Ang Estado ng Seguridad sa Pagbabayad ng Ecommerce

Nai-post 2 taon na ang nakakaraan by Rob Binns

Nang tumama ang pandemya, sumabog ang ecommerce.

Sa mga taong naka-lock at walang gaanong gagawin, ang pagbili online ay tila ang tanging pagtakas. Ang pandaigdigang merkado ng ecommerce ay tumalon sa $26.7 trilyon. Ang mga gawi ng customer, masyadong, ay nagbabago. Sa isang survey, 60% ng mga sumasagot pumayag na Covid-19 ay nagbago ng kanilang relasyon sa teknolohiya.

Ngunit hindi lamang ang mga benta ang tumaas. At hindi lang ang mga negosyo ng industriya ng ecommerce abala—pero mga manloloko din nito.

Sa loob lamang ng isang taon (sa pagitan ng 2020 at 2021), tumaas ng 18% ang pandaraya sa ecommerce: mula $17.5 bilyon hanggang $20 bilyon. Isang pagtingin sa katulad na umuusbong market ng pag-iwas sa panloloko ng ecommerce-inaasahan upang maabot ang napakalaking $70 bilyon sa pamamagitan ng 2025–at malinaw na ang linyang ito ng "trabaho" ay tumataas lamang sa katanyagan.

Ang ilalim na linya? Ang pandaraya sa ecommerce ay isang bagay na hindi mo kayang pumikit. Pagkatapos ng lahat, ito ay hindi lamang isang banta sa iyong mga kita ngunit ang iyong brand image. Kung pakiramdam ng mga customer ay hindi sila makakapagbayad nang ligtas sa pamamagitan ng iyong website, hindi ka nila pagtitiwalaan. Kapag nawalan ka ng kumpiyansa ng consumer, napakahirap na manalo muli.

Sa ibaba, aalisin namin ang estado ng seguridad sa pagbabayad, simula sa mga pinakakaraniwang uri ng panloloko sa ecommerce. Mag-aalok din kami ng naaaksyunan na payo para sa pagprotekta sa iyong mga customer, sa iyong website, at–sa huli–iyo ilalim na linya. Basahin mo pa!

Karamihan sa Mga Karaniwang Uri ng Panloloko sa Ecommerce

Habang lumalawak at umuunlad ang mundo ng ecommerce, gayundin ang mga kontrabida nito. Kaya sa nakalipas na ilang taon, hindi lang ang numero ng mapanlinlang mga transaksyon–at ang kabuuang halaga ng ninakaw paninda–iyan ay bumangon. Ito ay ang uri ng pandaraya sa ecommerce, masyadong.

Mula sa pharming at pagkuha ng account hanggang sa "friendly" at "silent" na panloloko (hindi banggitin tuwid-up pagnanakaw ng pagkakakilanlan), ang mga pamamaraan ng mga manloloko ay nagiging dynamic at magkakaibang. Tingnan natin ang ilan.

Pharming

Ang Pharming ay isang uri ng panloloko sa ecommerce kung saan nire-redirect ng mga manloloko ang mga user ng web (nang walang kanilang kaalaman o pahintulot) sa isang mapanlinlang na website. Ang website na ito ay maaaring magmukhang at maramdaman ang isang nilayon ng customer na maabot, ngunit may isang susi pagkakaiba-ito ay ganap na peke.

Idinisenyo lamang upang gayahin ang orihinal na website, ang pekeng katapat nito ay umiiral sa isang dahilan lamang–sa linlangin ang user sa pagpasok ng kanilang personal na impormasyon at mga detalye ng credit card. Magagamit ng mga manloloko ang impormasyong ito para nakawin ang pera ng indibidwal, o mas masahol pa–sa kanila pagkakakilanlan.

Panloloko sa Chargeback

Kilala rin bilang "friendly na panloloko," ang chargeback fraud ay kapag ang isang customer ay mapanlinlang na nagtangka na mag-claim ng refund sa pamamagitan ng pag-abuso sa chargeback system.

Ang chargeback ay isang hakbang na ipinakilala ng mga bangko noong dekada '70 upang palakasin ang kumpiyansa ng publiko sa credit card (na, sa yugtong iyon, ay isang baguhan bagay). Nagbibigay-daan ito sa mga mamimili na i-dispute ang isang pagbabayad sa card, at pagkatapos pumanig ang bangko sa kanilang kaso, mag-claim ng refund.

