Сезон святкових покупок наближається. До яких неприємностей готуватися інтернет-магазинам?

Завдяки пандемії ринок електронної комерції показав небувале зростання. Але з іншого боку, є і погані новини – значне зростання шахрайства в інтернеті призвело до великих втрат роздрібних торговців у інтернеті. Вважається, що сума їхніх збитків у поточному році може перевищити $20 млрд.

Американські економісти вважають, що в період новорічних свят частка електронної комерції в загальному обсязі роздрібних продаж може сягнути майже 19%. Ці свята настануть вже зовсім скоро. До яких проблем інтернет-магазинам слід готуватися вже сьогодні?

Онлайн скіммінг кредитних карток

Упродовж останніх років атаки на стороні клієнта, такі як Magecart, онлайн-скімінг або формджекінг, стали серйозною загрозою для операцій електронної комерції. Цей тип атак передбачає впровадження шкідливого коду JavaScript у вихідний код або код сторонніх сервісів, що використовуються на цілком легальних веб-сайтах. Це дозволяє шахраям збирати конфіденційну особисту інформацію клієнта щоразу, коли він вводить свою інформацію у форму. Подібним чином сторінки входу можна використовувати для отримання облікових даних користувача.

Такі атаки призводить до значних втрат з боку бізнесу у вигляді зборів за недотримання нормативних вимог, таких як PCI, GDPR, CCPA, а також репутаційних збитків, судових витрат тощо.

Шахрайство із захопленням облікового запису

Захоплення облікового запису – це крадіжка особистих даних, коли зловмисник отримує несанкціонований доступ до чужого облікового запису. Для цього шахраї збирають облікові дані, що витекли в інтернеті, і використовують автоматизовані веб-браузери для тестування їх на сторінках входу в систему.

Зазвичай це робиться за допомогою атак із заповненням облікових даних. В них боти використовуються для масових спроб входу до системи з метою перевірки дійсності вкрадених імен користувачів та їхніх паролів.

За даними Imperva's Threat Research Labs, інтернет-магазини в 2020-му році зазнали вдвічі більше спроб захоплень облікових записів, ніж усі інші сектори. Шахраїв приваблюють у електронній комерції інформація про кредитні картки, баланс подарункових карток, бали лояльності тощо. Збитки бренду, втрата доходів, повернення платежів та збільшення витрат на підтримку клієнтів – неповний перелік наслідків успішної атаки на інтернет-магазин для захоплення облікового запису.

Шахрайство з кредитними картками та повернення платежів

Кардинг – один із прикладів атаки ботів, яка оптимізується атаками Magecart. Це автоматизована загроза ботами, що проявляється у паралельних спробах авторизувати номери вкрадених кредитних карток на веб-сайтах, де є форми для оформлення замовлення. Це робиться для того, щоб визначити, які номери чи реквізити карток можуть використовуватися для здійснення покупок.

Карткові атаки, зокрема, негативно позначаються на тих компаніях, чиї веб-сайти використовуються для авторизації вкрадених кредитних карток. Це результат повернутих платежів – спірних транзакцій, у яких продавець скасовує їх і повертає гроші покупцю. Хоча повернення платежів можуть відбуватися через цілком законні причини, вони дуже часто є результатом кардингу. Вони можуть призвести до формування негативної історії продавця, а також штрафів через повернення платежів.

Скальпінг

У жовтні 2020-го року спостерігалося майже дев’ятиразове зростання трафіку поганих ботів на роздрібні веб-сайти. Це збіглося в часі із запуском нових ігрових консолей та графічних процесорів, а також зі святковими покупками і тривало упродовж Чорної п'ятниці.

В кінці 2021-го року ця ситуація може повторитись. Адже нестача на ринку мікросхем тільки посилюється і формує дефіцит такої затребуваної електроніки, як ігрові консолі, графічні процесори, смартфони тощо. Такою ситуацією готові скористатися скальпери.

За допомогою ботів різної складності скальпери купують товари з обмеженим запасом, щоб потім перепродати їх за вищою ціною. Неможливість придбати товари звичайними покупцями призводить до того, що страждає репутація брендів та роздрібних продавців.

Неправильне керування трафіком ботів

Роздрібні продавці, які не мають рішення для управління ботами, можуть зустрітися зі зниженням продуктивності, що призведе до уповільнення роботи та потенційного простою.

Зіпсована репутація бренду, зниження ефективності пошукової оптимізації та незадовільні показники конверсії – лише деякі з наслідків простою для інтернет магазинів. Сьогодні споживачі не готові чекати на сторінки, які довго завантажуються. Середній показник відмов для сторінок, що завантажуються протягом 2 секунд, становить 9%, а при 5 секундах він зростає приблизно учетверо.

Рішення для керування ботами, яке усуває поганий бот-трафік, дозволяє не тільки знизити ризик простою, але й покращує середній час завантаження сторінки, тим самим знижуючи показник відмов.

Клієнтський досвід

Одне з особливих завдань управління ботами – підтримка першокласної якості клієнтського досвіду без шкоди безпеці. Дослідження, проведене компанією Forrester на замовлення Google, свідчить про те, що дві головні можливості, які керівники бізнесу шукають у рішеннях для управління ботами, це покращення безпеки та виявлення загроз. А на третьому місці – покращення клієнтського досвіду. Існує прямий зв'язок між покращенням клієнтського досвіду і зростанням вашого прибутку. Це означає, що, крім передових методів виявлення та пом'якшення наслідків боротьби з ботами, роздрібні продавці повинні шукати рішення, яке не погіршує якість клієнтського досвіду.

Як можна захиститись від шахрайства з Imperva

WAAP (Web Application and API Protection) поєднує найкращі у своєму класі рішення для захисту вашого бізнесу. Двома його ключовими компонентами є Advanced Bot Protection та Client-Side Protection, які підвищують рівень безпеки за рахунок запобігання шахрайству.

Advanced Bot Protection знижує бізнес-ризики, захищаючи ваш інтернет-магазин від атак поганих ботів. Це не заважає законним клієнтам, зберігає якість їх обслуговування та забезпечує безперервність бізнесу. Advanced Bot Protection усуває всі автоматичні загрози OWASP, включаючи захоплення облікового запису, веб-скрапінг та онлайн-шахрайство. Завдяки захисту веб-сайтів, мобільних програм та API-інтерфейсів Advanced Bot Protection покриває всі ваші точки доступу.

Client-Side Protection знижує ризик потрапляння найбільш конфіденційних даних ваших клієнтів до рук зловмисників. Він запобігає шахрайству в ланцюжку поставок через атаки на стороні клієнта, таких як формджекінг, Magecart та інші атаки онлайн-скіммінгу. Захист на стороні клієнта автоматично сканує наявні та додані служби на вашому сайті, усуваючи ризик того, що вони стануть сліпою плямою для служби безпеки. Рішення дозволяє вашій команді безпеки легко визначати характер кожної служби та блокувати будь-які недоречні.

Спробувати безкоштовну пробну версію Application Security можна просто зараз, або звернутись до офіційного дистрибьютора Imperva в Україні, компанії Softprom