$
טיפים ומדריכים

חרדים לעסק שלכם? עשרת הטיפים לאבטחת העסק מפני מתקפות סייבר

אתרי הקמעונאות הפכו באחרונה ליעד מרכזי של האקרים ופריצות סייבר. החל מהשתלטות על חשבון, דרך הונאות בכרטיס אשראי ועד לגניבת פרטי הלקוחות. כך תגנו על העסק שלכם הונאות ונזקים

עידו ספרותי 15:3115.01.20

כפי שמקרי ביזה ואלימות ליוו את האנושות מצעדיה הראשונים, כך גם איומי סייבר היו כאן עוד מתקופת החיבור הקווי, הלכו והשתכללו תוך גרימת נזק כלכלי גדל והולך עם השנים, והעתיד נראה עוד יותר קודר. בעלי עסקים אונליין גדולים וקטנים כאחד, נדרשים להתמודד עם סוגים שונים של מתקפות סייבר מצד האקרים וגורמים עברייניים ברשת. המתקפות האלו באות לידי ביטוי במגוון צורות – מגניבת מידע אישי כמו פרטי כרטיסי אשראי, שמות משתמשים וסיסמאות או השתלטות על האתר למטרות פשיעה.

 

כל הכתבות, הטיפים והסרטים בערוץ "פורצים גבולות"

 

אתרי קמעונאות גדולים הפכו ליעד מרכזי של האקרים ושל פריצות סייבר. אלפי תקיפות סייבר מתרחשות בחודש על אתרי קניות מקוונים כמו אמזון, ASOS, איביי ועוד, כשהרבה פעמים, עסקים אלו לא מודעים לתקיפות עד לחשיפת הנזק באמצעי התקשורת, דבר הגורם לעוד יותר נזק. יתרה מכך, בתקופות עמוסות כמו חודש נובמבר, שהינו חודש הקניות הבינלאומי והמכירות אונליין בתקופה זו הן חלק גדול מההכנסה השנתית של אתרי מסחר, ההתמקדות של העסק צריכה להיות בשירות לקוחות, אסטרטגיות משלוח ותמחור ולא להילחם עם בוטים אוטומטיים.

 

אנו ממליצים לקמעונאים לזכור את עשרת הטיפים המובילים בנושא אבטחת הרשת כדי להבטיח חוויה חיובית עבור צרכניהם ובכדי להגן על העסק מנזקים והונאות:

 

השתלטות על חשבון (Account Takeover)

השתלטות על חשבון מתרחשת כאשר מישהו זוכה בגישה לא מורשית לחשבון מקוון. תוקפים מפעילים רשתות בוטים (botnet), של אלפי עד מיליוני מחשבים כדי לבדוק חשבונות וסיסמאות של משתמשים באלפי אתרים עם אחוזי הצלחה יחסית גבוהים בהשתלטות על חשבונות בדרך זו.

 

המחשבים שמשמשים את רשתות הבוטים יכולים להיות שרתים בתשלום, שרתים פרוצים באינטרנט, מחשבים אישיים שנפרצו, ואפילו מכשירים סלולריים והתקני IoT פרוצים. את התקיפות האלה מזינות דליפות מידע הולכות וגדלות בהן מיליוני רשומות ולפעמים יותר ממיליארד רשומות של שם משתמש וסיסמא דלפו. רשומות אלה ישמשו את התוקפים בניסיונות הפריצה, שכן רוב משתמשי האינטרנט עושים שימוש באותה סיסמא ברוב האתרים. גם אם החשבונות שאתה כאתר מנהל אינם נפגעים, קמעונאים המאפשרים כניסה חברתית - כמו פייסבוק וגוגל – גם הם נמצאים בסיכון כשחשבונות אלו נפרצים.

 

טיפ מספר 1: התמקדו בחריגות התנהגותיות ובמאפיינים כדי לחסום (Account Takeovers) ATO. מעקב אחר כמות ניסיונות login בכלל, וכישלונות של login בפרט, יכולה להציף בצורה ברורה אם אתם חווים התקפת ATO.

 

שימוש לרעה בחשבון

שימוש לרעה בחשבון מתרחש כאשר עושים שימוש בבוטים ליצירת חשבונות מזויפים בחנות המקוונת שלך. האקרים משתמשים בחשבונות אלה בהיקף גדול כדי לבצע הונאות שונות, למשל ניצול קופונים שניתנים ללקוח חדש/מוזמן, הונאת כרטיסי מתנה, הפצת spam בתגובות באתר או הפצת תוכנות זדוניות שעלולות להשפיע לרעה על המותג שלך.

 

טיפ מס 2: בדומה לטיפ הראשון – מעקב אחרי פעילות בדף ההרשמה לשירות יכול לתת התרעה מידית במקרה של עליה חדה בכמות החשבונות שנוצרים, או זיהוי דפוס חדש של משתמשים (שם שחוזר על עצמו, כתובות אימייל בפורמט מסוים). אלה יתנו אינידיקציה ברורה לכך שבוטים מייצרים חשבונות אוטומטיים באתר.  