Sabihin nating pupunta ka sa Santorini para sa isang holiday, at ninakaw ang iyong card sa airport. Sa oras na makarating ka sa Greece, napagtanto mo na ang magnanakaw ay gumawa ng $700 sa mga mapanlinlang na pagbili sa iyong card. Sa sitwasyong ito, maaari kang (medyo lehitimong) humiling ng chargeback.

Ang problema? Kapag hindi lehitimo. Malisyoso man o "walang kasalanan" (nalilimutan ng mga customer ang tungkol sa isang transaksyon sa kanilang statement o isang umuulit na yugto ng pagsingil), maaaring samantalahin ng mga manloloko ang proseso ng chargeback upang mag-claim ng pera pabalik sa mga ganap na wastong pagbili.

Ang pinakamasamang bahagi? Na, kapag ang isang chargeback claim ay pinanindigan ng bangko, ang bangko ay kinukuha ang pera (kasama ang isang bayad sa itaas, para sa kanilang mga problema!) mula sa iyo. Idagdag iyon sa stock na nawala mo sa manloloko, at ang mga chargeback ay nag-aalok ng masyadong-totoo pananakot

Pagnanakaw ng Pagkakakilanlan

Dahil sa mga sikat na pelikulang tumatalakay sa paksa (The Talented Mr. Ripley, kahit sino?), ang pagnanakaw ng pagkakakilanlan ay isa sa higit na mga kilalang mga uri ng pandaraya sa ecommerce. Ngunit hindi ito ginagawang mas mapanganib.

Dito, maling inaako ng isang manloloko ang pagkakakilanlan ng ibang tao: gamit ang kanilang pangalan, personal na impormasyon, at mga dokumento upang magbukas ng mga credit card, pagkatapos ay tumama sa mataas na kalye.

Higit pa sa epekto sa biktima, bakit ito masamang balita para sa iyong online na negosyo? Pagkatapos ng lahat, nagbebenta ka pa rin ... tama?

mali. Mag-isip muli, saglit, sa aming halimbawa sa Santorini sa itaas. Sa lalong madaling panahon, malalaman ng taong ninakaw ang pagkakakilanlan tungkol sa litanya ng mga mapanlinlang na pagbili na ginawa sa ilalim ng kanilang pangalan at—ikaw hulaan ito–itaas isang chargeback. Kapag pinagtibay ito ng bangko, kukunin nila ang pera pabalik–mula iyo.

Nag-iimbento 71% ng lahat ng pag-atake, ang pagnanakaw ng pagkakakilanlan ay ang pinakakaraniwang uri ng panloloko sa ecommerce. Dagdag pa rito, nagiging mas sopistikado din ang mga manloloko, na ngayon ay gumagamit ng mga personal na device, IP address, at user account ng mga target para ipagpalagay ang kanilang mga pagkakakilanlan, na ginagawang banta silang maging alerto.

Mga Pagkuha ng Account

Sa ilang yugto o iba pa habang namimili online, nagawa na ito ng lahat ng aming mga customer. Lagyan ng tsek ang kahon na nagsasabing "I-save ang Mga Detalye ng Aking Credit Card." Makakatipid ito ng ilang minuto sa susunod na babalik sila para bumili, kaya a walang utak, right?

Tama. Maliban kung iyon ay, makukuha ng isang manloloko ang kanilang malagkit ang daliri paws sa mga detalye ng pag-login ng customer na iyon. Kung mangyari iyon, madaling ma-access ng magnanakaw ang kanilang mga detalye sa pagbabayad. Ibig sabihin ang kailangan lang nilang gawin ay baguhin ang shipping address at simulan ang pagbili.

At kapag ginawa nila? Asahan ang mga chargeback mula sa tunay na customer, na iniiwan ang iyong negosyo sa bulsa.

Malware at Ransomware

Patuloy bang nagyeyelo ang iyong computer? May mga patalastas bang lumalabas sa lahat ng dako? Dadalhin ka ba ng mga link sa maling destinasyon, o may mga bagong icon na lumalabas sa iyong desktop at browser?

