تُظهر البيانات أن تجار التجزئة في التجارة الإلكترونية أصبحوا ، أكثر من أي وقت مضى ، محاصرين في خلافات مجرمي الإنترنت. وجدت دراسة حديثة من Symantec ، على سبيل المثال ، أن المهاجمين قد حولوا تركيزهم إلى مواقع التجارة الإلكترونية ، وخاصة باستخدام “فورم سرقة” ، التي تستخدم أكواد ضارة على مواقع التجارة الإلكترونية لسرقة معلومات بطاقة ائتمان المستهلك.
مع تطور التهديدات باستمرار ، يجب أن يكون الأمن السيبراني جزءًا من إستراتيجية العطلات لكل تاجر تجزئة للتجارة الإلكترونية ، وفقًا لجوش زيلونيس ، المحلل الرئيسي في Forrester Research. ويوضح أن أولئك الذين لا يأخذون الأمن على محمل الجد يخاطرون بسمعتهم ، وبالتالي أعمالهم – ناهيك عن التداعيات المالية التي يمكن أن تأتي نتيجة لبيئة تنظيمية جديدة ، بما في ذلك الناتج المحلي الإجمالي. يقول: “إن موسم العطلات مدته أسابيع قليلة فقط ، لذا تخيل ما يمكن أن يفعله الخرق إذا حدث في ذلك الوقت”. “لذلك إذا لم يقم محترفو تكنولوجيا المعلومات على الأقل بالأشياء الأساسية التي يجب القيام بها ، فأنت فقط تجهز نفسك لتكون ضحية.”
المحتويات
تجار التجزئة الصغار عبر الإنترنت ، لاحظ ذلك
غالبًا ما تكون المواقع الأصغر هي الأكثر عرضة للخطر ، كما يقول ديف جروبر ، كبير المحللين في ESG ، لأن المهاجمين غالبًا ما يستهدفون المواقع الأصغر التي تستثمر تقليديًا أقل في الضوابط الأمنية. يقول: “هذه المواقع يسهل اختراقها ، وغالبًا ما تفتقر إلى موارد الكشف والاستجابة ، مما يمنح المهاجمين وقتًا أطول لتنفيذ هجماتهم”.
يوافق زيلونيس على ذلك قائلاً: “كثيرًا ما أصادف بائعي تجزئة يواجهون الكثير من المشاكل فيما يتعلق بأساسيات الأمان ، لا سيما تجار التجزئة الأصغر ومتوسطي الحجم” ، كما يقول. “المشكلة الأساسية هي أن كل شخص آخر يتحسن ويزداد تطورًا – ليس فقط الخصوم ولكن المنافسين أيضًا.”
ويضيف زيلونيس أن هناك ثلاث طرق أساسية يمكن للخصم من خلالها الدخول إلى موقع التجارة الإلكترونية وتعريضه للخطر: أحدها يكون من خلال الوصول عن بُعد غير الآمن ، بما في ذلك استخدام بروتوكول سطح المكتب البعيد (RDP) ؛ والخطأ الآخر هو الخطأ البشري ، مثل النقر على رسائل البريد الإلكتروني المخادعة. أخيرًا ، يلوح تهديد فقدان بيانات المستهلك بشكل كبير ، من خلال هجمات القشط على المتصفح مثل Magecart ، وهو اتحاد من مجموعات المتسللين الخبيثة التي تستهدف أنظمة عربة التسوق عبر الإنترنت ، عادةً Magento ، لسرقة معلومات بطاقة الدفع الخاصة بالعميل.
في أغسطس 2019 ، على سبيل المثال ، تم العثور على أكثر من 80 موقعًا للتجارة الإلكترونية قد تعرضت للاختراق من قبل مجموعات Magecart ، بما في ذلك مواقع رياضة السيارات والسلع الفاخرة ذات السمعة الطيبة. بالإضافة إلى ذلك ، تم استهداف العلامات التجارية العالمية مثل Ticketmaster و British Airways في عام 2018. “يجب أن تدرك شركات التجارة الإلكترونية أن الخصوم متطورون للغاية مع هذا النوع من الهجمات ، وستستمر المنظمات لفترة طويلة من الوقت دون أن تدرك أنهم تعرضوا للاختراق ، “يقول زيلونيس.
