Stan bezpieczeństwa płatności w handlu elektronicznym

Wysłany 2 lat temu by Roba Binnsa

Kiedy wybuchła pandemia, e-commerce eksplodowało.

Ponieważ ludzie są zamknięci i mają niewiele do zrobienia, kupowanie online wydawało się jedyną ucieczką. Globalny rynek e-commerce podskoczył do 26.7 biliona dolarów. Zmieniały się także nawyki klientów. W jednym badaniu 60% respondentów zgodził się z tym COVID-19 zmienili swój stosunek do technologii.

Ale nie tylko sprzedaż rosła. I nie dotyczyło to tylko firm z branży e-commerce zajęty – ale także jego oszuści.

W ciągu zaledwie jednego roku (w latach 2020-2021), oszustwa e-commerce wzrosły o 18%: od 17.5 miliarda do 20 miliardów dolarów. Jedno spojrzenie na podobnie rozwijające się rynek zapobiegania oszustwom w handlu elektronicznym-oczekiwany osiągnąć aż 70 miliardów dolarów 2025 – i jasne jest, że popularność tego rodzaju „pracy” rośnie.

Konkluzja? Oszustwa e-commerce to coś, na co nie można przymykać oczu. W końcu to nie tylko zagrożenie dla Twoich zysków, ale także wizerunku Twojej marki. Jeśli klienci nie czują, że mogą bezpiecznie płacić za pośrednictwem Twojej witryny, nie będą Ci ufać. Gdy stracisz zaufanie konsumentów, bardzo trudno jest je odzyskać.

Poniżej rozpakujemy stan bezpieczeństwa płatności, zaczynając od najpopularniejszych rodzajów oszustw w handlu elektronicznym. Zaoferujemy także praktyczne porady dotyczące ochrony Twoich klientów, Twojej witryny internetowej, i – ostatecznie – Twoje dolna linia. Czytaj dalej!

Najczęstsze rodzaje oszustw e-commerce

Świat e-commerce rozwija się i ewoluuje, podobnie jak jego złoczyńcy. Tak więc w ciągu ostatnich kilku lat nie chodzi tylko o numer oszukańczych transakcje – i ogólną wartość skradzionego towaru towary – to wzrosło. To jest rodzaj oszustw e-commerce.

Od pharmingu i przejęć kont po „przyjazne” i „ciche” oszustwa (nie wspominając już o oszustwach). prosto do góry kradzież tożsamości), metody oszustów stają się coraz bardziej dynamiczne i różnorodne. Rzućmy okiem na kilka.

Pharming

Pharming to rodzaj oszustwa w handlu elektronicznym, podczas którego oszuści przekierowują użytkowników Internetu (bez ich wiedzy i zgody) na fałszywą witrynę internetową. Ta strona internetowa może wyglądać i działać tak, jak ta, do której chciał dotrzeć klient, ale z kluczem różnica – jest całkowicie fałszywe.

Zaprojektowany wyłącznie w celu symulacji oryginalnej witryny internetowej, jej fałszywy odpowiednik istnieje z jednego powodu tylko – do nakłonić użytkownika do podania swoich danych osobowych i danych karty kredytowej. Oszuści mogą następnie wykorzystać te informacje do kradzieży pieniędzy danej osoby lub gorzej – ich tożsamość.

Oszustwo związane z obciążeniem zwrotnym

Znane również jako „przyjazne oszustwo”, oszustwo związane z obciążeniem zwrotnym ma miejsce, gdy klient nieuczciwie próbuje ubiegać się o zwrot pieniędzy, nadużywając systemu obciążeń zwrotnych.

Obciążenie zwrotne to krok wprowadzony przez banki już w latach 70. XX wieku w celu zwiększenia zaufania publicznego do karty kredytowej (która na tamtym etapie była nowomodny rzecz). Umożliwia konsumentom zakwestionowanie płatności kartą, a po rozpatrzeniu ich sprawy przez bank, ubieganie się o zwrot pieniędzy.

Załóżmy, że jedziesz na Santoryn na wakacje, a Twoja karta została skradziona na lotnisku. Zanim dotrzesz do Grecji, zdajesz sobie sprawę, że złodziej zarobił 700 dolarów na nieuczciwych zakupach za pomocą Twojej karty. W takiej sytuacji możesz (dość legalnie) zażądać obciążenia zwrotnego.