Kung gayon, maaaring hindi sinasadyang na-install mo ang malware (mal = bad, ware = software...ito ay masamang software) sa iyong device. Maging ang mismong terminong "malware" ay may kasamang iba't ibang uri ng malisyosong code, bawat isa ay mas kasuklam-suklam kaysa sa huli. Kabilang dito ang spyware, “Trojan Horses,” at ransomware–code na nagla-lock sa iyo sa labas ng iyong system hanggang sa mabayaran mo ang hacker ng isang "ransom" upang makapasok muli.

Ang problema para sa mga may-ari ng ecommerce store ay ang malware, sa iyong system man o sa iyong mga customer o admin, ay maaaring magnakaw ng sensitibong data. Kasama rito ang mga pangalan at detalye ng address ng iyong mga customer, pati na rin ang kanilang impormasyon sa pagbabayad. Kung ang alinman sa mga iyon ay nakompromiso, ito ay hindi lamang kita o data ang mawawala sa iyo, ito ang iyong kredibilidad.

Higit pa rito, ang mga pag-atake ng malware ay nagbibigay daan para sa isang umuusbong na paraan ng panlilinlang sa ecommerce na tinatawag na "silent" na pandaraya. Pagkatapos gumamit ng malware upang iligal na ma-access ang ilang account, ang mga manloloko, sa halip na mang-agaw ng libu-libo, daan-daan, sampu, o kahit isa, mag-swipe ng ilang sentimo nang mag-isa. Ginagawa sa sukat at regular, ang mga pagnanakaw na ito ay maaaring magkaroon ng malaking halaga ng mga ninakaw na pondo. Hindi kaya "tahimik" pagkatapos ng lahat!

Mga Paraan para Protektahan ang Iyong mga Customer

Ang pag-alam kung ano ang mga pangunahing uri ng pandaraya sa ecommerce ay isang bagay. Ngunit ang epektibong pag-iwas sa iyo at sa iyong mga customer mula sa masasamang epekto ng pandaraya ay isa pa.

Sa ibaba, pinagsama-sama namin ang aming mga nangungunang tip para sa pagtulong sa iyo, sa iyong customer base, at sa iyong negosyo na manatiling lampas sa mapag-imbot na mga kamay ng mga manloloko.

Pangalagaan ang Impormasyon ng Customer

Ang unang paraan na mapoprotektahan mo ang iyong mga customer? Pag-iingat sa kanilang pinakamahalagang detalye. Ganito:

Mga Firewall

Sa pamamagitan ng pag-filter at pagsubaybay sa papasok (at papalabas) na trapiko, nakakatulong ang mga firewall na mapanatili ang seguridad ng iyong website, na kumikilos, karaniwang, bilang isang literal na pader sa pagitan ng iyong network at ang ligaw, ligaw na Kanluran ng internet sa pangkalahatan.

Sa pamamagitan ng lens na ito, ang mga firewall ay mahalaga hindi lamang para sa pag-secure ng iyong mga data system ngunit para sa pagpapanatili ng pagsunod sa PCI. Ang PCI DSS (Payments Card Industry Data Security Standards) ay isang hanay ng mga regulasyon na dapat sundin ng lahat ng negosyong tumatanggap ng mga credit at debit card. Ang pagsunod sa PCI ay isang uri ng "seal ng pag-apruba" na nagpapakita sa iyong mga customer, regulator, at sa mas malawak na market na mapagkakatiwalaan mong pangasiwaan ang sensitibong data.

Kung nagbebenta ka online gamit ang Ecwid ng Lightspeed, ang iyong tindahan ay sumusunod na sa PCI DSS. Ang Ecwid by Lightspeed ay isang PCI DSS validated Level 1 Service Provider. Ito ang pinakamataas na internasyonal na pamantayan para sa mga secure na palitan ng data para sa mga online na tindahan at mga sistema ng pagbabayad.

Paganahin Dalawang-Kadahilanan Pagpapatunay (2FA)

Tiyaking ipinatupad ang 2FA, kaya ang sinumang sumusubok na i-access ang mga backend na platform at proseso ng iyong negosyo ay kailangang mag-log in sa pamamagitan ng dalawang device. Kung ikaw o ang isa sa mga miyembro ng iyong koponan ay nagla-log in mula sa isang desktop computer, halimbawa, kakailanganin mo ring kumpirmahin ang pagtatangka sa isa pang device, gaya ng iyong telepono, upang makakuha ng access.

