Электронная коммерция (e-commerce): угрозы и защита бизнеса

Электронная коммерция популярна не меньше, чем обычная торговля. Компании в разных отраслях открывают интернет-магазины, запускают сайты и приложения. Эти веб-ресурсы привлекают хакеров, которые организовывают массовые и точечные атаки на рынок электронный торговли. Рассказываем, какие угрозы актуальны и как от них защититься.

Что такое электронная коммерция (e-commerce)

E-commerce — продажа и покупка услуг/товаров в интернете. Полный цикл сделки от выбора предложений до оплаты происходит онлайн. Продавать через интернет можно что угодно: любые товары и услуги, цифровые продукты. Электронная коммерция в интернете популярна, потому что клиенты привыкли покупать удаленно. Это экономит время, стоимость товаров ниже, чем в физических магазинах, можно совершать покупки в любое время.

Главные аргументы в пользу электронной торговли для компаний:

• Расширение географии продаж. В физический магазин или офис будут ходить только местные, а через интернет можно продавать в другие города и страны.
• Снижение издержек. Не нужно ежемесячно тратиться на аренду помещения, закупать витрины и оборудование, нанимать продавцов. Это актуально, если заказов пока немного и нет возможности нести серьезные расходы.
• Удобство для клиентов. Многие будут покупать онлайн или изучать предложения перед визитом в физическую точку.
• Точная аналитика. На сайтах и в приложениях доступна статистика посещений, регистраций, покупок, незавершенных сделок.

Компании организуют интернет-торговлю, чтобы подстраховать свой бизнес. Например, в пандемию из-за изоляции люди редко посещали обычные магазины и покупали онлайн. Многие физические точки тогда закрылись, а компании в сфере e-commerce сохранили клиентскую базу.

Виды электронной коммерции, принципы работы

Есть несколько основных направлений электронной торговли:

• B2C (Business-to-Consumer) — продажа товаров и услуг физическим лицам через мобильные и веб-приложения, интернет-магазины, маркетплейсы.
• B2B (Business-to-Business) — сделки между компаниями. Например, продажа товаров оптовыми партиями для дальнейшей реализации.
• C2C (Consumer-to-Consumer) — купля/продажа между физическими лицами. Например, через платформы с объявлениями.
• B2G (Business-to-Government) — организация госзакупок через электронные торговые площадки. В этой схеме бизнес продает товары и услуги государству.
• G2C (Government-to-Citizen) — государственные услуги для граждан. Пример — оплата пошлин и штрафов на портале «Госуслуги», сайте ФНС.

Сценарий покупки в e-commerce B2C для понимания принципа электронной торговли:

• Поиск товаров и услуг. Покупатель приходит в интернет-магазин с рекламного объявления, из соцсетей или напрямую.
• Просмотр ассортимента, сравнение цен, изучение отзывов.
• Выбор товаров и добавление их в корзину.
• Оформление заказа, проверка списка товаров, выбор способа доставки.
• Оплата удобным способом — банковской картой, через электронный кошелек, систему быстрых платежей и др.

Продавец должен принять и подтвердить заказ, укомплектовать, передать на доставку или подготовить к выдаче в пункте самовывоза. Потом организовать качественное постпродажное обслуживание — дать обратную связь, обработать отзывы, при необходимости оформить обмен или возврат товаров.

Чтобы электронная коммерция в интернете работала, продавцы должны найти площадку для продажи своих товаров и услуг, использовать разные каналы привлечения трафика, интегрировать CRM и платежные системы, нанять менеджеров и прочее. Нужно позаботиться о защите сайтов и приложений от кибератак. Согласно данным отчета «Солара», отрасль e-commerce уже который год в топе самых атакуемых.

Сфера электронной торговли интересна киберпреступникам, поскольку она работает с платежными и персональными данными. Какие цели могут преследовать атакующие:

• Украсть персональные данные, чтобы потом их продать или использовать для мошенничества.
• Получить доступ к платежной информации и чужим деньгам.
• Создать копии доверенных сайтов, чтобы обманывать клиентов от имени компаний.

