Her yıl, tatil alışveriş sezonunun önceki tüm rekorları kıracak şekilde ayarlandığını duyuyoruz. Ulusal Perakende Federasyonu’ndan alınan son verilere göre, 2021 ABD’deki satışlarla farklı olmayacak %10 büyüyeceği tahmin ediliyor otomobil satıcıları, benzin istasyonları ve restoranlar hariç, geçen yılın rakamlarına göre 859 milyar doları aştı. Bu, siber suçluların görmezden gelemeyeceği kadar büyük bir pasta.
Perakendeciler bu artan talebi desteklemek için lojistik zincirlerini hazırlamak ve raflarını stoklamak için aylar harcarken, sormadan edemiyorum: Siber güvenlik duruşlarını güçlendirmek için ne yaptılar?
Bu soruyu yanıtlamak için, siber suçluların e-ticaret işletmelerini soymak için kullandıkları en etkili ve yaygın olarak kullanılan web sitesi saldırılarından ikisine göz atalım:
Web Tedarik Zinciri Saldırıları
SolarWinds saldırısının ardından, küresel yazılım tedarik zincirlerinin güvenliğini artırmaya yönelik benzeri görülmemiş bir baskı oldu. Bu itmenin büyük bir itici gücü, Beyaz Saray tarafından Mayıs 2021 icra emri ABD güvenlik duruşunu iyileştirme konusunda. Yürütme kararının kendisi, bunun neden acil bir mesele olduğu konusunda oldukça açık. “Ticari yazılımın geliştirilmesinde genellikle şeffaflık, yazılımın saldırılara direnme kabiliyetine yeterli odaklanma ve kötü niyetli aktörler tarafından kurcalamayı önlemek için yeterli kontroller yoktur” yazıyor.
E-ticaret siteleri, uzun bir geçmişin de kanıtladığı gibi, özellikle Web tedarik zinciri saldırılarına eğilimlidir. Magecart Web kayması saldırıları British Airways, Macy’s, Ticketmaster ve Newegg gibi şirketleri ihlal etti. Saldırganlar, e-ticaret sitelerinin üçüncü taraf satıcılara maruz kalmasından yararlanıyor; ortalama olarak, her site üçüncü şahıslar tarafından sağlanan 35 hizmeti çalıştırır. Bu, sertleştirilmesi gereken neredeyse üç düzine zayıf halka.
Saldırganlar, bu üçüncü taraf satıcılardan birini ihlal ederek ve hizmetlerinden birine (kavramsal olarak SolarWinds’e benzer) kötü niyetli bir yük enjekte ederek tek seferde binlerce web sitesini ihlal edebilir. Bu saldırılar, kredi kartı verilerini ve kişisel olarak tanımlanabilir bilgileri sızdırabilir ve genellikle aylarca tespit edilmeden kalır.
A IBM tarafından rapor perakende sektöründeki ortalama veri ihlallerinin maliyetinin yalnızca 2021’de %63 arttığını ve bunun kısmen dijital dönüşüm ve uzaktan çalışma ile desteklendiğini belirtiyor. Sonuç olarak, e-ticaret şirketlerini hedef alan saldırganlar için veri sızdırmanın hala en yaygın hedeflerden biri olduğunun güçlü bir göstergesi.
müşteri kaçırma
Günümüzün son derece rekabetçi e-ticaret ortamında, her perakendeci müşterilerin dikkatini ve ilgisini korumak için amansız bir savaş veriyor. Bir çevrimiçi alışverişçinin dikkat süresi zayıftır ve bu nedenle perakendeciler, kullanıcı deneyimini iyileştirmek ve dönüşüm oranlarını en üst düzeye çıkarmak için web sayfalarını titizlikle optimize etmek için yıllarını harcamıştır.