Problem? Kiedy to nie jest uzasadnione. Czy to złośliwie, czy „niewinnie” (klienci zapominają o transakcji na swoim wyciągu lub o powtarzającym się cyklu rozliczeniowym), oszuści mogą skorzystać z procesu obciążenia zwrotnego, aby odzyskać pieniądze za całkowicie ważne zakupy.

Najgorsza część? Że jeśli bank podtrzyma żądanie obciążenia zwrotnego, zażąda on od Ciebie zwrotu pieniędzy (wraz z dodatkową opłatą za swoje kłopoty!). Dodaj to do zapasów, które już straciłeś na rzecz oszusta, a obciążenia zwrotne oferują: aż nazbyt realne zagrożenie.

Kradzież tożsamości

Ze względu na popularne filmy poruszające ten temat (utalentowany pan Ripley, ktoś?) kradzież tożsamości jest jednym z częściej spotykanych znane rodzaje oszustw w handlu elektronicznym. Ale to nie czyni go mniej niebezpiecznym.

W tym przypadku oszust fałszywie przyjmuje tożsamość innej osoby: używając jej nazwiska, danych osobowych i dokumentów do otwierania kart kredytowych, a następnie udaje się na główną ulicę.

Dlaczego poza wpływem na ofiarę jest to zła wiadomość dla Twojego biznesu internetowego? W końcu nadal sprzedajesz… prawda?

Zło. Wróćmy na chwilę do naszego przykładu z Santorini powyżej. Już wkrótce osoba, której tożsamość została skradziona, dowie się o litanii oszukańczych zakupów dokonanych pod jej nazwiskiem A ty zgadłem to – podnieś obciążenie zwrotne. Jeśli bank podtrzyma to żądanie, będzie domagał się pieniędzy z powrotem-od ty.

Makijaż 71% wszystkich ataków, kradzież tożsamości jest zdecydowanie najczęstszym rodzajem oszustwa w handlu elektronicznym. Co więcej, oszuści stają się coraz bardziej wyrafinowani, wykorzystując teraz urządzenia osobiste, adresy IP i konta użytkowników celów, aby przejąć ich tożsamość, co sprawia, że są zagrożeniem, na które należy uważać.

Przejęcia konta

Na tym czy innym etapie zakupów online wszyscy nasi klienci to zrobili. Zaznaczyłem pole „Zapisz dane mojej karty kredytowej”. Zaoszczędzi im to minutę, gdy następnym razem wrócą do zakupu, więc jest to a bez zastanowienia, dobrze?

Prawidłowy. Jeśli tak nie jest, oszust może je zdobyć lepkich palców łapie dane logowania tego klienta. Jeśli tak się stanie, złodziej będzie miał łatwy dostęp do szczegółów płatności. Oznacza to, że wystarczy zmienić adres wysyłki i rozpocząć zakupy.

A kiedy to zrobią? Oczekuj obciążeń zwrotnych od prawdziwego klienta, pozostawiając firmę z dala od kieszeni.

Złośliwe oprogramowanie i oprogramowanie ransomware

Czy Twój komputer ciągle się zawiesza? Czy wszędzie pojawiają się reklamy? Czy linki prowadzą do niewłaściwego miejsca docelowego, czy na pulpicie iw przeglądarce pojawiają się nowe ikony?

Jeśli tak, być może przypadkowo zainstalowałeś na swoim urządzeniu złośliwe oprogramowanie (mal = złe, ware = oprogramowanie… to złe oprogramowanie). Nawet sam termin „złośliwe oprogramowanie” obejmuje szereg różnych typów złośliwego kodu, z których każdy jest bardziej nikczemny od poprzedniego. Należą do nich oprogramowanie szpiegowskie, „konie trojańskie” i kod ransomware blokuje to dostęp do systemu do czasu, aż zapłacisz hakerowi „okup” za powrót do systemu.

Problem dla właścicieli sklepów e-commerce polega na tym, że złośliwe oprogramowanie, czy to w Twoim systemie, czy w systemie Twoich klientów lub administratorów, może wykraść poufne dane. Obejmuje to nazwiska i dane adresowe Twoich klientów, a także informacje o ich płatnościach. Jeśli którakolwiek z nich zostanie naruszona, stracisz nie tylko zyski lub dane, ale także Twoją wiarygodność.

Co więcej, ataki złośliwego oprogramowania torują drogę powstającej formie oszustwa w handlu elektronicznym zwanej „cichym” oszustwem. Po użyciu złośliwego oprogramowania w celu nielegalnego uzyskania dostępu do wielu kont oszuści, zamiast wyłudzać tysiące, setki, dziesiątki, a nawet jedne, przeciągają tylko kilka centów. Kradzieże te, dokonywane na dużą skalę i regularnie, mogą łącznie spowodować ogromne ilości skradzionych środków. W końcu nie tak „cichy”!