Ang iba pang mga pagkakaiba-iba ay kinabibilangan ng:

Dalawang hakbang variation (2SV): nagsasangkot ng pagtanggap ng a isang beses code o password sa pamamagitan ng email, mensahe, o tawag sa telepono na dapat mong ipasok upang mag-log in.
Multi-factor pagpapatunay: isang halo ng maraming paraan ng pagpapatunay para sa isa sa pinakamataas na antas ng seguridad.

Maaaring gamitin ng mga may-ari ng negosyong nagbebenta online gamit ang Ecwid ng Lightspeed ang kanilang mga Google o Facebook account para mag-sign in sa kanilang Ecwid store. Paganahin dalawang-factor authentication para sa iyong Google o Facebook account at sa gayon ay protektahan din ang iyong impormasyon sa pag-log in para sa Ecwid.

Kung gusto mong magdagdag ng iba pang miyembro ng team (tulad ng fulfillment staff o isang designer) sa iyong Ecwid store, huwag kailanman ibahagi ang iyong Ecwid login sa kanila. sa halip, lumikha ng hiwalay na mga account ng kawani para sa bawat user sa iyong tindahan. Ang mga staff account ay may hiwalay na mga pag-login at walang access sa iyong profile at mga pahina ng pagsingil.

Gumamit ng Secure Payment Gateway

Kung gusto mong mag-alok sa iyong mga customer ng pinakamataas na antas ng pagbabayad na kapayapaan ng isip na posible, isang secure na gateway ng pagbabayad ay kinakailangan.

Ang gateway ng pagbabayad ay ang ginagamit ng mga tech na merchant para tumanggap ng mga pagbili ng credit at debit card: pareho sa personal at online. Ngunit hindi lahat ng gateway ng pagbabayad ay ginawang pantay-pantay, lalo na pagdating sa mga bayarin at oras ng pagbabayad. Kaya siguraduhing pumili ng tama para sa mga natatanging pangangailangan ng iyong negosyo.

Ang Ecwid ng Lightspeed ay isinama sa dose-dosenang mga secure na gateway ng pagbabayad. Maaari kang pumili ng sistema ng pagbabayad na maginhawa para sa iyong negosyo at sa iyong mga customer.

Higit pa: Paano Pumili ng System ng Pagbabayad Para sa Iyong Tindahan ng Ecommerce

Ibahagi ang Payo at Impormasyon sa Iyong Mga Customer

Isa sa pinakamadaling paraan para protektahan ang iyong mga customer? Pagpapaalam sa kanila.

Sa pamamagitan man ng mga email, text, o nakalaang mga seksyon sa iyong website, ipaalam sa iyong mga customer ang pandaraya na umiiral at kung paano nila mapoprotektahan ang kanilang sarili mula dito. (At tulungan kang protektahan sila mula dito!)

Tiyaking malinaw na ilatag:

Paano binabati ng iyong negosyo ang mga customer nito (para makita nila ang mga pagkakaiba)
Paano hindi binabati ng iyong negosyo ang mga customer nito, at kung ano ang hindi nito hihilingin (ibig sabihin, ang kanilang mga detalye sa pag-log in o mag-click ng link para mag-log in)
Malinaw, naaaksyunan na mga tip para sa mga customer upang mapanatiling ligtas ang kanilang mga detalye ng account (kung pinapanatili ng iyong negosyo ang mga account ng customer)
Paano makipag-ugnayan kung may hindi tama o kung may mga tanong ang customer
Anong mga pagsusuri sa seguridad ang ipinapakilala mo, kung mayroon man
Paano ligtas na mai-update ng customer ang kanilang mga detalye
Ano ang gagawin kung makatanggap sila ng email ng scam (ibig sabihin, isang manloloko na nagpapanggap bilang iyong negosyo) at kung paano iulat ang mapanlinlang na komunikasyon

Hindi na kailangang sabihin, ang mga ganitong uri ng komunikasyon ay mahalaga. Hindi lang sila nagbibigay ng inspirasyon sa pagtitiwala at nag-aalok ng mahusay na karanasan ng user, ngunit nakakatulong din sila na bawasan ang panganib ng iyong mga customer na mabiktima ng panloloko sa ecommerce.