Ancak, dikkatli bir şekilde optimize edilmiş bu dönüşüm akışları genellikle dış etkenlerden etkilenir. Yaygın bir müşteri kaçırma saldırısı, kullanıcı tarafından yüklenen tarayıcı uzantıları veya fiyat karşılaştırma araçları aracılığıyla gerçekleşir. Bunlar, fiyat karşılaştırma açılır pencerelerini, kupon kodlarını ve benzer bilgileri doğrudan kullanıcının göz attığı sayfada görüntüler. Bunlara tıklayarak, kullanıcı genellikle bir rakibin web sitesine yönlendirilir ve göz atılan orijinal siteden uzaklaşır.
Kendi şirket içi araştırmamız, bir e-ticaret web sitesinin kullanıcı oturumlarının yaklaşık %5’inin bu tür bir korsanlıktan etkilendiğini gösteriyor. Küresel bir perakendeci kapsamında, bu, yılda milyonlarca gelir kaybını temsil edebilir (tatil alışveriş sezonunda bunun büyük bir kısmı). Ve bu tatil sezonunda beklenen çevrimiçi harcama bağlamında ele alırsak, bu hat üzerinde 42.95 milyar dolar.
Müşteri kaçırmaya başka bir örnek, bir web sitesi bileşeninin (tedarik zinciri saldırısının bir sonucu olarak meydana gelebilir) tehlikeye atılmasıyla ilgilidir. Saldırganlar tarafından bu tür bir uzlaşmanın, kullanıcılara doğrudan e-ticaret sitesi aracılığıyla kötü amaçlı yazılım sunmak için kullanıldığı durumlar olmuştur (ör. Equifax ve TransUnion 2017’de). Bu sadece kullanıcı deneyimini tamamen bozmakla kalmaz, markanın imajını ve itibarını da tehlikeye atar.
Güvenlik Boşluğunun Ele Alınması
Bu saldırılarda kullanılan taktikler, teknikler ve prosedürler oldukça farklı olsa da, her ikisi de aynı açık güvenlik açıklarından kaynaklanmaktadır: görünürlük eksikliği ve istemci tarafında neler olduğu üzerinde kontrol eksikliği (yani, tarayıcıda veya sonunda gerçekleşen her şey) kullanıcı cihazı).
Şu anda, saldırıya uğrayan şirketlerin farkında olmadan saldırganların eline veri sızdıran ve alışveriş yapanların kullanıcı deneyimini bozan binlerce e-ticaret sitesi var. Bunun nedeni, bu şirketlerin geleneksel güvenlik yaklaşımlarının ötesine geçememesi (bir Web uygulaması güvenlik duvarı kullanmak gibi) ve istemci tarafında uygun güvenlik kontrolleri uygulamamasıdır.
Bu görünürlüğü elde etmek için şirketler hızlı ve kolay bir ilk adımı atabilir: Her kullanıcı oturumunda, bir ödeme formunu kurcalamaya çalışan bir üçüncü taraf bileşeni veya bir açılır reklam görüntüleyen bir tarayıcı uzantısı gibi kötü niyetli davranış belirtileri arayın. . Ancak görünürlük savaşın sadece yarısıdır. Şirketler daha fazla adım atmalı ve bu davranışın kaynağını bloke edebilen, Web tedarik zinciri saldırılarını ve müşteri kaçırma olaylarını etkili bir şekilde önleyebilen teknolojiyi kullanmalıdır.
Rekor sayıda insanın çevrimiçi alışveriş yapacağı tahmin edildiği yılbaşı alışverişi telaşında, perakendecilerin uygun güvenlik kontrollerini benimsemeleri çok önemlidir. Bu iki saldırı vektörü ele alınabilir ve ele alınmalıdır. Bunu yapmamak, siber saldırganlar için rekor kıran bir beslenme çılgınlığına neden olabilir.
Peki perakendeciler bu karmaşık siber güvenlik tehditleriyle başa çıkmak için ne yaptı? Kesin olarak söylemek zor ama umarız ki cevap “Yeterli değil” değildir.