podatnością, która może doprowadzić do wycieku danych, jest niewłaściwy sposób przechowywania haseł. Upewnij się, czy hasła są dobrze hashowane należy robić to za pomocą nowoczesnych algorytmów, np. Bcrypt, Argon2. Niestety wciąż popularne są stare i niezalecane algorytmy hashowania, jak np. MD5. Wzrost mocy obliczeniowej współczesnych komputerów sprawił, że masowe odzyskiwanie przechowywanych w ten sposób haseł jest w zasięgu niemal każdego internauty.

Phishing

Ataki phishingowe to z kolei zagrożenie wymierzone typowo w klientów. Atakujący przykładowo podrabia panel logowania klienta i za pomocą socjotechnik (technik manipulacji) nakłania go do wpisania swoich danych. W jaki sposób? Na przykład informując, że wystąpiły problemy z zamówieniem i prosząc o jego weryfikację. Banał? Może i tak, ale zaskakująco skuteczny!

Jak bronić przed nim swoich klientów? Cóż, w tym przypadku ciężko prowadzić konsumenta za rękę, ale można (i warto) go uświadamiać. Edukacji nigdy za wiele sporo banków (np. ING) regularnie przypomina użytkownikom, aby uważać na podejrzane telefony i SMS-y.

Niektóre firmy, jak Google, decydują się też na wykupienie zbliżonych nazw domen, aby uniemożliwić przestępcom ich podrobienie. Tym sposobem strona goooooooogle.com doprowadzi użytkownika do właściwej wyszukiwarki. Stosunkowo prostym (choć znienawidzonym przez UX designerów) rozwiązaniem jest też silna polityka haseł, która wymusza na kliencie stosowanie tych odpowiednio długich i zawierających różne znaki. Można też zaproponować klientom weryfikację dwuetapową, czyli potwierdzenie logowania za pomocą drugiego urządzenia, np. kodem SMS.

Innym rozwiązaniem jest też ograniczenie liczby nieudanych prób logowań na użytkownika i uniemożliwienie założenia hasła, które już krąży po sieci. Jak sprawdzić to drugie? To proste! Wystarczy zajrzeć do serwisów, takich jak https://haveibeenpwned.com/.

Ransomware

Ransomware to złośliwe oprogramowanie, które instaluje się na komputerze poprzez lukę znalezioną przez hakerów. W kolejnym kroku oprogramowanie szyfruje dane, a następnie haker żąda okupu za dostarczenie klucza do ich odszyfrowania. 

Ofiarą ataku ransomware padła ostatnio marka Garmin. Hakerzy zaszyfrowali prawie całą infrastrukturę firmy, w rezultacie czego klientom na całym świecie nagle przestały działać sportowe smartwatche, zakupione w sklepie Garmin. Sytuacja trwała kilka dni, do momentu, aż marka ostatecznie zdecydowała się zapłacić okup.

Kwestia czy płacić przestępcom budzi kontrowersje. Wiele osób wychodzi z założenia, że z terrorystami się nie negocjuje, niemniej sprawa komplikuje się, gdy w grę wchodzi być albo nie być firmy. Niejednokrotnie okazuje się, że zapłacenie okupu kosztuje firmę mniej niż przywrócenie danych, potencjalne pozwy ze strony klientów, których dane wyciekły, kara od UODO i inne. Zanim jednak firma zdecyduje się pójść na rękę hakerom, warto samemu poszukać luki w szyfrowaniu czasem udaje się odzyskać dane bez dostępu do klucza. Więcej o tym, czy warto zapłacić hakerom, przeczytasz w artykule „Atak ransomware”

Nie zapominajmy też, że każdy udany atak ransomware to też wyciek danych. Nawet gdy firma odzyska dane, wciąż nie ma gwarancji, że hakerzy usuną je ze swoich baz i nikt nigdy z nich nie skorzysta. Przemilczenie sprawy nie jest więc dobrym pomysłem, jeśli nie chcemy, by za jakiś czas wyszła ona na światło dzienne tym razem bez naszej kontroli i przemyślanych akcji PR-owych. Warto być fair i przedstawić oświadczenie o wycieku, a także poprosić klientów o zmianę haseł lub zresetować je samemu z poziomu admina.

„Wycieki danych ze sklepów internetowych najczęściej prędzej czy później wyjdą na jaw. Pomijając konsekwencje prawne (w końcu po coś wymyślono RODO), są jeszcze kwestie wizerunkowe, które mają to do siebie, że nie mają daty ważności. Nawet po latach niektóre e-Commerce muszą żyć z łatką «niebezpieczny»  czy «niewiarygodny». W czasach, gdy użytkownicy Internetu są stosunkowo dobrze wyedukowani z zakresu bezpieczeństwa, odpowiednia ochrona ich danych to konieczność. Warto pamiętać, że sławne «nieważne jak o tobie mówią, ważne by mówili» absolutnie nie dotyczy tego typu sytuacji. I nie przykryje tego nawet najfajniejsza reakcja firmy”.

– Marek Kich, CEO X-Coding IT Studio

Testy penetracyjne czym są i jak często je robić?

Testy penetracyjne (pentesty) to po prostu testy strony www (w tym sklepu) lub aplikacji pod kątem cyberbezpieczeństwa. Pentesterzy, zwani też legalnymi hakerami, przeczesują e-commerce w poszukiwaniu podatności i luk w zabezpieczeniach i zwykle je znajdują. Po zakończonych testach firma otrzymuje raport z opisem ich przebiegu, wykrytych podatności i rekomendacji co do ich naprawy.

