تهدیدات سایبری که در کمین فروشگاه‌های اینترنتی هستند

یکی از مهمترین نیازهای فروشگاه‌های آنلاین و صنعت فروش اینترنتی، امنیت سایبری است. فروشگاه‌ها (به ویژه فروشگاه‌های کوچک) معمولاً توجه چندانی به اصول امنیتی و راهکارهای حفاظتی برای مقابله با مجرمان سایبری ندارند. به همین خاطر این فروشگاه‌ها و مشتریان آنها به راحتی مورد سوءاستفاده هکرها و نفوذگران فرصت‌طلب قرار می‌گیرند.

بر اساس گزارش‌های ارایه شده، هر کسب‌وکار اینترنتی حداقل یکبار قربانی کلاهبرداری‌های مربوط به سوءاستفاده از کارت‌های بانکی افراد یا فیش‌های پرداخت جعلی می‌شود. این کلاهبرداری‌ها در رویدادهای مهمی مثل جمعه سیاه و دوشنبه سایبری افزایش زیادی یافته و نه تنها پیامدهای اقتصادی خاص خود را به دنبال دارند بلکه به اعتبار برندها هم لطمات بسیار زیادی را وارد می‌کنند.

مهمترین تهدیدات سایبری امنیت فروشگاه‌های اینترنتی

حملات فیشینگ، کلاهبرداری از طریق کارت بانکی و حملات محروم‌سازی از سرویس توزیع شده (DDoS) از جمله تهدیدات سایبری مهم برای کسب‌وکارهای اینترنتی محسوب می‌شوند. کاربران باید از اطلاعات حساس‌شان مانند اطلاعات ورود به حساب کاربری و اطلاعات کارت بانکی خود مراقبت کنند. افراد معمولاً زمانی که قصد انجام خرید اینترنتی دارند، دقت لازم را نداشته و همه اطلاعات‌شان مثل شماره کارت، تاریخ انقضا و حتی کلمه عبورشان را در وب‌سایت هر فروشگاهی وارد می‌کنند!

بعضی از مهمترین مخاطرات امنیتی که فروشگاه‌های اینترنتی به شدت با آنها مواجه هستند، عبارتند از:

• حمله فیشینگ: در حملات فیشینگ، اطلاعات کاربران مثل شماره کارت بانکی و اطلاعات ورود به حساب کاربری آنها مورد هدف قرار می‌گیرد. در این حملات مهاجم با استفاده از فنون مهندسی اجتماعی، نقش یک شخص یا نهاد معتبر و قابل اعتماد را برای کاربران بازی کرده و سعی در فریب قربانی دارد تا یک ایمیل یا فایل مخرب را باز کرده یا بر روی یک لینک جعلی در پیامک ارسالی کلیک کند (حمله اسمیشینگ).

• کلاهبرداری از طریق کارت‌های بانکی: هر وب‌سایت فروشگاهی از بخش‌های متعددی تشکیل شده است. هکرها می‌توانند با نفوذ به این بخش‌ها اطلاعات کارت بانکی و سایر اطلاعات مشتریان را جمع‌آوری نموده و آنها را در وب تاریک بفروشند. خریدار نیز اطلاعات ارزشمند مدنظر خود را از دل این داده‌ها استخراج کرده و از آنها برای اجرای تراکنش، برداشت غیرمجاز وجه و سایر اقدام‌های مخرب استفاده می‌کند.

• تزریق اسکریپت بین درگاهی (XSS): در این حمله، مهاجمان می‌توانند به اطلاعات ذخیره شده بر روی رایانه قربانی دسترسی پیدا کنند. مهاجم، ابتدا یک کد جاوا اسکریپت را به گونه‌ای در صفحه وب آسیب‌پذیر درج می‌کند که از نظر مرورگر مثل یک کد عادی در نظر گرفته شده و به روش معمول اجرا می‌شود. اجرای این حملات امکان نصب بدافزار یا انجام حمله فیشینگ را بر روی وب‌سایت‌های آسیب‌پذیر فراهم می‌کند.