ما الذي يسبب ارتفاع الاحتيال في التجارة الإلكترونية؟
بحسب ال 2019 التكلفة الحقيقية للاحتيال دراسة من LexisNexis Risk Solutions ، تضاعفت محاولات الاحتيال الإجمالية للبيع بالتجزئة على أساس سنوي وتضاعفت ثلاث مرات منذ عام 2017. تم استهداف المزيد من أنواع تجار التجزئة والتجارة الإلكترونية ، بما في ذلك الشركات الصغيرة ، مما أدى إلى زيادة تكلفة الاحتيال (3.13 دولار لكل 1 دولار من الاحتيال في عام 2019 مقابل 2.94 دولار قبل عام).
وجدت الدراسة عدة اتجاهات تؤدي إلى زيادة مخاطر الاحتيال في التجارة الإلكترونية: من ناحية ، ازدهرت التجارة عبر الهاتف المحمول ، حتى بين صغار تجار التجزئة الذين يرغبون في توفير تجربة مريحة للعملاء وتلبية توقعات المستهلكين. بالإضافة إلى ذلك ، كان هناك ارتفاع في المعاملات الدولية التي تنتج المزيد من المخاطر حول التحقق من الهوية ؛ ويعمل التجار على زيادة مزيج السلع الرقمية لديهم مقارنة بالسلع المادية. يقول كيمبرلي ساذرلاند ، نائب رئيس استراتيجية الاحتيال والهوية في LexisNexis Risk Solutions: “إن القدرة على اكتشاف الاحتيال في قنوات الهاتف المحمول والمعاملات العالمية والسلع الرقمية غير المشحونة هي ببساطة أكثر صعوبة”.
يعد برنامج الاحتيال الكبير الآخر هو هجمات الروبوتات ، خاصة وأن المجرمين يستفيدون من حجم العطلات الضخم لإخفاء جهود الروبوتات العدوانية. وفقًا لتيفاني كليمان ، نائب رئيس إدارة الروبوتات في Imperva ، فإن الروبوتات السيئة هي مشكلة تواجه كل شركة من خلال منصة على الإنترنت ، وهذا ينطبق بشكل خاص على صناعة التجارة الإلكترونية. في الواقع ، وجدت دراسة لشركة Imperva مؤخرًا أن 17.7 بالمائة من حركة الإنترنت على مواقع التجارة الإلكترونية يمكن إرجاعها إلى برامج الروبوت السيئة.
“ترتكب الروبوتات السيئة مجموعة واسعة من الأنشطة الضارة ، بما في ذلك كشط الأسعار غير المصرح به ، وفحص المخزون ، ورفض المخزون ، والتوسع ، والاستيلاء على حساب العميل ، وإساءة استخدام بطاقات الهدايا ، والتعليقات غير المرغوب فيها ، والاحتيال في المعاملات ، وكلها لها تأثير كبير على تجربة العميل ويمكن أن يفسد سمعة أي عمل تجاري إلكتروني “.
خطة عمل الأمن السيبراني لتجار التجزئة في التجارة الإلكترونية
يقول زيلونيس إنه في الوقت الذي تقترب فيه العطلات بسرعة وقد يبدو من الصعب معالجة مشكلات الأمن السيبراني في وقت متأخر جدًا من اللعبة ، فهذا ليس وقتًا للتخلص من يديك. يقول: “نظافة البنية التحتية الأمنية هي ماراثون ، وليست عدوًا سريعًا”. “عدم القيام بأي شيء الآن يضعك في موقف سيئ يأتي في شهر يناير عندما ينتهي الاندفاع ، وستتأخر شهرين عن كل الأشياء التي تحتاج إلى القيام بها والتي يمكن أن يكون لها آثار خطيرة على المنظمة حتى عام 2020 وما بعده.”
لتحقيق هذه الغاية ، هناك عدة خطوات قصيرة وطويلة المدى للأمن السيبراني يجب معالجتها ، بغض النظر عن الوقت من العام:
- سد الثقوب مع التصحيحات الصحيحة والتحديثات. لا تتجاهل ما هو واضح ، كما يقول Brendon Macaraeg ، رئيس تسويق المنتجات في Signal Sciences. يقول: “يلاحق المهاجمون نقاط الضعف المعروفة والمنشورة عبر جميع الأجزاء الرئيسية للبنية التحتية التي تستضيف وتخدم وتغذي البيانات في تطبيق التجارة الإلكترونية الخاص بك”. من خلال تثبيت أحدث المراجعات والتصحيحات للبرامج ، فإنك تسد تلك الثغرات المحتملة التي قد يستغلها المهاجمون.
