Каждый год по всему миру растет ажиотаж вокруг онлайн-распродаж, особенно в Черную пятницу и перед Рождеством. В спешке легко забыть об основах цифровой безопасности, что делает как продавцов, так и их клиентов легкой и прибыльной добычей для киберпреступников.
В своем «Отчете о расследовании утечек данных за 2021 год» (2021 DBIR) эксперты Verizon указывают, что киберпреступники в основном используют конфиденциальную информацию, включая платежные данные покупателей (42%), личные данные (41%) и учетные данные (33%), которые запрашивают и затем хранят у себя продавцы.
Если что-то кажется слишком хорошим, чтобы быть правдой, возможно, так оно и есть.
Ритейл продолжает оставаться мишенью для финансово мотивированных преступников, которые стремятся заработать, используя данные платежных карт и личную информацию пользователей.
Часто мошенники прибегают к таким техниками социальной инженерии как фишинг и претекстинг — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию получает конфиденциальную информацию, что чревато мошенническими денежными переводами. Эта тактика использовалась в 77% инцидентов в рознице, согласно исследованию DBIR 2021 года.
Фишинговые кампании можно разделить на четыре группы:
- Вид мошенничества, когда, например, приходит имейл от предполагаемого родственника, который попал в переделку за границей и нуждается в наличных, чтобы добраться домой.
- Мошенничество с использованием брендов известных компаний, когда приходит имейл якобы от банка или известного бренда, в котором пользователю предлагают подтвердить платеж или совершить покупку.
- Вымогательство с целью запугивания пользователя, чтобы впоследствии заставить выполнить поставленные условия
- Компрометация корпоративной электронной почты (BEC) — целенаправленная атака на бизнес, а не на отдельного человека.
Такие кампании побуждают пользователей переходить по ссылкам, которые ведут на фейковые страницы, или раскрывать конфиденциальную информацию злоумышленникам.
Использование QR-кодов также возросло за время пандемии, особенно среди небольших розничных продавцов и в гостиничном бизнесе, в качестве простого способа размещения заказов и осуществления платежей.
Однако пользователи должны быть осторожны, поскольку QR-коды также могут содержать мошеннические URL-адреса, с помощью которых злоумышленники выводят средства, фиксируют данные о местоположении или ссылаются на профили пользователей в социальных сетях — и все это без их ведома ради того, чтобы получить доступ к учетным данным и платежной информации.
Обучение — лучшая защита для компаний и частных лиц. Регулярные тренинги по кибергигиене для сотрудников, раскрывающие тактику фишинговых кампаний и способы их обнаружения, имеют огромное значение как для защиты конфиденциальных данных внутри компании, так и для повышения личной безопасности людей во время шопинга.
Сохранение баланса безопасности — ответственность продавца
В мире кибербезопасности ритейлеры обязаны обеспечить безопасность своих данных, а также своих клиентов. Важно использовать как можно больше мер безопасности, но не менее важно, чтобы компания оставалась в курсе того, что киберпреступники пытаются делать и как они это делают. Быть в курсе новейших технологий — отличный способ быть на шаг впереди потенциальных злоумышленников.
За последние пять лет 35% из 1354 инцидентов, в ходе которых была украдена информация о платежных картах, связаны с системами в точках продаж (PoS), которые используются в обычных розничных магазинах; 38% приходится на веб-приложения, то есть онлайн-магазины.
Такие атаки компрометируют платежную систему веб-сайта, устанавливая код, который собирает информацию о платежных картах клиентов, когда они совершают свои покупки. Эти атаки не попадают в заголовки газет, но имеют реальные последствия как для покупателей, так и для розничных продавцов.
Что могут предпринять компании, чтобы снизить уровень угроз:
- Обеспечение безопасности данных: розничные продавцы должны принимать соответствующие меры для борьбы с кибератаками. Хоть и не существует решения, которое гарантирует 100% защиту, компании однозначно могут минимизировать риски.
- Использование средств для обеспечения целостности данных: киберпреступники, нацеленные на веб-приложения, не нацелены на данные, которые защищены и находятся под контролем. Они внедряют код для сбора данных о клиентах по мере того, как клиенты вводят их в веб-формы. Чтобы бороться с этим методом, нужно установить программное обеспечение для защиты файлов от вредоносных программ на сайтах, где осуществляются платежи, а также не забывать обновлять операционную и платежные системы.
- Новые возможности: внедряйте новые технологии, которые затрудняют преступникам использование PoS-терминалов в качестве легкой добычи. Решения включают смарт-карты EMV и мобильные кошельки или любой метод, использующий одноразовый код транзакции вместо номеров основных учетных записей.
Хотя преступники часто ищут информацию о платежных картах, это не единственные данные, которые они считают полезными. Розничным торговцам также следует помнить, что программы лояльности, в которых используются «баллы», также являются потенциальными целями, поскольку они содержат ценную личную информацию о покупателях.
Безопасность — это ответственность каждого
Ответственность за безопасность данных независимо от того, где они находятся — у розничных продавцов, на мобильном устройстве, в учетной записи в социальной сети или на компьютере — лежит на каждом. Потребители несут ответственность перед собой за то, чтобы проявлять осторожность в отношении тех, с кем они делятся своими данными и как ведут себя в сети. Точно так же ритейлеры несут основную ответственность не только за защиту своих данных и бренда, но и за безопасность покупателей, которые полагаются и доверяют своим брендам.
Для многих розничных организаций, особенно небольших, применение широко распространенных мер безопасности недоступно и нецелесообразно. Но каждый шаг безопасности, каким бы незначительным он ни был, может иметь очень положительное влияние, когда дело доходит до обнаружения и предотвращения действий киберпреступников.