Tandaan din, na gawing naa-access ang impormasyong ito hangga't maaari. Maaaring hindi basahin ng iyong mga customer ang kanilang mga email o lubusang basahin ang iyong website. Kaya kung mas maraming channel ang maaari mong isapubliko ang payong ito, mas mabuti!

Panatilihing Na-update ang Iyong Site at Magsagawa ng Regular na Pag-audit sa Seguridad

Mas maaga, inihalintulad namin ang mas malawak na internet bilang isang uri ng "Wild West": isang hangganan ng estado kung saan ang mga bandido at kawalan ng batas.

Ngayon, kahit na medyo masakit iyon, maraming banta at napakaraming paraan kung saan maaaring madiskaril ng mga phisher, hacker, at manloloko ang iyong negosyo:

Mga pag-atake ng DoS (Denial of Service): sinusubukan ng isang hacker na pigilan ang mga user sa pag-access sa mga serbisyo ng iyong site.
Mga pag-atake ng DDoS (Distributed Denial of Service): hindi ka direktang inaatake ng may kagagawan ngunit sa halip ay ginagamit ang iyong site bilang isang "zombie" upang saktan ang isa pang site. Sa isang pag-atake ng DDoS, ang iyong mga server ay binabaha ng mga kahilingan mula sa isang grupo ng mga hindi masusubaybayang IP address, pag-crash sa iyong site, at pagpapahinto ng trapiko at mga benta.
Brute force attacks: dito, hinampas ng mga hacker ang iyong website gamit ang libu-libong iba't ibang kumbinasyon ng password sa pagtatangkang makakuha ng access.
Mga pag-atake ng Man in the middle (MITM): kung ina-access ng iyong customer ang iyong site sa pamamagitan ng isang mahinang network (ibig sabihin, pampublikong WiFi), maaaring "makinig" ang mga hacker sa transaksyon at gamitin ito para kumuha ng sensitibong data.
SQL injection at cross-site scriptings: sinasamantala ng mga pag-atakeng ito ang mga kahinaan sa iyong site. Sa isang SQL injection, tina-target ng mga hacker ang iyong mga form upang makakuha ng access sa, sira at magnakaw ng impormasyon mula sa backend ng iyong site. Sa cross-site scripting, ang mga hacker ay naglalagay ng mga malisyosong snippet ng code na nagnanakaw ng impormasyon ng iyong mga bisita.

Ang katotohanan na ang lahat ng mga mode ng pag-atake ay umiiral? Iyan ang masamang balita. Ang mabuting balita, gayunpaman, ay ang mga hacker na ito ay mga oportunista. Naghahanap sila ng mga kahinaan sa setup ng seguridad at pag-iwas sa panloloko ng iyong site. Ibig sabihin, sa pamamagitan ng pagpapanatiling updated sa iyong site at regular na pagtukoy, pag-unawa, at pag-plug sa mga kahinaan nito, mababawasan mo ang panganib ng isang hacker na nagta-target sa iyong website at negosyo.

Upang gawin ito, magsagawa ng regular na pag-audit sa seguridad. Suriin ang imprastraktura ng iyong site para sa mga butas, paggalugad sa backend at code (kabilang ang mga extension at tema) para sa anumang maaaring pagsamantalahan ng mga hacker. Tiyaking:

Malakas ang iyong mga password
Ang iyong software ay napapanahon
Ang iyong site SSL Ang sertipiko ng (Secure Sockets Layer) ay napapanahon

Sa pagsasalita tungkol sa mga SSL certificate, kung ginawa mo ang iyong ecommerce website gamit ang Ecwid by Lightspeed, mayroon ka nang SSL certificate bilang default.

Kung idinagdag mo ang iyong Ecwid store sa isang umiiral nang website, mayroon ka nang libreng SSL certificate para sa iyong tindahan. Gayunpaman, ang natitirang bahagi ng website ay isang hiwalay na bagay. Kailangan mong bumili ng SSL certificate upang maprotektahan ang sensitibong impormasyon. Alamin kung paano gawin iyon sa Ecwid Help Center.