האם העסק שלכם מאובטח מפני התקפות סייבר? האם העסק שלכם מאובטח מפני התקפות סייבר? צילום: Freepik

 

Carding - הונאה בכרטיסי אשראי

Carding היא הונאה שמתבצעת באתרי הקמעונאות באמצעות כרטיסי אשראי גנובים. בגלל המספר העצום של מאגרי נתונים שנפרצו במהלך השנים, נמצאים כיום באינטרנט מספר רב של נתוני כרטיסי אשראי שדלפו ונגנבו, הניתנים לרכישה בdark web. תוקפים אשר קנו נתונים אלו, משתמשים בבוטים זדוניים כדי לבדוק את נתוני כרטיסי אשראי על אתרי קמעונאות. כדי לאמת שהכרטיס אשראי אכן עובד, הם מבצעים רכישה בעלות נמוכה ורק אם היא מצליחה, הם מבצעים הזמנות גדולות יותר ומזמינים שירותים יקרים יותר.

 

טיפ מס 3: שימו לב לעליה בניסיונות כושלים של שימוש בכרטיס אשראי, וכן לעליה במספר רכישות קטנות מאוד. עליה בפעילויות אלה עשויות להעיד על הונאת כרטיסים שמתבצעת באתר שלך.

 

Carding – הונאה בכרטיסי מתנה

פן אחר של התקפות carding הוא הונאה של כרטיסי מתנה. התקפה זו צריכה להטריד את כל הקמעונאים, בעיקר בתקופות חגים או זמנים של רכישות גדולות. כרטיסי מתנה הם בעצם כסף שניתן לנצל באתר ספציפי או במספר גדול של אתרים, ומהווים מתנה מאוד פופולרית. להבדיל מכרטיס אשראי שמצריך ידיעה של פרטים אישיים של בעל הכרטיס (שם, כתובת, מספר ת״ז), כרטיס מתנה מעצם מהותו, לא מצריך שום פרטים נוספים. לפי כך, כרטיסי המתנה מהווים יעד אטרקטיבי לתוקפים שעושים שימוש בבוטים לצורך ניחוש שיטתי של מספר רב של מספרים אפשריים, וכאשר נמצא כרטיס תקין עם ערך כספי, מיד גונבים את השווי.

 

טיפ מס 4: יש לשים לב לפעילות בדף בירור היתרה של כרטיסי המתנה באתר, וכן לניסיונות שימוש בכרטיסי מתנה בתהליך הרכישה. כמות גבוהה של בירורי יתרה ושל ניסיונות שימוש בכרטיסי מתנה לא קיימים הם אינדיקציה להונאת כרטיסי מתנה. דבר נוסף שמהווה סימן הוא אחוז ההצלחה בשימוש בכרטיס מתנה (בין אם לבירור יתרה ובין אם לתשלום). במצב תקין אנו מצפים לרמת טעויות נמוכה ואחוזי הצלחה גבוהים. תוקפים מן הסתם יגרמו לאחוזי הצלחה נמוכים מאוד (שכן הם מנחשים מספרים).

 

Scraping

תוכן עשיר ומעניין הוא מאוד משמעותי בניסיון לגרום ללקוח להיכנס לאתר שלכם; עם זאת, ישנם תוקפים הנקראים SCRAPERS שגונבים את התוכן מהאתר - כולל תמחור, מעמיסים על תשתית האינטרנט שלכם ואף מפחיתים את דירוג ה- SEO שלכם. גניבת מחירים, מידע על מוצרים וביקורות עליהם הם שלושת הדברים שאתר קמעונאי צריך להיזהר מהם.

 

טיפ מס 5: הגן על התמחור והקטלוגים שלך בזמן אמת באמצעות פתרונות שמבדילים בזמן אמת בין בוטים זדוניים לבין מנועי חיפוש ובוטים לגיטימיים. בנוסף – במקום לחסום בוטים שמופעלים על ידי מתחרים, אפשר לתת להם מידע לא מדויק, למשל, לתת מחיר שוק ולא להציג הנחות וכך למנוע מהם לדעת מה המחיר האמיתי שאתם מציגים.  

עידו ספרותי, מייסד ו-CTO ב-PerimeterX עידו ספרותי, מייסד ו-CTO ב-PerimeterX צילום: PERIMETERX

 

Magecart

כ-70% מהקוד באתרי האינטרנט המובילים מגיע מספק צד שלישי. לאחרונה, תוקפים ניצלו פגיעות באתרי מסחר אלקטרוני כדי להוסיף קוד JavaScript זדוני שיפעל כ-KEYLOGGER על אלפי אתרים. משמע, כאשר הקונים מזינים את כרטיסי האשראי שלהם ומידע אישי אחר באתרי המסחר האלקטרוני שנפרץ, הסקריפט אוסף את פרטי התשלום שלהם ושולח אותם אוטומטית לתוקפים.