Кто-то взламывает сайты популярных интернет-магазинов не ради клиентских денег и данных, а чтобы использовать площадки для размещения политических лозунгов или другого провокационного контента. Иногда причина в недобросовестных конкурентах, которые заказывают у хакеров DDoS-атаки на более успешные компании.

Основные угрозы для e-commerce и их последствия

Основные угрозы для электронной коммерции в интернете можно условно разделить на три группы — DDoS-атаки, вредоносные боты и атаки с эксплуатацией уязвимостей.

DDoS-атаки

DDoS (от англ. Distributed Denial of Service) — это распределенный отказ в обслуживании. Суть атаки в том, что хакеры с множества зараженных устройств одновременно отправляют стихийные запросы к сайту. Сервер перегружается и перестает справляться с их обработкой — отказывается обслуживать пользователей, отсюда и название «отказ в обслуживании». Сайт начинает постоянно тормозить либо вообще не работает, клиенты не могут заказать, оставляют в сети негативные отзывы и уходят к конкурентам. В результате бизнес теряет репутацию, недополучает прибыль и несет расходы на восстановление работоспособности своего веб-ресурса.

Хакеры могут атаковать в любой момент, но особенно опасны для e-commerce периоды сезонных распродаж, таких как, например, «черная пятница». Если сайт будет недоступен для клиентов в пиковые часы скидок, бизнес потеряет прибыль. Чтобы снизить риски, можно подключить защиту от DDoS-атак, в частности облачный сервис WEB AntiDDoS от Solar Space. Есть разные тарифы, в том числе и бесплатный для сайтов, у которых меньше 5 тысяч посетителей в месяц.

Чтобы подключить защиту, нужно зарегистрироваться в личном кабинете, заменить IP-адрес сайта на IP-адрес прокси-сервера «Солара». WEB AntiDDoS будет в режиме реального времени 24/7 анализировать трафик по ряду параметров и блокировать запросы с признаками аномального поведения или подозрительными сетевыми данными.

Вредоносные боты

Боты ходят на сайты, и это давно не новость. По данным исследования Akamai, они генерируют 42% трафика в интернете. Некоторые из них приносят пользу, например индексируют контент и способствуют онлайн-продвижению. Опасно, если на сайте появились вредоносные боты, которые используются хакерами для разных целей, таких как:

• Брутфорс — автоматический перебор паролей для того, чтобы взломать пользовательские аккаунты или админ-панель сайта. Раньше хакеры часто делали это вручную, теперь в основном с помощью ботов.
• Фейковые заявки на сайте. Специально запрограммированные боты могут бронировать товары, заполнять формы обратной связи, запрашивать консультации. Менеджеры тратят время на обработку таких заявок, из-за чего реальным клиентам приходится дольше ждать. Также искажается аналитика. Глядя на количество заявок, компания делает вывод об эффективности онлайн-продвижения и продолжает расходовать рекламные бюджеты на фейки.
• Парсинг ассортимента и цен — с помощью ботов-парсеров конкуренты собирают информацию с других сайтов, чтобы потом дешевле продавать такие же товары и переманивать покупателей.
• Веб-скрепинг — кража контента с сайтов и создание «зеркал», которые можно использовать для обмана клиентов компаний сферы электронной торговли.
• Дефейс — подмена контента на сайте. Причем хакеры могут подменить не только текст и картинки, но и платежные реквизиты. Это делается в мошеннических целях, чтобы завладеть деньгами клиентов.
• Скальпинг в e-commerce, спекуляция — покупка акционных, новых, дефицитных и эксклюзивных товаров, чтобы потом перепродать их дороже. Для этого используются гринч-боты, которые ищут выгодные цены, бронируют и выкупают нужные позиции. Разочарованным настоящим покупателям не хватает товаров, из-за чего растет негатив в отношении продавца.
• Поиск уязвимостей с помощью специальных сканеров. Боты помогают хакерам искать слабые места безопасности, которые можно потом использовать для взлома сайтов.

Чтобы не допустить вредоносов на сайт, нужно постоянно мониторить трафик, проверять логи сервера, использовать капчу. Для защиты можно использовать решение WEB Antibot от Solar Space, которое обнаруживает плохих ботов и отсекает их, при этом не мешая работе полезных.

