В общественном представлении хакеры всегда интересуются только крупными компаниями и госкорпорациями. На самом деле, все обстоит по-другому. Злоумышленников интересуют деньги и способы их легкого получения. Взламывать банк или счета компании – занятие долгое и не всегда перспективное. Другое дело, если взяться за интернет-магазины в которых можно найти данные банковских карт десятков тысяч покупателей. О том, как часто интернет магазины подвергаются кибератакам и на что способны хакеры нам рассказал Рамиль Хантимиров, CEO и со-основатель StormWall.
Как часто интернет-магазины подвергаются кибератакам? Какая информация интересует атакующих?
Ритейл является одной из самых подверженных атакам отраслей в интернете, поскольку атакующий может получить от атаки прямую и понятную выгоду. В первую очередь, в таких атаках заинтересованы конкуренты, их цель, в основном, вывести сайт из строя, чтобы привлечь больше клиентов на свои ресурсы. Для достижения этой цели чаще всего используются DDoS-атаки. Что касается других типов кибератак, мы также часто наблюдаем попытки запуска нежелательных автоматизированных действий: подбора логинов/паролей, промокодов, а также автоматическое добавление товаров в корзину, чтобы уменьшить его наличие в онлайн-магазине. Также хакеры предпринимают попытки взлома интернет-магазина, очевидно, для того, чтобы получить базу клиентов или какие-то выгоды на приобретение товаров. Еще интересно то, что иногда атаки совершаются безадресно: например, когда хакер осуществляет автоматическое сканирование, автоматические поиски уязвимости. Эти действия могут нанести вред владельцу сайта, даже если атакующий не знает о том, что именно он взламывает.
Готовы ли владельцы онлайн-точек тратить средства на повышение защиты своих магазинов?
Как правило, компании из сферы онлайн-ритейла осознают необходимость подключения защиты от DDoS-атак, потому что многие уже столкнулись с этой проблемой, и вред от таких атак для них очевиден. Однако, не все владельцы интернет-магазинов пока что готовы вкладывать средства в более продвинутые средства защиты, такие как WAF (Web Application Firewall), поскольку это требует некой экспертизы со стороны заказчика и, как минимум, понимания того, что это такое, как это работает и зачем это нужно. Тем временем, на рынке представлено множество решений по минимизации разного рода угроз, часть этих решений являются сложными в настройке, часть нет, и эти решения можно приобрести и установить прямо из облака, что делает процесс их подключения довольно простым. Но в основном такие услуги покупают либо крупные компании, либо те, кто уже столкнулись со взломом или автоматизированными действиями, не являющимися DDoS-атакой.
Насколько международные платежные системы влияют на уровень защиты своих торговых партнеров?
Как правило, платежная система интегрируется с сайтом по стандартным механизмам, когда пользователь переходит на сайт платежной системы, который уже осуществляет безопасную транзакцию. При этом никакой проверки, откуда пользователь пришел, и насколько безопасен сайт, откуда он пришел, как правило, не производится. Поэтому тут сложно говорить о каком-то влиянии.
Встречались ли в вашей практике фейковые магазины, которые создавались с целью похищения личных данных покупателей?
Да, фейковые магазины встречались, это распространенная практика, и с ними, конечно, необходимо бороться путем их своевременного отключения. Для этого нужна слаженная работа и правоохранительных органов, и Роскомнадзора, и конечно же хостинг провайдеров, которые должны реагировать на жалобы, если они обоснованы.
Кому стоит бояться больше в случае атак на онлайн-торговлю: владельцу магазина или его покупателям? Следует ли опасаться бывшим покупателям?
Конечно, если мы говорим о DDoS-атаке, то бояться больше надо владельцу онлайн-магазина, а если мы говорим о взломе, то бояться нужно всем, потому что это чревато утечкой персональных данных. Если наши интернет-магазины не хранят самостоятельно данные кредитных карт, а используют для приема платежей платежные шлюзы, то данные об имени, телефоне, месте жилья или работы они конечно же сохраняют. Более того, полученные данные могут использоваться мошенниками для осуществления других мошеннических действий в отношении пользователей в дальнейшем.
Как вы оцениваете степень защиты онлайн-ритейла в России?
Тяжело дать оценку всему рынку, поскольку он неоднороден. Средние и крупные интернет-магазины практически все уже используют защиту от DDoS-атак, и многие подключают или уже подключили Web Application Firewall. Что касается мелких магазинов, здесь, в основном, как и в любой отрасли, защищаются только те, кто уже столкнулся с атакой.
Что вы посоветуете держателям магазинов для эффективной защиты?
Владельцам интернет-магазинов, помимо очевидных рекомендаций подключить защиту от DDoS, и по возможности Web Application Firewall, стоит периодически проверять эффективность этих средств защиты: для этого можно легальным образом заказать стресс-тестирование (тестовую DDoS-атаку) и, если позволяет бюджет, так называемый Penetration Testing (тест на проникновение, чтобы специалисты попытались “взломать” сайт до того, как это сделают хакеры). При подключении DDoS-защиты стоит руководствоваться рекомендациями, как ее выбрать.
Выбирая провайдера, важно обратить внимание на следующие особенности:
- Где именно находятся точки присутствия провайдера сервиса, совпадают ли они с расположением вашего оборудования и ваших клиентов
- Насколько давно и профессионально компания занимается защитой от DDoS и специализируется ли она на этих сервисах
- Как организована техническая поддержка провайдера. Для обеспечения высокой доступности вашего ресурса, она должна работать круглосуточно и без выходных, оперативно реагируя на атаки
- Запросите у провайдера перечень знаковых клиентов. Их количество косвенно свидетельствует о реальном уровне качества его сервисов
- Перед приобретением рекомендуем протестировать сервис в течение некоторого периода и проверить на практике, как работает защита и насколько оперативно откликается поддержка
- Выясните, не предусмотрены ли у провайдера дополнительные платежи за объем атаки или количество атак. Ни в коем случае не соглашайтесь с такими платежами, поскольку от вас никак не зависит, кто, как и в каком объеме будет вас атаковать.
Что нужно знать покупателям, как не оказаться в сложной ситуации по вине интернет-магазина?
К сожалению, покупатель мало что может сделать сам, поэтому мы можем только посоветовать приобретать товары в надежных крупных интернет-магазинах, и то это, к сожалению, не дает никаких гарантий.
- Китайский смартфон выдержал испытание кипящим супом - 19/04/2024 12:51
- Анонсирован сиквел Kingdom Come: Deliverance про темную Европу - 18/04/2024 22:23
- Nothing представила инновационные наушники Ear и Ear (a) с интеграцией ChatGPT - 18/04/2024 19:44