Sposoby ochrony klientów

Wiedza o głównych rodzajach oszustw w handlu elektronicznym to jedno. Ale możliwość skutecznego izolowania siebie i swoich klientów przed złymi skutkami oszustwa to coś zupełnie innego.

Poniżej podsumowaliśmy nasze najważniejsze wskazówki, które pomogą Tobie, Twojej bazie klientów i Twojej firmie pozostać poza pożądliwymi szponami oszustów.

Chroń informacje o kliencie

Pierwszy sposób, w jaki możesz chronić swoich klientów? Ochrona ich najważniejszych szczegółów. Oto jak:

Zapory

Filtrując i monitorując ruch przychodzący (i wychodzący), zapory sieciowe pomagają utrzymać bezpieczeństwo Twojej witryny, działając w zasadzie jako dosłowna ściana między Twoją siecią a dzikim, dzikim Zachodem Internetu.

Dzięki temu obiektywowi zapory ogniowe są niezbędne nie tylko do zabezpieczania systemów danych, ale także do zachowania zgodności z PCI. PCI DSS (Payments Card Industry Data Security Standards) to zestaw przepisów, których muszą przestrzegać wszystkie firmy akceptujące karty kredytowe i debetowe. Zgodność z PCI to swego rodzaju „pieczęć aprobaty”, która pokazuje Twoim klientom, organom regulacyjnym i szerszemu rynkowi, że możesz zaufać w zakresie obsługi poufnych danych.

Jeśli sprzedajesz online z Ecwid przez LightspeedTwój sklep jest już zgodny ze standardem PCI DSS. Ecwid by Lightspeed jest dostawcą usług poziomu 1 zatwierdzonym przez PCI DSS. To najwyższy międzynarodowy standard bezpiecznej wymiany danych dla sklepów internetowych i systemów płatności.

umożliwiać Dwuskładnikowy Uwierzytelnianie (2FA)

Upewnij się, że wdrożono 2FA, aby każdy, kto próbuje uzyskać dostęp do platform i procesów zaplecza Twojej firmy, będzie musiał zalogować się na dwóch urządzeniach. Jeśli Ty lub jeden z członków Twojego zespołu logujecie się na przykład z komputera stacjonarnego, aby uzyskać dostęp, musicie również potwierdzić próbę na innym urządzeniu, takim jak telefon.

Inne odmiany obejmują:

Dwustopniowy odmiana (2SV): polega na otrzymaniu jeden raz kod lub hasło przesłane e-mailem, wiadomością lub telefonicznie, które należy wprowadzić, aby się zalogować.
Wieloczynnikowy uwierzytelnianie: połączenie wielu form uwierzytelniania w celu zapewnienia jednego z najwyższych poziomów bezpieczeństwa.

Właściciele firm sprzedający online za pomocą Ecwid by Lightspeed mogą używać swoich kont Google lub Facebook, aby zalogować się do swojego sklepu Ecwid. umożliwiać dwuskładnikowy Uwierzytelnianie dla Twojego konta Google lub Facebook, a tym samym chronić Twoje dane logowania do Ecwid.

Jeśli chcesz dodać do swojego sklepu Ecwid innych członków zespołu (np. personel realizujący zamówienia lub projektanta), nigdy nie udostępniaj im swojego loginu Ecwid. Zamiast, utworzyć oddzielne konta pracowników dla każdego użytkownika w Twoim sklepie. Konta pracowników mają osobne loginy i nie mają dostępu do Twojego profilu ani stron rozliczeniowych.

Użyj bezpiecznej bramki płatności

Jeśli chcesz zapewnić swoim klientom najwyższy możliwy spokój podczas płatności, bezpieczna bramka płatnicza jest koniecznością.

Bramka płatnicza to platforma technologiczna używana przez sprzedawców do akceptowania zakupów za pomocą kart kredytowych i debetowych: obu osobiście i online. Jednak nie wszystkie bramki płatnicze są sobie równe, szczególnie jeśli chodzi o opłaty i czas wypłaty. Dlatego pamiętaj, aby wybrać odpowiednią opcję dostosowaną do unikalnych potrzeb Twojej firmy.