- اعتماد طرق إضافية للتحقق من الهوية. يقول ساذرلاند إن الحاجة إلى اعتماد طرق إضافية للتحقق من الهوية ، مثل دمج عناصر الهوية الرقمية المستندة إلى الموقع والقياسات الحيوية السلوكية ، هو أمر لا يزال يتعين على العديد من تجار التجزئة الصغار والكثير من الشركات المتوسطة والكبيرة تبنيه حقًا: “لا يرغب تجار التجزئة في زيادة العملاء الاحتكاك ، ولكن من الضروري خفض تكلفة الاحتيال “.
- تأكد من فهم الموظفين للأولويات. تجذب هجمات التصيد الاحتيالي الموظفين باستمرار إلى النقر فوق الروابط أو تنزيل المرفقات التي تثبّت برامج ضارة. وهذا يعني أن المنظمات بحاجة إلى التأكد من أن الموظفين يفهمون التهديد الذي تتعرض له المنظمة وما يجب أن تكون أولوياتهم ، كما يقول زيلونيس. “بدلاً من التفكير في أنه يتعين عليهم التركيز على عدد رسائل البريد الإلكتروني التي يمكنهم فحصها ، يجب تدريبهم على البحث عن هجمات التصيد الاحتيالي ومدى أهمية الأمن السيبراني.”
- غرس الأمن بعمق في عمليات devops. إنه هدف واسع وطويل الأجل ، لكن Gruber تؤكد أنه من الضروري ضمان تحليل كل تحديث للتطبيق بعناية لضمان إدخال نقاط ضعف جديدة في التطبيقات. ويوضح قائلاً: “تساعد جدران الحماية لتطبيقات الويب من الجيل التالي أيضًا في سد الثغرات الأمنية الإضافية ، ويمكن تأمين تهديدات القشط عبر المتصفح باستخدام تطبيقات الويب الجديدة ومنصات حماية واجهة برمجة التطبيقات”.
- حظر الروبوتات السيئة. لا توجد طريقة واحدة تناسب الجميع للحماية من هجمات الروبوتات ، ولكن هناك خطوات استباقية يجب على تجار التجزئة في التجارة الإلكترونية اتخاذها ، كما يقول كليمان. وتشمل هذه حظر أو التقاط وكلاء المستخدم / المتصفحات القديمة ؛ حظر مقدمي الاستضافة المعروفين وخدمات البروكسي ؛ وحظر جميع نقاط الوصول. تشرح قائلة: “تأكد من حماية واجهات برمجة التطبيقات وتطبيقات الأجهزة المحمولة المكشوفة ، وليس فقط موقع الويب الخاص بك ، وقم بمشاركة معلومات الحظر بين الأنظمة كلما أمكن ذلك”.
لا تنتظر لدعم أمن التجارة الإلكترونية
يقول زيلونيس إن التجارة الإلكترونية ليست صناعة ذات هامش ربح مرتفع ، مما يعني أنه غالبًا ما يكون هناك أموال أقل لإنفاقها على الأمن السيبراني على مواقع الويب والتطبيقات. ومع ذلك ، في الوقت نفسه ، يوجه المهاجمون اهتمامهم بشكل متزايد إلى تجار التجزئة في التجارة الإلكترونية ، لذلك قد يكون اختراق البيانات في متناول اليد دائمًا. ويشرح قائلاً: “إننا لا نقوم بمعالجة نقاط الضعف في فترة زمنية معقولة ، مما يترك الباب مفتوحًا لكثير من العواقب التي يمكن أن تحدث”.
سيستمر المهاجمون في الابتكار والاستفادة من نقاط الضعف الجديدة في التطبيقات والمتصفحات والبنية التحتية السحابية ، كما يقول جروبر. ويضيف أن المفتاح هو العمل الآن ، حتى لو كانت جهودك في الإجازة مجرد بداية لرحلة طويلة الأمد تستمر طوال العام. يعد القيام بذلك أمرًا ضروريًا لتعزيز ثقة العملاء وإبقاء المهاجمين في مأزق.
يقول: “يستمر الاحتيال في التجارة الإلكترونية في التصاعد ، لذا سنشهد هذا العام المزيد من المشكلات أكثر من أي وقت مضى”. “إنها لعبة قط وفأر.”
