Gmail, LinkedIn, Uber i wielu innych gigantów padło już ofiarą cyberataków, których skutkiem był wyciek danych milionów użytkowników. Jednak, wbrew pozorom, hakerzy biorą za cel nie tylko duże podmioty. O takich atakach po prostu mówi się więcej, bo są bardziej medialne. Wraz ze wzrostem popularności e-handlu, wzrosło również zainteresowanie hakerów wobec sklepów internetowych.
Najpopularniejsze rodzaje ataków
Sklepy internetowe są narażone na różne rodzaje ataków. Przyjrzeliśmy się tym najczęstszym.
Ransomware
Ransomware to typ złośliwego oprogramowania, które blokuje dostęp do komputera – do momentu aż użytkownik zapłaci żądany okup. Dopiero po tym właściciel serwisu odzyskuje do niego dostęp. Wyróżnia się różne rodzaje ataków ransomware:
Phishing
To rodzaj ataku, którego celem jest pozyskanie danych użytkownika, takich jak loginy i hasła, np. do bankowości internetowej lub numer karty płatniczej i kod CVV. Oszuści usiłują pozyskać ww. dane np. za pomocą:
Obecnie do bardzo dużo wielu tego typu ataków dochodzi za pośrednictwem serwisów typu OLX lub Vinted. Oszuści nakłaniają użytkowników do zlecenia płatności poza oficjalnym systemem sprzedawcy, udostępniają formularz płatności (który do złudzenia przypomina te bankowe lub kartowe) i wyłudzają dane.
DDoS
DDoS, czyli rozproszona odmowa dostępu do usługi (Distributed Denial of Service) to atakowanie danego serwisu lub konta z kilku komputerów jednocześnie w tym samym czasie. Celem ataku jest uniemożliwienie działania systemu komputerowego lub usługi sieciowej. Co ciekawe, hakerzy wykorzystują zazwyczaj komputery innych użytkowników w celu przeprowadzenia ataku. Wcześniej infekują ich komputery rodzajem wirusa, który przeprowadza (bez wiedzy właściciela urządzenia) konkretny typ aktywności w internecie.
Czym może skutkować atak na sklep internetowy?
Jeżeli ktoś włamie się do Twojego sklepu, straty mogą być bardzo duże – i to na wielu poziomach. Począwszy od wycieku danych użytkowników, przez utratę kontroli nad serwisem, po stratę zaufania dotychczasowych klientów.
Raz utraconą reputację bardzo trudno odbudować
Pomimo tego, że do ataku doszłoby bez Twojego udziału i świadomie nie miałbyś z nim nic wspólnego – Twój serwis www byłby platformą do wyłudzenia danych, i to danych wrażliwych. W wyniku ataku Twoi klienci mogliby nawet stracić pieniądze. Gdyby doszło do takiej sytuacji, zaufanie do Twojej marki z pewnością by spadło. Klienci poczuliby się zawiedzeni i oszukani, ponieważ sklep okazał się niewystarczająco zabezpieczony.
Problemy się mnożą
Jeśli na Twoim serwerze wykryte zostanie złośliwe oprogramowanie, firma hostująca może w każdej chwili odciąć ci dostęp do serwisu, przez co stracisz możliwość prowadzenia sprzedaży, a klienci, którzy w tym czasie odwiedzą serwis nie będą wiedzieć, co się stało.
O całej sytuacji mogą zostać również poinformowana policja, która zgłosi się do ciebie po wyjaśnienia.
Co więcej, adres twojego serwisu może trafić na tzw. "czarną listę" (URL blacklist), zawierającą adresy stron stanowiących potencjalne zagrożenie. Jeżeli tak się stanie, wówczas każdy z użytkowników odwiedzający twój serwis zobaczy wcześniej komunikat informujący o tym, że strona może być niebezpieczna. Część internautów zignoruje takie ostrzeżenie, ale znaczna większość od razu opuści stronę i będzie cię darzyć ograniczonym zaufaniem. Co więcej, gdy raz znajdziesz się na takiej liście – bardzo trudno jest się z niej "wypisać". W pojedynkę bardzo trudno to zrobić. Czasami konieczne jest zatrudnienie firmy, która się w tym specjalizuje. Usuwanie danych twojego serwisu z czarnych list może zająć nawet kilka tygodni.
Jak się przed tym uchronić?
Przede wszystkim odpowiednio zabezpieczyć sklep internetowy. Zacznij od wykupienia certyfikatu SSL, który pozwala na zaszyfrowanie komunikacji między przeglądarką a użytkownikiem. Protokół https:// jest potwierdzamy przez przeglądarkę ikoną kłódki.
Certyfikat jest również ważnym komunikatem dla klientów, którzy w ten sposób sprawdzają, czy sklep jest zabezpieczony chodź w podstawowym zakresie.
Możesz również umożliwić swoim klientom korzystanie z tzw. dwuskładnikowej weryfikacji. Warto pozostawić to jako opcję, a nie obowiązek, ponieważ część użytkowników może nie chcieć z niej korzystać, głównie ze względu na wygodę i chęć szybkiego zrobienia zakupów.
To tylko niektóre z dostępnych rozwiązań. Już niedługo w naszej bazie wiedzy pojawi się artykuł, w którym powiemy więcej nt. tego jak zabezpieczyć sklep internetowy.