Volgens een rapport van Webscale kende de e-commerce in 2020 een aanzienlijke toename van het aantal cyberincidenten.

Ongeveer 70% van de deelnemers aan het onderzoek (onlinebedrijven) gaf aan dat het aantal cyberaanvallen met 20% is toegenomen.

De recente pandemie was een van de redenen voor deze stijging. Naarmate steeds meer mensen online gingen winkelen, stimuleerde dit de opkomst van nieuwe bedrijven. De verschuiving in het digitale landschap fungeerde ook als een waarschuwing voor hackers.

Het is inmiddels alweer een paar jaar geleden sinds 2020, maar beveiligingsrisico’s blijven een groot probleem voor online winkeliers.

Cybercriminelen beschikken over een breed scala aan kwaadaardige technieken, waarmee ze niet alleen websitebeheerders en medewerkers, maar ook consumenten aanvallen.

Bewustwording creëren over de belangrijkste cyberbeveiligingsrisico’s is de eerste stap om deze succesvol te kunnen bestrijden. Daarna is het aan de winkeliers om te bepalen welke maatregelen zij in hun winkels gaan nemen.

In dit artikel willen we de meest voorkomende cyberbeveiligingsrisico’s voor bedrijven belichten en uitleggen hoe deze risico’s kunnen worden vermeden.

Nummer 1: Spammen

Laten we beginnen met spamming. Dit is een van de gemakkelijker te herkennen pogingen om schade aan te richten. Sommige hackers proberen misbruik te maken van sociale media en e-mailinboxen door berichten met besmette links te versturen.

Het achterlaten van besmette URL’s onder blogberichten via een reactie of het verbergen van de link en deze in het beoordelingsgedeelte van een product plaatsen, kan ook werken.

Als u op dergelijke links klikt, wordt u doorgestuurd naar dubieuze websites, waardoor u mogelijk het slachtoffer wordt. Bovendien wekken spamachtige links op een website een negatieve indruk bij bezoekers. En dan hebben we het nog niet eens over het feit dat ze de laadtijd van de website kunnen beïnvloeden.

Nummer 2: DDoS-aanvallen

Bij DDoS-aanvallen wordt een website overspoeld met een enorme hoeveelheid verkeer afkomstig uit verschillende bronnen.

Websites vallen uit omdat ze de verzoeken niet aankunnen, en het weer online krijgen ervan blijkt een flinke uitdaging als de site niet over de nodige beveiligingsmaatregelen beschikt.

In sommige gevallen kunnen DDoS-aanvallen worden ingezet als afleidingsmanoeuvre. Het doel is dan om het personeel af te leiden in plaats van de website plat te leggen. In 2021 nam de frequentie en omvang van deze cyberaanvallen aanzienlijk toe, tot een recordhoogte. In november 2021 heeft Microsoft een DDoS-aanval op een Azure-klant afgeslagen. De aanvallers zetten een doorvoercapaciteit van 3,45 Tbps en een pakketsnelheid van 340 miljoen PPS in. Dit werd beschouwd als de grootste DDoS-aanval ooit geregistreerd.

Nummer 3: Malware

Spyware, virussen, trojans en ransomware zijn de meest voorkomende vormen van malware.

Wanneer malware een apparaat infecteert, bestaat het risico dat degene die het apparaat gebruikt om verbinding te maken met een website, onbedoeld gevoelige gegevens kan stelen of de website zelf kan infecteren. Dit geldt met name voor mensen die toegang hebben tot backend-databases.

Hackers manipuleren de gegevens met een code en verzamelen de informatie die ze nodig hebben. Bovendien kunnen ze hun sporen uitwissen om opsporing te bemoeilijken.

Nummer 4: Bots

Bots zijn softwareprogramma’s of scripts die specifieke taken uitvoeren. In de context van e-commerce hebben bots meestal als doel waardevolle informatie van de website te verzamelen.

Die informatie wordt vervolgens door een andere partij gebruikt om een voorsprong op de concurrentie te krijgen. Het is een vuile truc, maar toch wordt hij toegepast.

Een goed voorbeeld hiervan is afkomstig van Data Dome, dat melding maakte van een grootschalige botaanval waarbij gebruik werd gemaakt van BaaS (bots as a service). Deze aanval duurde ongeveer 19 uur en omvatte ongeveer 15,5 miljoen verzoeken die werden verzonden via meer dan 500.000 residentiële proxyservers. Gemiddeld veroorzaakte deze grootschalige scraping-aanval ongeveer 150.000 verzoeken per 10 minuten op de servers van hun klanten.