• تزریق کد SQL: هر وب‌سایتی که از پایگاه داده SQL استفاده می‌کند (از جمله پلتفرم‌های محبوبی مثل مجنتو[1]) می‌تواند در برابر حملات تزریق کد SQL آسیب‌پذیر باشد. هکر در این حمله، کدهای مخرب SQL را که مثل کوئری‌های عادی به نظر می‌رسند در یک پی‌لود درج می‌کند. در صورت دسترسی موفق مهاجم به پایگاه داده، وی می‌تواند برای خود یک حساب کاربری مدیریتی ایجاد کرده و رکوردهای پایگاه داده را حذف یا اطلاعات شخصی کاربران را مشاهده یا استخراج کند.

• حمله محروم‌سازی از سرویس توزیع شده (DDoS): وب‌سایت‌های فروشگاهی مشهور در برابر حملات محروم‌سازی از سرویس توزیع شده نسبت به سایر فروشگاه‌های اینترنتی آسیب‌پذیرتر هستند. البته وب‌سایت‌های کوچکتر هم در صورت حمله به ارایه‌دهنده سرویس DNS خود آسیب‌پذیر خواهند بود. هدف مهاجمان از اجرای چنین حمله‌ای از کار انداختن وب‌سایت‌ها با ارسال درخواست‌های انبوه به سمت سرور وب‌سایت آن فروشگاه است. پس از اجرای این حمله، بار کاری سنگینی بر روی سرورها ایجاد می‌شود. سپس سرعت سرور به صورت قابل ملاحظه‌ای کاهش یافته و در نهایت نیز وب‌سایت مربوطه از دسترس کاربران خارج می‌شود. در نتیجه افراد دیگر امکان دسترسی به وب سایت آن فروشگاه را نخواهند داشت.
• ربات‌های مخرب: ربات‌ها در کل اینترنت به وفور مشاهده می‌شوند. آنها را می‌توان به دو گروه خوب و بد دسته‌بندی کرد. ربات‌های خوب توسط موتورهای جستجو و برای ایندکس کردن و خزش سایت‌ها استفاده می‌شوند تا بهترین نتایج را برای جستجوهای کاربران فراهم کنند اما ربات‌های بد، اطلاعاتی مثل اطلاعات کاربران را از وب‌سایت‌ها جمع‌آوری می‌کنند. بر اساس تحقیقات جدید، حدود 90 درصد از وب‌سایت‌ها مورد هدف ربات‌های بد قرار گرفته‌اند. همچنین ربات‌های بد و ربات‌های خوب به ترتیب حدود 15 و 9 درصد از حجم ترافیک وب‌سایت فروشگاه‌های آنلاین را به خود اختصاص می‌دهند. امروزه خطر ربات‌های بد برای برنامه‌های کاربردی و وب‌سایت‌های فعال در حوزه تجارت الکترونیک، مخاطره‌ای بسیار مهم و جدی است.

راهکار پیشنهادی حفاظتی

مالکان فروشگاه‌های اینترنتی می‌توانند با اجرای راهکارهای امنیتی و به کارگیری تدابیر حفاظتی، خطر کلاهبرداری و سرقت اطلاعات کاربران را به حداقل سطح ممکن رسانده و اعتماد مشتریان خود را حفظ کنند. آنها همچنین می‌توانند با انجام تست‌های امنیتی مخصوص (آزمون نفوذپذیری) بر روی وب‌سایت‌هایشان و برطرف‌سازی آسیب‌پذیری‌های امنیتی شناسایی شده، ضمن کاهش مخاطرات خود یک سپر امنیتی مقاوم را برای وب‌سایت‌شان ایجاد کنند.

کارشناسان امنیتی همواره توصیه می‌کنند پیش از آنکه مورد هدف حملات مهاجمان قرار گیرید، اقدامات امنیتی مناسب را طراحی و اجرا کنید.

[1] پلتفرم تجارت الکترونیک

منبع: testingxperts