Восемь способов защитить покупателей и сайты магазинов в сезон праздников

This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский

Покупатели обычно с нетерпением ждут распродажи, такие как «Черная пятница», «Киберпонедельник», Amazon Prime Day, ведь они сулят огромные скидки и выгодные предложения. Однако в пандемию покупать приходится в Интернете. В предыдущие годы в дни распродаж покупатели выстраивались в очереди в крупных магазинах задолго до их открытия. Сегодня эти толпы переместились в сеть и раскупают товары с большими скидками на порталах электронной коммерции.

Магазины должны не только справиться со всплесками трафика в сезон распродаж, но и защитить покупателей от киберпреступников, которые всегда ищут возможность их обмануть.

Как магазинам защитить себя и своих клиентов от интернет-мошенничества и гарантировать безопасность покупок? Вот несколько ключевых рекомендаций:

Основные векторы атак ботов на веб-сайты и приложения магазинов в сезон праздников.

1. Политики кибербезопасности. Нехватка знаний в области киберзащиты часто приводит к появлению уязвимостей и атакам. Для начала расскажите сотрудникам о фишинге и других методах социальной инженерии, которые основаны на использовании индивидуальной психологии для проникновения в защищенные системы. Поручите специалистам по безопасности полную проверку вашего веб-сайта и приложений с проведением тестов на проникновение и рекомендацией оптимальных мер.
2. Архитектура нулевого доверия. Сегодня многие работают удаленно — дома, в общих рабочих зонах, даже в кафе. Но злоумышленники научились обходить простые механизмы блокировки доступа. Используя архитектуру нулевого доверия, вы можете реализовать принцип «ничему не доверять, все проверять» для предоставления и контроля доступа сотрудников и партнеров к ресурсам.
3. Осведомленность клиентов. Предложите клиентам использовать более надежные пароли и многофакторную аутентификацию, которая требует ввести дополнительный код для входа на сайт магазина. Объясните покупателям, как не стать жертвой фишинговых кампаний, в которых злоумышленники используют ваш бренд, как соблюдать осторожность, предоставляя персональные или платежные данные, и как проверить подлинность сайта. Для поддельных сайтов мошенники часто немного меняют написание бренда. Они могут заменить нулем букву «о» (например, 0nline.com) или даже заменить домен верхнего уровня (например, online.biz вместо online.com).
4. Проверка обновлений ПО. Это может показаться простым и логичным шагом, и тем не менее это критически важный фактор в защите от киберугроз. Убедитесь, что используете обновленные сертификаты SSL и зашифрованные подключения (на это указывает «https» в адресе веб-сайта). Также убедитесь, что все корпоративные приложения и операционные системы обновлены до последних версий. Проверьте безопасность интерфейсов API: убедитесь, что требуется аутентификация, применены все исправления и нет уязвимостей. Регулярно проверяйте на наличие рисков все сторонние приложения, ведь они могут стать для хакеров точкой проникновения в сеть.
5. Ограниченное хранение идентифицирующей информации. Платформы электронной коммерции привлекательны для мошенников, поскольку они содержат информацию о клиентах. Собирайте и храните минимум информации о клиентах и всегда используйте шифрование конфиденциальной информации, например данных кредитных карт. Так вы убережетесь от кражи данных.
6. Интеграция специализированных решений для отражения сложных угроз. Большинство площадок электронной коммерции применяют общие защитные решения для предотвращения всех видов нарушений. Однако хакеры изобретают новые тактики, и владельцам магазинов нужны специализированные решения, такие как решения для борьбы со сложными ботами.
7. Намерения посетителей. Специализированные решения для противодействия ботам, например Radware Bot Manager, изучают намерения каждого посетителя площадки и разрешают только подлинным посетителям войти на веб-сайт или в приложение. Эти решения предотвращают разрушительные атаки ботов с захватом учетных записей и DDoS-атаки, а также борются с другими угрозами, такими как спам, скальпинг, скрепинг, незавершенные покупки, ложные заказы, мошенничество с рекламой.
8. Соответствие стандарту PCI-DSS. Ведущие эмитенты кредитных карт требуют, чтобы организации, принимающие платежи по кредитным картам и обрабатывающие данные их держателей, соответствовали принятому в отрасли стандарту безопасности (Payment Card Industry Data Security Standard, PCI-DSS). Чтобы подтвердить соответствие стандарту PCI-DSS, необходимо проходить ежегодную аттестацию. Компании должны выполнять требования стандарта для надлежащей защиты себя и своих клиентов.

[Понравилась статья? Подпишитесь на еженедельную рассылку свежих новостей от Radware и получите эксклюзивный доступ к премиум-материалам Radware.]