Nummer 5: Financiële fraude

Creditcardfraude is een van de meest sprekende voorbeelden van financiële fraude. Gestolen creditcards of gestolen persoonlijke gegevens die worden gebruikt om een nieuwe creditcard aan te vragen, zijn al jaren een plaag voor de e-commercebranche.

De Federal Trade Commission heeft een grafiek gepubliceerd waaruit blijkt dat het aantal gemelde gevallen van creditcardfraude is gestegen van 45.000 in het eerste kwartaal van 2019 tot 115.000 in het eerste kwartaal van 2023.

De invoering van systemen voor adresverificatie die afwijkingen tussen de daadwerkelijke creditcardhouder en het afleveradres signaleren, helpt dit probleem aan te pakken. Toch blijft het een groot probleem dat voortdurende aandacht van online verkopers vereist.

Nummer 6: Phishing-zwendel

Volgens CISA begint 9 op de 10 cyberincidenten met phishing. Dat is logisch, aangezien deze techniek een perfecte eerste stap is om de verdedigingslinie te doorbreken.

Phishing begint met hackers die zich voordoen als legitieme winkeleigenaren. Ze kunnen een e-mail naar uw klant sturen waarin ze om inloggegevens vragen.

Meer agressieve hackers proberen ook medewerkers te misleiden. Iemand die aan de website en de backend werkt, is het perfecte doelwit voor hackers.

Bij phishingaanvallen wordt vaak gebruikgemaakt van urgentie, angst en andere vormen van manipulatie. Het is makkelijker om een ontvanger te misleiden wanneer hij of zij voor een moeilijke keuze wordt gesteld, bijvoorbeeld een waarschuwing dat zijn of haar account is gehackt en dat hij of zij deze moet herstellen door op een URL te klikken die in werkelijkheid schadelijk is.

Nummer 7: E-skimming

Bij e-skimming wordt met name misbruik gemaakt van kwetsbaarheden op de website of in de betalingsgateway. In zeldzamere gevallen slagen hackers erin malware toe te voegen aan bestaande code van derde of vierde partijen.

Zodra er op een website aan e-skimming wordt gedaan, onderscheppen hackers gebruikersgegevens terwijl consumenten hun creditcardgegevens, woonadres, inloggegevens, antwoorden op beveiligingsvragen enz. invoeren.

Vanuit het oogpunt van de gebruiker is er geen waarschuwing dat iemand de gegevens doorneemt. Ze komen er pas achter als het al te laat is en hackers de informatie al hebben gebruikt.

Hoe ga je om met deze cyberbeveiligingsrisico’s?

Beveiliging van e-commerce is complex, vooral gezien het grote aantal verschillende bedreigingen. Toch bestaan er beproefde maatregelen om de risico’s tot een minimum te beperken. Hier volgen enkele aanbevelingen die weliswaar niet volledig zijn, maar wel nuttig:

1. Gebruik antivirussoftware

Antivirussoftware zou verplicht moeten zijn. Iedereen die een apparaat gebruikt om op de website te werken, moet zijn of haar apparaat beveiligen.

Het is aan de leidinggevenden om ervoor te zorgen dat alle medewerkers antivirussoftware hebben geïnstalleerd. Eén persoon die dit niet wil doen, kan al genoeg schade aanrichten om iedereen in het gedrang te brengen.

Antivirusprogramma’s zouden op zichzelf voldoende moeten zijn als je ze op de achtergrond laat draaien, maar het is toch aan te raden om af en toe een handmatige scan uit te voeren.

Als u vermoedt dat er mogelijk beveiligingslekken op het apparaat zitten, gebruik dan antivirussoftware om te controleren of er iets wordt gedetecteerd. Als het apparaat is geïnfecteerd door malware of een andere bedreiging, moet u de beschadigde gegevens verwijderen.

Soms moet u systeembestanden handmatig openen om ze zelf te wissen. Zorg ervoor dat u weet hoe u bijvoorbeeld op macOS toegang krijgt tot /usr/local/bin , of tot System32 op MS Windows.

2. Stimuleer een slim wachtwoordbeleid

Een slim wachtwoordbeleid is een ander voorbeeld van een maatregel die bepaalt hoe veilig uw website is.

Veel mensen verzuimen sterke wachtwoorden te bedenken. In plaats daarvan gebruiken ze voor de hand liggende keuzes zoals „1234567“ of „password123“, waardoor het hackers een stuk gemakkelijker wordt.