Ecwid firmy Lightspeed jest zintegrowany z dziesiątkami bezpieczne bramki płatnicze. Możesz wybrać system płatności wygodny zarówno dla Twojej firmy, jak i Twoich klientów.

Jeszcze: Jak wybrać system płatności dla swojego sklepu e-commerce?

Udostępniaj porady i informacje swoim klientom

Jeden z najłatwiejszych sposobów ochrony klientów? Informowanie ich.

Niezależnie od tego, czy wysyłasz e-maile, SMS-y, czy dedykowane sekcje na swojej stronie, poinformuj klientów o istniejących oszustwach i sposobach ich ochrony. (I pomóż im je przed tym chronić!)

Pamiętaj, aby wyraźnie rozmieścić:

Jak Twoja firma wita swoich klientów (aby mogli dostrzec rozbieżności)
Jak Twoja firma nie wita swoich klientów i czego nie prosi (tj. ich dane logowania lub kliknięcie linku, aby się zalogować)
Jasne, praktyczne wskazówki dla klientów, jak dbać o bezpieczeństwo danych konta (jeśli Twoja firma prowadzi konta klientów)
Jak się skontaktować, jeśli coś nie wygląda dobrze lub jeśli klient ma pytania
Jakie kontrole bezpieczeństwa wprowadzasz, jeśli w ogóle?
Jak klient może bezpiecznie aktualizować swoje dane
Co zrobić, jeśli otrzyma fałszywy e-mail (tj. oszust udający Twoją firmę) i jak zgłosić oszukańczą komunikację

Nie trzeba dodawać, że tego rodzaju komunikaty są niezbędne. Nie tylko wzbudzają zaufanie i zapewniają doskonałe wrażenia użytkownika, ale także pomagają zmniejszyć ryzyko, że Twoi klienci padną ofiarą oszustw e-commerce.

Pamiętaj też, aby te informacje były jak najbardziej dostępne. Twoi klienci mogą nie czytać swoich e-maili lub nie czytać dokładnie Twojej witryny. Im więcej kanałów możesz opublikować na tych poradach, tym lepiej!

Aktualizuj swoją witrynę i przeprowadzaj regularne audyty bezpieczeństwa

Wcześniej porównywaliśmy szerszy Internet jako rodzaj „Dzikiego Zachodu”: stan pogranicza, w którym obfitują bandyci i bezprawie.

Teraz, choć może to być trochę trudne, istnieje wiele zagrożeń i niezliczonych metod, za pomocą których phisherzy, hakerzy i oszuści mogą wykoleić Twój biznes:

Ataki DoS (Denial of Service): haker próbuje uniemożliwić użytkownikom dostęp do usług Twojej witryny.
Ataki DDoS (Distributed Denial of Service): sprawca nie atakuje Cię bezpośrednio, ale zamiast tego wykorzystuje Twoją witrynę jako „zombie”, za pomocą którego może zaszkodzić innej witrynie. W ataku DDoS Twoje serwery są zalewane żądaniami z wielu niemożliwych do wyśledzenia adresów IP, które powodują awarię witryny oraz zatrzymują ruch i sprzedaż.
Ataki typu brute force: tutaj hakerzy atakują Twoją witrynę z tysiącami różnych kombinacji haseł, próbując uzyskać dostęp.
Ataki typu „man in the middle” (MITM): jeśli klient uzyskuje dostęp do Twojej witryny za pośrednictwem wrażliwej sieci (tj. publicznego Wi-Fi), hakerzy mogą „podsłuchiwać” transakcję i wykorzystać ją do wydobycia poufnych danych.
Zastrzyki SQL i między witrynami skrypty: ataki te wykorzystują luki w zabezpieczeniach Twojej witryny. Podczas wstrzykiwania SQL hakerzy atakują Twoje formularze, aby uzyskać dostęp do zaplecza Twojej witryny, uszkodzić je i ukraść. W między witrynami skryptów, hakerzy wstawiają złośliwe fragmenty kodu, które kradną informacje o odwiedzających.

Fakt, że istnieją wszystkie te sposoby ataku? To zła wiadomość. Dobrą wiadomością jest jednak to, że ci hakerzy są oportunistami. Szukają luk w zabezpieczeniach Twojej witryny i zapobiegania oszustwom. Oznacza to, że aktualizując witrynę i regularnie identyfikując, rozumiejąc i eliminując jej luki w zabezpieczeniach, możesz zmniejszyć ryzyko ataku hakerów na Twoją witrynę i firmę.

