Осигуряването на превъзходно потребителско изживяване е от съществено значение за всеки бизнес в областта на електронната търговия. За тези компании този празничен сезон залогът е много голям. Според Digital Commerce 360 почти 1,00 от всеки 4,00 долара, похарчени за покупки на дребно през празничния сезон през 2022г., ще бъдат похарчени онлайн, което ще доведе до 224 милиарда долара оборот от електронна търговия. За да сте сигурни, че вашият сайт за електронна търговия е готов за празничната треска, е жизненоважно да се уверите, че той е сигурен.
Въпреки че безопасността и сигурността са основни приоритети за предприятия от всякакъв мащаб, те са от съществено значение за тези, които работят в областта на електронната търговия. За да осигурят преживяването, което клиентите желаят, много уебсайтове вграждат решения на трети страни на всеки етап от движението на клиента. Всъщност за някои предприятия за електронна търговия техният набор от приставки на трети страни е начинът, по който създават и поддържат конкурентно предимство.
Въпреки това много сайтове за електронна търговия са изначално несигурни и уязвими на атаки поради зависимостта им от ненадеждни решения на трети страни. Вследствие на това сигурността от страна на клиента е слабо място за много сайтове за електронна търговия, което позволява инциденти със сигурността да се случват директно в браузъра, без клиентът да разбере това.
Нападателите могат да се възползват от уязвимостите в сигурността от страната на клиента чрез e-skimming, formjacking или cross-site scripting. Тези атаки могат да компрометират данни на клиентите, като например номера на кредитни карти, лична информация и данни за вход. Понякога те могат да доведат и до финансови загуби за предприятието за електронна търговия и до потенциални нарушения на нормативната уредба.
Когато атаката включва електронно скимиране, киберпрестъпниците вкарват код за скимиране на данни от страница, която обработва данни за кредитна карта на клиента. Тъй като тази атака се извършва от страната на клиента, предприятията за електронна търговия не могат да наблюдават атаката от първа ръка и да реагират бързо.
Много сайтове за електронна търговия разчитат в голяма степен на формуляри за събиране на данни за клиентите. Formjacking вмъква нападателя между двете страни, като му позволява да получи достъп и да запише всички данни, които клиентът споделя чрез компрометиран формуляр.
Cross-site scripting (скриптиране между сайтове) вгражда злонамерен код от страната на клиента. Кодът се стартира, когато клиентът посети сайта, като позволява на нападателя да събира лични, финансови и сесийни данни.
Разпространението на несигурни приложения от трети страни и невъзможността да се наблюдава атака, извършена чрез клиентската страна, предоставя на нападателите примамливи цели за използване. Фактът, че нападателите използват слабостите в сигурността на приставките на трети страни, а не на самия сайт за електронна търговия, означава малко, ако изобщо нещо означава, за лицето, което е станало жертва. Тъй като атаката е осъществена чрез уебсайта, за повечето клиенти отговорността за осигуряване на взаимодействието е на собственика на сайта.
За да подобрят сигурността от страната на клиента, компаниите за електронна търговия трябва да сведат до минимум зависимостта си от кода на трети страни, без това да се отрази на потребителското изживяване. Внедряването на добре познати решения на трети страни с ангажимент за сигурност също може да помогне. И както при всеки вид софтуер, приставките и приложенията трябва да получават ъпдейти веднага щом станат достъпни.
Освен това симулирането на кибератаки, насочени към уебсайта на компанията за електронна търговия, може да разкрие потенциални вектори на атака, преди престъпниците да могат да ги използват. Внедряването на допълнителни нива на удостоверяване на автентичността на клиентите може да добави критични нива на сигурност и да затрудни компрометирането на сесията от нападателя.
Софтуерът и приложенията за сигурност също могат да укрепят защитата и да затруднят нападателите да използват уязвимостите от страната на клиента в своя полза. Тези решения могат да откриват пропуски в сигурността и бързо да внедряват мерки за сигурност, за да намалят уязвимостите. Те могат също така бързо да откриват атаки и да намалят излагането на компанията на рискове за сигурността от страна на клиента.
Когато съществуват пропуски в сигурността, опитните престъпници в крайна сметка ще ги открият и използват в избран от тях ден и час. Огромният скок в трафика на електронната търговия по време на празничния сезон предоставя на нападателите идеалното прикритие да използват тези пропуски в сигурността от страна на клиента, за да откраднат безнаказано лични и финансови данни.
Клиентите очакват от сайтовете за електронна търговия да защитават техните лични и финансови данни. Сигурността от страна на клиента е от решаващо значение за изпълнението на този ангажимент. Приставките и приложенията на трети страни са в основата на безброй сайтове за електронна търговия. Като се има предвид тяхното разпространение, е лесно да се пренебрегнат присъщите им рискове. Атаките от страната на клиента се възползват от недостатъците и уязвимостите, но за потребителя отговорността за сигурността се носи от самия сайт за електронна търговия.
Въпреки това, когато атаките от страна на клиента се извършват чрез приложения на трети страни, онлайн търговците често не знаят за техните недостатъци и не могат да видят кога нападателите ги използват в своя полза. За много предприятия за електронна търговия, тъй като уязвимостите са извън прякото им полезрение, те не получават вниманието, което заслужават.
Нападателите не са толкова късогледи. Когато съществуват пропуски и уязвимости в сигурността, често е само въпрос на време те да бъдат използвани. Компаниите за електронна търговия трябва да предприемат проактивни стъпки, за да разберат и намалят рисковете, свързани с уязвимостите в сигурността от страна на клиента. В противен случай нападателите ще продължат да се възползват от тях, което ще доведе до загуба на доверието и увереността на клиентите и до потенциални финансови загуби и увеличаване на регулаторния надзор.
За да научите как изглежда вашият рисков профил от страната на клиента и как можете да намалите тези рискове, посетете www.feroot.com
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.