Транзакции электронной коммерции являются основной целью киберпреступников. Помимо того, что мошеннические покупки и поддельные возвраты нацелены на розничные сайты, они не только приводят к прямым финансовым потерям, но и создают дополнительные расходы и бремя как для продавцов, так и для покупателей.
Новые данные показывают, что 75% потребителей с готовностью откажутся от бренда после любой проблемы с кибербезопасностью. Почти столько же (66%) заявили, что больше не будут доверять компании, которая пострадала от утечки данных, затронувшей их данные.
Возможно, еще более угрожающим для интернет-торговцев является то, что 44% потребителей связывают киберинциденты с отсутствием мер безопасности в компании. Лояльность и удержание клиентов находятся под угрозой, что ставит интернет-торговцев в двойную опасность.
Один киберинцидент может существенно повредить репутации ритейлера и лишить его клиентов. Поэтому для ритейлеров сейчас важнее, чем когда-либо, защитить весь процесс покупок в электронной коммерции, мобильных приложениях и в магазине.
Что касается атак, то киберворы довели свою деятельность до статуса полноценного бизнеса, по словам Брента Джонсона, директора по информационной безопасности в компании Bluefin, занимающейся цифровыми платежами и безопасностью данных . Деятельность черного рынка процветает, а данные, полученные в результате кибератак, подпитывают еще больше атак.
Хакеры торгуют данными со многих веб-сайтов и продают их на черном рынке, зарабатывая миллионы долларов на этой деятельности, которая значительно разрослась за последние несколько лет.
«Мы наблюдаем очень сложные атаки на широкий спектр коммерческих целей. Атаке подвергаются почти 30 000 веб-сайтов», — сказал Джонсон в интервью.
Он отметил, что кибератаки сейчас настолько распространены, что Совет по стандартам безопасности PCI в индустрии платежных карт добавил больше мер контроля для электронной коммерции в свою последнюю редакцию стандартов безопасности.
Безрассудство потребителей – часть усугубляющейся проблемы
Согласно отчету Help Net Security, предприятия подверглись 800 000 кибератак. Более 60 000 из них были распределенными атаками типа «отказ в обслуживании» (DDoS), а 4000 — атаками с использованием программ-вымогателей.
Эти результаты дополняются отсутствием осведомленности среди онлайн-покупателей о том, как избежать кибератак. По мнению исследователей, это отсутствие понимания побуждает потребителей к безрассудному поведению при покупках.
В отчете приводятся два показательных примера. Более половины (55%) респондентов признались, что используют свои корпоративные устройства для онлайн-покупок, что создает риски для инфраструктуры бизнеса. Однако меньшее количество респондентов (35%) считают, что поддельные платформы электронной коммерции усложняют киберпреступникам задачу выдавать себя за крупные бренды электронной коммерции.
Стандарты платежной индустрии различаются в зависимости от региона
С ростом потока трансграничных транзакций электронной коммерции, затопляющих интернет, процессы платежных карт часто не имеют единых стандартов защиты. Эти различные стандарты способствуют потенциально более высокому уровню случаев мошенничества, которые могут сметать американских потребителей по сравнению с их европейскими коллегами.
«Я не хочу сказать, что Европа опережает США в кибербезопасности. Я бы сказал, что они опережают в безопасности платежей, если говорить о том, что они делают с технологией чипа и ПИН-кода, стандартами EMV [Europay, Mastercard и Visa] и всем остальным», — пояснил Джонсон.
Европейские торговцы требуют подтверждения личности и права собственности на счет в момент покупки, что делает их процесс более безопасным. Более строгие стандарты оплаты картами затрудняют для воров совершение мошеннических покупок с помощью продаж без предъявления карты и фальшивых кредитных карт.
В США эти системы не полностью существуют для онлайн-транзакций. Как только у людей появится номер вашей карты, они все равно смогут совершать транзакции.
Для сравнения, стандарты оплаты картами в Европе сократили случаи мошенничества. Они гораздо серьезнее относятся к стандартам, предложил он.
ИИ — инструмент киберпреступников и защитников
Киберпреступники используют ИИ в своих интересах, создавая более эффективные атаки и увеличивая мошеннические транзакции в электронной коммерции. Эксперты по кибербезопасности жонглируют защитными инструментами на базе ИИ для обнаружения фишинга и тщательного изучения входящего веб-трафика, ища возможность взлома сетей.
Однако Джонсон считает, что потребуется больше времени для того, чтобы успехи ИИ укрепили киберзащиту. ИИ становится все более распространенным. Он видит много инструментов, особенно в оборонительной сфере, и знает, что ИИ играет существенную оборонительную роль.
«Мы уже используем несколько. Но это число будет расти. Сейчас я не могу сказать об этом многого. Честно говоря, оно стремительно развивается», — намекнул он на то, что ИИ может сделать в будущем.
Защита платежей по картам уже в действии
По словам Джонсона, две передовые технологии используются для лучшей защиты цифровых транзакций. Технология точечного шифрования (P2PE) и токенизации уже предлагает выигрышные решения против плохих парней.
P2PE начеку, когда покупатели вставляют платежные карты на кассе: сертифицированное оборудование и программное обеспечение блокируют доступ продавцов и работников к данным карт.
«Это очень просто с точки зрения соответствия требованиям, и это гораздо безопаснее, просто потому, что в этой среде нет конфиденциальных данных держателей карт», — пояснил он.
Токенизация создает цифровое представление платежной информации. Токены защищают конфиденциальные данные, скрывая личность платежной транзакции.
В сочетании с приложениями на базе искусственного интеллекта токенизация платежей использует большие языковые модели (LLM) и методы глубокого обучения для защиты конфиденциальных данных путем генерации временного кода для замены исходной информации.
«Поэтому, где бы ни находились наши данные, мы проводим большую токенизацию на стороне электронной коммерции для транзакций типа «карта в файле». Мы можем вернуть токен торговцу, [у которого] нет жестких данных в его среде», — пояснил Джонсон.
Кибервойна продолжается
С точки зрения кибербезопасности Джонсон несколько уклонился от ответа на вопрос о том, кто победит, будь то марафон по игре «убей крота» или ничья.
«Иногда кажется, что мы побеждаем. Но чаще кажется, что мы проигрываем. Так что это борьба», — предположил он.
Он отметил, что атаки нулевого дня и атаки на цепочки поставок сейчас стали более серьезными из-за интеграции данных.
«Если инструменты, приложения или сервисы, на которые вы полагаетесь, будут скомпрометированы, пострадают тысячи компаний». Это одна из главных проблем кибербезопасности Джонсона в наши дни.
«Так что, отвечая на ваш вопрос, это точно «бей крота». Но мы и дальше будем в порядке», — заключил он.