Jak często przeprowadzać testy penetracyjne? 

Przede wszystkim bezpieczeństwo to nie produkt, za który płacimy jednorazowo i który zostaje z nami na zawsze. Mam na myśli sytuację, gdy firma inwestuje, np. w oprogramowanie antywirusowe i załatwione uznaje temat cyberbezpieczeństwa za zamknięty.

Dużo lepiej jest postrzegać bezpieczeństwo jako proces, który warto rozpocząć go od testów penetracyjnych, ale potraktować je właśnie jako część większej całości.

Testy penetracyjne warto powtarzać regularnie. Hakerzy cały czas wyszukują nowe podatności i tworzą nowe strategie ataków. Co to oznacza w praktyce? Ano to, że sklep, który jeszcze kilka miesięcy wcześniej można było uznać za bezpieczny, dziś już niekoniecznie musi taki być.

Warto testować:

  • po zmianie oprogramowania,
  • po dodaniu nowych funkcjonalności,
  • po zmianie layoutu,
  • po każdej większej zmianie.

Niekoniecznie trzeba przetestować od razu cały sklep, ale na pewno warto sprawdzić te obszary, które uległy zmianie.

Co jeszcze mogę zrobić?

Uświadamiać, uświadamiać i jeszcze raz uświadamiać.

Zadbaj o świadomość klientów: aby tworzyli unikalne, mocne hasła i korzystali z menadżerów haseł. Uczulaj ich na socjotechniki, które stosują hakerzy.

To samo zrób w przypadku pracowników na początek możesz dać im do przeczytania ten tekst. Niegłupim pomysłem jest też ograniczenie uprawnień kont według zasady najmniejszych koniecznych uprawnień nadawanie tylko koniecznych do pracy uprawnień, minimalizowanie liczby osób z uprawnieniami administracyjnymi.

Warto też bronić sklep przed nieostrożnymi klientami. Jeśli pozwalamy klientom wgrywać własne pliki na serwer (na przykład zdjęcie profilowe konta) ograniczyć rozmiary i typy plików, które przyjmujemy, skanować je przed zapisaniem na serwerze.

Jak przekonać przełożonego do inwestowania w cyberbezpieczeństwo?

Bywa i tak, że osoba odpowiedzialna za sklep doskonale zdaje sobie sprawę z powagi sytuacji, ale ostateczny głos w sprawie budżetu należy do kogoś innego. Jak w takim przypadku przekonać przełożonego, że warto inwestować w cyberbezpieczeństwo?

Naszym zdaniem nic nie ma takiej mocy przekonywania jak czyste liczby! Dane zwykle mówią same za siebie. Wystarczy przyjrzeć się, jak często przedsiębiorstwa padają ofiarami hakerów te liczby niestety rosną z roku na rok:

  • Od 2 maja FBI odnotowało 300% wzrost w zgłoszeniach dotyczących incydentów cybernetycznych (Źródło: IMC Grupo);
  • 46% światowych przedsiębiorstw zetknęło się z choć jednym cyberzagrożeniem (Źródło: Dark Reading).

Warto też posłużyć się analogią do sklepów stacjonarnych. Nikt nie kwestionuje konieczności zainwestowania w zamki, kratę antywłamaniową, czy firmę ochroniarską w sklepie stacjonarnym. Tym bardziej dziwi, jak często cyberbezpieczeństwo sklepu internetowego umieszczane jest na samym końcu listy priorytetów.

Często przekonujące są też argumenty czysto finansowe. Za przykład może posłużyć wspomniany na początku tego artykułu sklep Morele.net wyciek danych kosztował firmę prawie 3 miliony złotych, nie licząc nawet kosztów obsługi awarii i działań wizerunkowych. Dużym firmom o wiele bardziej opłaca się dbać o cyberbezpieczeństwo na bieżąco, wydając miesięcznie mniejsze kwoty, niż jednorazowo pokryć koszty ratowania przykrej sytuacji.

Warto pamiętać, że koszty, na które narażona jest firma, gdy pada ofiarą hakera, nie sprowadzają się tylko do zapłaty okupu lub kary finansowej nałożonej przez Urząd Ochrony Danych Osobowych. W momencie zablokowania przez cyberprzestępcę dostępu do strony (na przykład podczas ataku DDOS) siłą rzeczy następuje przestój w biznesie. Sklep internetowy, nie zarabia klienci nie mogąc dokonać zakupu, uciekają do konkurencji. Dodajmy do tego utratę zaufania, gdy wyjdzie na jaw, że firma padła ofiarą hakera, i już mamy gotową receptę na obniżenie przychodów.

Co więcej, jeśli klient posiada choć minimalną wiedzę w kwestiach technicznych (a takową ma większość użytkowników Internetu), już na pierwszy rzut oka zauważy, że sklep nie wygląda na bezpieczny. Brak certyfikatu SSL, podejrzane reklamy i inne ostrzegawcze sygnały nie są trudne do zauważenia. To działa w obie strony: bezpieczny sklep zyskuje zaufanie klientów, ten, którego podatności widać jak na dłoni traci w ich oczach.

Podsumowanie

O cyberbezpieczeństwo sklepu internetowego warto dbać to chyba jasne. Mam nadzieję, że po lekturze powyższego artykułu równie jasne jest dla Ciebie, co grozi Twojemu e-commerce i jak zapobiegać tym zagrożeniom. Nie pozostaje mi nic innego, jak życzyć Ci powodzenia i zachęcić do dalszego zgłębiania tematu cyberbezpieczeństwa.

Rate the article:


21.08.2020