Как работает WEB Antibot:

• Анализирует любые взаимодействия пользователей с сайтом, выявляет нетипичные паттерны поведения.
• Проверяет параметры цифровых отпечатков SSL с помощью запатентованной ML-модели.
• Присваивает каждому запросу определенный показатель и сравнивает его с нормативом. Если показатель ниже, пользователь проходит на сайт. Если выше — система выдает капчу, настройками которой можно управлять в личном кабинете.

Сервис предоставляется по подписке, не требует сложных настроек и подходит для малых организаций в сфере электронной коммерции.

Атаки через уязвимости

Любые уязвимости могут стать причиной утечки данных или взлома сайта. Примеры типичных атак:

• SQL-инъекции (SQL) — внедрение вредоносного кода с целью получить доступ к базе данных.
• RCE (Remote Code Execution) — удаленное выполнение на сервере произвольного кода, благодаря чему хакеры могут получить доступ к конфиденциальной информации или перехватить управление системой.
• XSS (Cross-Site Scripting) — внедрение в веб-страницу вредоносных скриптов, которые затем будут выполняться в пользовательских браузерах.

От этих и других атак с эксплуатацией уязвимостей защищают файрволы веб-приложений WAF — Web Application Firewall. Они используют сигнатурный и поведенческий анализ, белые и черные списки IP-адресов. Многие крупные игроки на рынке электронной коммерции давно применяют такие решения. Малые компании медлят с защитой, думая, что WAF стоит дорого. Но доступные варианты есть. Например, облачный сервис WAF Lite от Solar Space, который защищает от типовых угроз. Решение ищет во входящих запросах признаки вредоносных сигнатур и блокирует сомнительные обращения. Статистика по заблокированным запросам будет отображаться в личном кабинете.

Базовые правила защиты для e-commerce

Многие новички в сфере электронной коммерции думают, что маленький бизнес хакерам не интересен. Но в последние годы киберпреступники смещают акценты в сторону небольших компаний. Атаковать крупные холдинги, которые давно вкладываются в ИБ, сложнее — это отнимает много времени и ресурсов.

Какие меры можно предпринять всем компаниям в e-commerce:

• Проверять свой сайт или веб-приложение на уязвимости. И устранять хотя бы самые критичные. Есть разные методы аудита: ручные проверки, сканеры, пентесты.
• Учить сотрудников распознавать социальную инженерию. Например, злоумышленники могут войти в доверие к жертве и вынудить сообщить нужную информацию. Сотрудники должны уметь выявлять самые распространенные приемы.
• Выстраивать эшелонированную защиту от разных типов угроз. Меры от хостинг-провайдера и защита собственными силами не помогут при масштабных и сложных атаках. Можно обеспечить базовую кибергигиену с помощью сервисов Solar Space.

Комплексное решение от Solar Space для e-com

Сервисы WEB AntiDDoS, WEB Antibot и WAF Lite эффективнее работают в комплексе. Стоимость услуги доступна для малых компаний — от 7800 рублей в месяц за три решения.

Преимущества сервисов Solar Space:

• Быстрое подключение, даже если сайт уже под атакой.
• Большой выбор тарифов под разные объемы трафика.
• Круглосуточный мониторинг вашего сайта и оперативное обнаружение угроз.
• Готовые автоматизированные сервисы «из коробки», не требующие тонкой настройки и привлечения ИТ-специалистов.
• Наглядные отчеты в личном кабинете.

Решения подходят для e-com и позволяют эффективно бороться с распространенными угрозами. Они способны с первой секунды подавлять вредоносную активность и обеспечивать стабильную работу веб-ресурса.

Облачная защита от распространенных угроз

E-commerce — прибыльная, но уязвимая сфера. Основные опасности: DDoS-атаки, боты и взломы. Против этих угроз можно использовать облачную защиту Solar Space. Доступно бесплатное тестирование сервисов без ограничения функциональности в течение 14 дней. После теста специалисты «Солара» предложат оптимальный тариф на основе данных вашего трафика.