Aby to zrobić, przeprowadzaj regularne audyty bezpieczeństwa. Oceń infrastrukturę witryny pod kątem luk, badając backend i kod (w tym rozszerzenia i motywy) pod kątem wszystkiego, co mogą wykorzystać hakerzy. Zapewnić:

Twoje hasła są silne
Twoje oprogramowanie jest aktualne
Twoja witryna SSL Certyfikat (Secure Sockets Layer) jest aktualny

Mówiąc o certyfikatach SSL, jeśli stworzyłeś swoją witrynę e-commerce za pomocą Ecwid by Lightspeed, domyślnie masz już certyfikat SSL.

Jeśli dodałeś swój sklep Ecwid do istniejącej strony internetowej, masz już darmowy certyfikat SSL dla swojego sklepu. Reszta serwisu to jednak osobna sprawa. Aby chronić poufne informacje, musisz kupić certyfikat SSL. Dowiedz się, jak to zrobić w Centrum pomocy Ecwid.

Innym sposobem ochrony witryny internetowej jest zrewidowanie listy kont pracowników sklepu internetowego i usunięcie członków personelu, z którymi już nie pracujesz. W ten sposób uniemożliwisz hakerom wykorzystanie tych „wstecznych kanałów” w celu uzyskania dostępu do Twojej witryny.

Kluczowe momenty ochrony Twojej witryny

Skoro już wyjaśniliśmy, jakich oszustw należy szukać i jak chronić przed nimi witrynę, przyjrzyjmy się kiedy – o kluczowe momenty w roku, kiedy hakerzy są najbardziej aktywni.

Święta

„Federalne Biuro Śledcze (FBI) oraz Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) zaobserwowały wzrost liczby niezwykle skutecznych ataków ransomware mających miejsce w święta i dni wolne od pracy. weekendy – kiedy biura są normalnie zamknięte w Stanach Zjednoczonych najpóźniej w święto 2021 lipca w XNUMX r.”. - Świadomość ransomware na święta i weekendy, 2021.

Boże Narodzenie, Wielkanoc, Dzień Pamięci, Niepodległość Dzień jednak reszta z nas spędza czas z rodzinami i odpoczywa, hakerzy robią wszystko, tylko nie odpoczywają.

Zwiększone rozproszenie uwagi ze strony klienta lub end-user a mniejsza liczba personelu i zasobów po stronie firmy oznacza, że warunki sprzyjają hakerom.

W tym kontekście nie pozwól, aby Twoja firma została przyłapana. Nie czekaj do następnych wakacji, aby zapewnić sukces swojej witrynie, lub złap się, aby przeprowadzić audyt witryny zaledwie kilka dni przed długim weekendem Dnia Matki. Pamiętasz to stare chińskie przysłowie?

Najlepszy czas na sadzenie drzewa był 20 lat temu. Drugi najlepszy czas jest dzisiaj.

weekendy

Hakerzy zwykle atakują firmy, gdy są one najbardziej podatne na zagrożenia i kiedy są zamknięte.

Właśnie dlatego weekendy, szczególnie te długie, w które w grę wchodzą święta państwowe, są dobrą okazją dla hakerów. Nie oznacza to jednak, że powinieneś tracić czujność przez resztę tygodnia. Hakerzy atakują średnio oszałamiające 26,000 XNUMX razy dziennie, więc musisz zachować czujność.

Podsumowanie

Wraz z rozwojem możliwości e-commerce zmieniają się również jego zagrożenia.

Przy tak wielu statystykach siania paniki może być łatwo chcieć włożyć palce do uszu, przymknąć oko i przyjąć podejście „ignorancja to błogość”.

Ale ta mentalność nie bierze pod uwagę, że wraz z tymi zagrożeniami pojawiają się jeszcze bardziej ekscytujące możliwości.

Aby proces płatności był bezpieczniejszy, łatwiejszy, wygodniejszy i bardziej spójny niż kiedykolwiek wcześniej. Aby budować swoją markę, wzbudzać lojalność klientów i zwiększać zaufanie odbiorców, pokazując im, że cenisz ich prywatność i szanujesz wrażliwość ich danych. W ten sposób połóż podwaliny pod trwały, trwały sukces Twojego biznesu e-commerce.

O autorze

Rob Binns jest niezależnym copywriterem i redaktorem mieszkającym w Melbourne w Australii. Kiedy nie pisze treści na temat e-commerce i bezpieczeństwa cyfrowego, gra (lub ogląda!) piłkę nożną lub relaksuje się w słońcu z książką i zimnym piwem.