 

טיפ מס 6: כדי להימנע מהתקפות של Magecart, חשוב לאמץ פתרונות שמנטרים באופן שיטתי כל שינוי שקורה בקוד באתר שלכם וספציפית בקוד מספק צד שלישי שלכם. בנוסף, חשוב לוודא שהספקים שאיתם אתם עובדים מקפידים על תהליכי בקרה ותקני אבטחה כמו SOC2.

 

Formjacking

Formjacking היא המקבילה הדיגיטלית של גניבת פרטי כרטיסי אשראי בתחנת דלק. בהתקפת FORMJACKING על אתר התוקף יוסיף קוד לאתר שיאסוף את נתוני כרטיס האשראי של הלקוח ופרטים נוספים בזמן שהלקוח עושה את הצ'ק אאוט, ומבלי לפגוע בתהליך הרכישה.

 

טיפ מס 7: מומלץ להכניס תהליך של בקרה על קוד צד שלישי באתר באופן כללי, וספציפית בדפים הרגישים יותר באתר כמו הצ׳ק אאוט, לוגין והרשמה. בנוסף מומלץ להשתמש בפתרונות המנטרים בזמן-אמת שינויים בדפי הצ'ק אאוט וטפסי מילוי פרטי-משתמש, וכן מנטרים שליחת מידע ליעדים חדשים או לא מוכרים.

 

Harvesting PII

במקרה זה, התוקפים עושים מניפולציות על דף הצ'ק אאוט שלכם בכדי לגרום למשתמש להזין מידע אישי כמו מספר תעודת זהות, כתובת ומספר טלפון. נתונים אלה מועברים למאגרי מידע משניים שניתנים לשימוש על ידי התוקף לשימוש בתקיפות עתידיות.

 

טיפ מספר 8: עקוב אחר שינויים שנעשים בדפי הצ'ק אאוט ובטפסי פרטי המשתמש כדי שתוכל לנקוט בפעולה במהירות. שים לב לתלונות המגיעות מלקוחות לגבי פרטים שהם מתבקשים למלא, האם נוספו שדות שלא היו קודם?

 

Clickjacking

Clickjacking היא הונאה שגורמת למשתמש, בדרך כלל ללא ידיעתו, ללחוץ על אלמנט כלשהו בעמוד (חלונית או כפתור) שיוביל אותו לאתר אחר, בדרך כלל זדוני. זה יכול להגיע ממודעה סתמית, מדפדפן נגוע, או בתקיפות מתוחכמות יותר, התוקף מוסיף אלמנט ״שקוף״ שיכסה כפתור אמיתי או אלמנט אחר באתר, וכך ישטו במשתמש ויגרמו להם ללחוץ על האלמנט בזמן שהם חושבים שהם לוחצים על אלמנט לגיטימי בעמוד. מפעילי האתר לא יודעים שזה קורה למשתמשים שלהם וישימו לכך לב רק כשיראו נתונים המצביעים על כך כמו שיעורי נטישה גבוהים של עגלת קניות.

 

טיפ מספר 9: משתמשים צריכים להיזהר ולשים לב על אילו קישורים הם לוחצים בעת הגלישה באינטרנט בעוד שקמעונאים צריכים לנטר את פעילות המשתמשים באתר כדי לאתר בזמן אמת שינוי בהתנהגות משתמשים כמו עליה בשיעורי נטישה.

 

תוספי דפדפן (Extensions)

בעוד שתוספים רבים מועילים למשתמש ומקלים על פעולות שונות, הם מהווים גם מקור נפוץ להפצה של תוכנות זדוניות. לא מעט תוספים משווקים כתוכנה לגיטימית, אבל בנוסף לפעילות המוצהרת של התוסף, הם יבצעו פעולות נוספות – החל מהזרקה של פרסומות לא רצויות למשתמש ועד גניבת מידע. כשמסתובבים באינטרנט נתקלים בהצעות לקבלת קופונים או תוכנות אנטי-וירוס. משתמשים פחות מנוסים יכולים להתקשות להבחין בין הצעות לתוספים בטוחים לבין הונאות ושידול להתקנת תוספים זדוניים.

 

טיפ מס 10: משתמשים יכולים לראות את רשימת כל התוספים המותקנים על ידי מעקב אחרי המדריך הזה עבוד CHROME, ובאופן דומה עבור דפדפנים אחרים. אם המשתמש לא יודע למה מיועד התוסף, מומלץ להסיר אותו, גם עבוד תוספים שנראים מוכרים או רצויים מומלץ לבדוק דירוג של התוסף ומספר הורדות/משתמשים שכן הרבה מהתוספים הזדוניים מתחזים לתוספים לגיטימיים.

 

* הכותב הוא ממייסדי PerimeterX ומנהל הטכנולוגיות הראשי בחברה

 

 

x