Idealiter zouden wachtwoorden:

• Zorg voor hoofdletters en kleine letters
• Willekeurige symbolen toevoegen
• Pas de instellingen aan voor verschillende accounts
• Blijf regelmatig op de hoogte

Als het onthouden van meerdere inloggegevens te lastig is, gebruik dan een wachtwoordbeheerder om de gegevens op te slaan. Alleen jij hebt hier toegang toe dankzij een hoofdwachtwoord en tweefactorauthenticatie.

3. Gebruikersrechten beheren

Het beheren van gebruikersrollen en -rechten is een gangbare praktijk bij beveiligingsaudits. Wanneer iemand het bedrijf verlaat of een andere functie krijgt, moeten zijn of haar oorspronkelijke toegangsgegevens dienovereenkomstig worden aangepast.

Afhankelijk van het aantal gebruikers dat aan een website werkt, kan het lastig zijn om iedereen in de gaten te houden, vooral als de sitebeheerder het al druk genoeg heeft.

Er moet iemand de leiding over hebben. Zorg er echter wel voor dat je backoffice-team even betrouwbaar is. Het is cruciaal om mensen te kiezen die je kunt vertrouwen. Het laatste wat je wilt, is dat je medewerkers hun eigen gang gaan.

4. Het SSL-certificaat instellen

PCI-compliance houdt in dat het SSL-protocol verplicht is. Toch nemen niet alle online winkeliers de moeite om dit in te stellen.

Het ontbreken van het certificaat is een belangrijke waarschuwing, die door internetbrowsers en websitebezoekers wordt herkend.

Een goed SSL-certificaat is een beveiligingsmaatregel voor de website en haar bezoekers. Zodra het certificaat is geïnstalleerd, verandert de URL van de website van HTTP in HTTPS. De „S“ staat voor „secure“ (beveiligd). Gebruik een SSL-certificaatcontrole om te controleren of het certificaat correct voor het domein is geconfigureerd, zodat alles goed is ingesteld.

HTTPS versleutelt de informatie die een website ontvangt. Hackers hebben het veel moeilijker om de gegevens te kraken als deze versleuteld zijn. De meesten geven het op en gaan op zoek naar nieuwe doelwitten.

5. Zoek een betrouwbare en veilige hostingprovider

Aangezien hostingproviders uw website beheren, is het van cruciaal belang om er een te vinden die meer biedt dan alleen een uptime-garantie van 99,9%.

Let goed op de beveiligingsfuncties die bij het pakket worden geleverd, en aarzel niet om wat extra te betalen om van deze beveiligingsmaatregelen te profiteren.

Voordat je een keuze maakt, moet je grondig naar beoordelingen zoeken om er zeker van te zijn dat je de juiste hostingprovider hebt gekozen. Vraag indien mogelijk om persoonlijke aanbevelingen van mensen die je kent en vertrouwt. Online beoordelingen van onbekenden zijn immers soms twijfelachtig.

6. Terugboekingen automatiseren

Softwareoplossingen bieden bedrijven een reddingsboei, en de software voor het automatiseren van chargebacks van Chargeflow is daar een uitstekend voorbeeld van.

Wanneer de software een transactie analyseert en patronen van frauduleuze activiteiten detecteert, waarschuwt deze de handelaar, stelt een reactie op de terugvordering op en dient namens hem bewijsmateriaal in.

In plaats van te wachten tot uw acquirer u op de hoogte stelt wanneer kaarthouders een geschil indienen – wat er vaak toe leidt dat de tijd ontbreekt om overtuigend bewijs te verzamelen en effectief te reageren – kunnen bedrijven altijd tijdig en volledig reageren op terugvorderingsclaims en geschillen automatisch oplossen. Dankzij de prestatiegerichte prijsstelling van Chargeflow betaalt u bovendien alleen voor gewonnen zaken.

Conclusie

Al met al blijven cybercriminelen een probleem vormen voor online winkeliers. E-commercewinkels blijven kwetsbaar voor verschillende bedreigingen.

Het is aan de beheerders van de website om iedereen bewust te maken van bedreigingen die problemen kunnen veroorzaken, zodat alle betrokkenen weten wat ze moeten doen.

Het loont ook de moeite om proactieve maatregelen te nemen en op de hoogte te blijven van de laatste ontwikkelingen op het gebied van cyberbeveiliging. Alles wat je helpt om cybercriminelen af te weren, bespaart je op de lange termijn geld.