Ang isa pang paraan para protektahan ang iyong website ay ang rebisahin ang listahan ng mga account ng tauhan ng iyong online na tindahan at alisin ang mga miyembro ng kawani na hindi mo na nakakatrabaho. Sa ganitong paraan, mapipigilan mo ang mga hacker na samantalahin ang mga "back channel" na ito upang makakuha ng access sa iyong site.

Mahahalagang Panahon para Protektahan ang Iyong Website

Kaya, ngayong naipaliwanag na namin kung anong panloloko ang hahanapin at kung paano protektahan ang iyong website mula dito, tingnan natin ang kapag–sa ang mga mahahalagang oras sa buong taon kung kailan pinakaaktibo ang mga hacker.

Pampublikong Piyesta Opisyal

“Napagmasdan ng Federal Bureau of Investigation (FBI) at ng Cybersecurity and Infrastructure Security Agency (CISA) ang pagdami ng mga pag-atake ng ransomware na may malaking epekto sa mga holiday at katapusan ng linggo–kung kailan ang mga opisina ay karaniwan sarado–sa sa Estados Unidos, kamakailan noong holiday ng Ika-apat ng Hulyo noong 2021.” - Ransomware Awareness para sa mga Holiday at Weekends, 2021.

Pasko, Pasko ng Pagkabuhay, Araw ng Alaala, Kalayaan Araw–kahit ang iba pa sa amin ay gumugugol ng oras sa aming mga pamilya at nag-unwinding, ang mga hacker ay gumagawa ng anuman kundi ang magpahinga.

Tumaas na pagkagambala sa bahagi ng customer o end-user at mas kaunting kawani at mga mapagkukunan sa dulo ng negosyo ay nangangahulugan na ang mga kondisyon ay laganap para sa pag-hack.

Laban sa backdrop na ito, huwag hayaang mahuli ang iyong negosyo. Huwag maghintay hanggang sa susunod na holiday upang itakda ang seguridad ng iyong site para sa tagumpay, o hanapin ang iyong sarili na nag-aagawan upang i-audit ang iyong site ilang araw lamang bago ang mahabang weekend ng Araw ng mga Ina. Tandaan ang matandang kasabihang Intsik?

Ang pinakamahusay na oras upang magtanim ng isang puno ay 20 taon na ang nakalilipas. Ang pangalawang pinakamagandang oras ay ngayon.

weekends

Ang mga hacker ay may posibilidad na i-target ang mga negosyo kapag sila ay pinaka-mahina at kapag sila ay sarado.

Iyon ang dahilan kung bakit ang mga katapusan ng linggo, lalo na ang mga mahaba, kung saan ang mga pampublikong pista opisyal, ay mga hinog na pagkakataon para sa mga hacker. Gayunpaman, hindi iyon nangangahulugan na dapat mong hayaan ang iyong pagbabantay sa natitirang bahagi ng linggo. Ang mga hacker, sa karaniwan, ay umaatake ng nakakagulat 26,000 beses bawat araw, kaya kailangan mong manatiling mapagbantay.

Konklusyon

Habang umuunlad ang mga pagkakataon ng ecommerce, gayundin ang mga banta nito.

Sa napakaraming nakakatakot na istatistika, maaaring madaling naisin na ilagay ang iyong mga daliri sa iyong mga tainga, pumikit, at gumawa ng isang "kamangmangan ay kaligayahan" na diskarte.

Ngunit ang kaisipang ito ay hindi isinasaalang-alang na kasama ng mga banta na iyon ay may higit pang mga kapana-panabik na pagkakataon.

Upang gawing mas ligtas, mas madali, mas maginhawa at mas pare-pareho ang proseso ng pagbabayad kaysa dati. Para buuin ang iyong brand, magkaroon ng katapatan ng customer, at palakasin ang tiwala sa iyong audience sa pamamagitan ng pagpapakita sa kanila na pinahahalagahan mo ang kanilang privacy at iginagalang mo ang sensitivity ng kanilang data. At, sa proseso, ilatag ang mga pundasyon para sa matatag at napapanatiling tagumpay ng iyong ecommerce na negosyo.

Tungkol sa Ang May-akda

Si Rob Binns ay isang freelance copywriter at editor na nakabase sa Melbourne, Australia. Kapag hindi nagsusulat ng content tungkol sa ecommerce at digital security, naglalaro siya (o nanonood!) ng football, o nagpapahinga sa araw na may kasamang libro at malamig na beer.