Здравствуйте!
Количество интернет-покупателей растет, а вместе с этим увеличивается и число разновидностей мошенничества в Сети. Мы расскажем о том, чего стоит опасаться и к чему быть готовым тем, кто работает в сфере е-commerce, а также их клиентам.
По-прежнему основной угрозой будет опасность кражи личных данных. Защита карты от мошенников всё также актуальна. Мошенники взламывают аккаунты и, используя «украденную» личность, совершают покупки, оплачивая их чужими деньгами.
Кража личных данных
В числе распространенных видов мошенничества, активность которых будет нарастать — так называемая атака «человек посередине» (man in the middle), когда злоумышленники перехватывают и подменяют сообщения и данные, например, кредитных карт, а также «человек-в-браузере» (man in the browser), при котором хакеры мгновенно меняют параметры транзакции или страницы незаметно для жертвы.
При покупке товара через интернет, владелец карты сообщает продавцу информацию о номере и коде доступа к своей карте. Именно эти данные становятся целью.
«Дружелюбное» мошенничество
Так называемое «дружелюбное» мошенничество (friendly fraud) — это ситуация, когда мошенник приобретает товар с одной целью: оставить его себе и потребовать назад свои деньги. То есть, по сути, получить заказ (как правило, дорогостоящий) бесплатно.
Неблагонадёжный покупатель может заявить продавцу, что данные его кредитной или дебетовой карты, либо онлайн-кошелька украли, а потому лично он никаких заказов не делал. О том, что были совершены какие-то транзакции, ему стало известно только что, подпись на бланке доставки транспортной компании не его, а потому он требует вернуть назад деньги.
Таких мошенников можно разоблачить, если записывать все данные покупателя: например, IP и почтовый адрес, сохранять переписку по электронной почте, либо через прочие каналы коммуникации, чтобы, если дело дойдет до суда, были доказательства правоты продавца.
Кроме того, протоколы безопасности платежных систем Visa и MasterCard (когда при совершении платежа есть еще один этап аутентификации — 3D-Secure) в этом случае служат защитой от необоснованных претензий со стороны покупателей.
Торговое мошенничество
В этом случае владелец интернет-магазина становится жертвой поставщика, который в реальности оказывается мошенником. Злоумышленник делает привлекательное по цене и прочим характеристикам предложение, получает предоплату и исчезает.
Такое может случиться и с давним проверенным партнером-поставщиком, если его личные данные перешли к хакерам. Это может произойти незаметно для продавца — например, если он открыл письмо, пришедшее по электронной почте, перешёл по ссылке которая в нём содержалась, и таким образом подцепил вирус. После этого злоумышленники смогут подделать счета на оплату и получить средства, которые перечислит заказчик.
Еще один метод мошенничества, популярность которого растет — триангуляции (triangulation fraud), когда мошенничество идёт через три точки. Первая — поддельный интернет-магазин, где предлагаются популярные товары по низким ценам. Покупателю сообщают, что товар отгружается сразу же после оплаты картой. На этом этапе цель мошенников — собрать личные данные. На втором этапе их используют при совершении заказа в обычном, честном интернет-магазине.
В итоге покупатель получает заказ, но при этом его деньги утекают «налево»: за чужой счёт совершаются дополнительные покупки. Найти, кто именно украл деньги, в этом случае довольно сложно.
Чистое мошенничество
Этот вид мошенничества также предполагает использование украденных карт и личных данных для того, чтобы сделать заказ. Но мошенники действуют очень хитро и осторожно: собирают максимальное количество информации о владельцах карт, пытаются обойти все защитные рубежи, чтобы обман не вскрылся как можно дольше.
Как защититься от мошенников
- Тщательно проверяйте информацию, размещаемую в социальных медиа и на веб-сайте, касающуюся вашей компании. Лучше не публиковать лишние данные, которые могут помочь мошенникам. Защита от мошенников — это в первую очередь защита информации.
- Относитесь с подозрением к партнерам (даже проверенным), которые начали вести себя странно или необычно. Например, просят предоставить им дополнительную информацию, которую раньше не просили, или требуют срочно оплатить заказ. Особенно если общение идет в Сети. Лучше несколько раз всё перепроверить и уточнить все вопросы в личном общении в оффлайн-режиме.
- Никогда не открывайте ссылки в письмах, которые пришли по электронной почте, даже если адресат — ваш хороший знакомый или письмо отправлено от какого-то официального учреждения. Аккаунт может быть фальшивым, либо его могли взломать. Уточните все вопросы по телефону или при личной встрече.
- Чтобы избежать появления подделок под ваш магазин, если есть такая возможность, лучше зарегистрировать все доменные имена, похожие на ваш фактический домен.
Комментарий эксперта
 |
Николай Мациевский, технический директор компании Айри. |
Угроз для электронной коммерции огромное количество, но большинство из них обходят стороной небольшие интернет-магазины по причине их размера. Никому не нужен бизнес с оборотом менее миллиона рублей в месяц. Для таких сайтов наиболее вероятны массовые взломы (по известным уязвимостям) и подбор или воровство (например, через вирусы) паролей к какому-либо входу на сайт, а также некоторые целевые атаки малой мощности.
К Айри.рф подключены сотни интернет-магазинов, и мы ежедневно видим попытки взломов и небольшие DDoS-атаки.
Для предотвращения большинства технических угроз владельцам небольших интернет-магазинов достаточно соблюдать несколько простых правил:
1. Регулярная смена пароля или относительно сложный пароль (12-16 символов) от основных входов на сайт (панель хостинга, FTP или SSH, административный раздел сайта)
2. Регулярный мониторинг сайта на предмет зловредных внедрений (с помощью любого сервиса, например Айри.рф или Rescan.pro). Гигиена информационной безопасности мало распространена у веб-студий и фрилансеров, поэтому полагаться на их компетенции в этих вопросах затруднительно.
Защита от DDoS также необходима все время функционирования интернет-магазина при достижении оборота хотя бы 100 тысяч рублей в месяц. В этом случае простой из-за атаки и решение вопроса «на месте» будет стоить существенно дороже, чем ежемесячная абонентская плата за каждый сайт, находящийся под защитой в Айри.рф.
Воровство или некачественная обработка заказов менеджерами смогут остановить только жесткие регламенты и доверие внутри команды. Какие-либо технические способы защиты от мошенников, скорее всего, не помогут: на любой прием найдется анти-прием.
А вы сталкивались с мошенничеством в интернете? Расскажите о своем опыте в комментариях!
Подготовила Виктория Чернышева
Чтобы быть в курсе новых публикаций в Журнале о eCommerce CS-Cart, следите за нами в ВК и Facebook.
Добавить комментарий