Благодаря пандемии рынок электронной коммерции показал небывалый рост. Но с другой стороны, есть и плохие новости – значительный рост мошенничества привел к большим потерям розничных торговцев в интернете. Считается, что сумма их ущерба в текущем году может превысить $20 млрд.
Американские экономисты полагают, что в период новогодних праздников доля электронной коммерции в общем объеме розничных продаж может составить почти 19%. Эти праздники наступят уже совсем скоро. К каким проблемам интернет-магазинам следует готовиться уже сегодня?
В последние годы атаки на стороне клиента, такие как Magecart, онлайн-скимминг или формджекинг, стали серьезной угрозой для операций электронной коммерции. Этот тип атак предполагает внедрение вредоносного кода JavaScript в исходный код или код сторонних сервисов, используемых на легальных веб-сайтах. Это позволяет мошенникам собирать конфиденциальную личную информацию клиента всякий раз, когда он вводит свою информацию в форму. Подобным образом страницы входа можно использовать для получения пользовательских учетных данных.
Такие атаки приводят к значительным потерям со стороны бизнеса в виде сборов за несоблюдение нормативных требований, таких как PCI, GDPR, CCPA, а также репутационных убытков, судебных издержек и т.д.
Захват аккаунта – это кража личных данных, когда злоумышленник получает несанкционированный доступ к чужому аккаунту. Для этого мошенники собирают утекшие в интернете учетные данные и используют автоматизированные веб-браузеры для тестирования их на страницах входа в систему.
Обычно это делается с помощью атак по заполнению учетных данных. В них используются боты для массовых попыток входа в систему с целью проверки действительности украденных имен пользователей и их паролей.
По данным Imperva's Threat Research Labs, интернет-магазины в 2020 году претерпели вдвое больше попыток захватов учетных записей, чем все остальные сектора. В электронной коммерции мошенников привлекают информация о кредитных картах, балансе подарочных карт, баллы лояльности и т.д. Убытки бренда, потеря доходов, возврат платежей и увеличение расходов на поддержку клиентов – неполный список последствий успешной атаки на интернет-магазин для захвата аккаунта.
Кардинг – один из примеров атаки ботов, которая оптимизируется атаками Magecart. Это автоматизированная угроза ботами, которая проявляется в параллельных попытках авторизовать номера украденных кредитных карт на веб-сайтах, где есть формы для оформления заказа. Это делается для того, чтобы определить, какие номера или реквизиты карт могут использоваться для совершения покупок.
Карточные атаки, среди прочего, негативно отражаются на тех компаниях, чьи веб-сайты используются для авторизации украденных кредитных карт. Это результат возвратных платежей – спорных транзакций, при которых продавец отменяет их и возвращает деньги покупателю. Хотя возвраты платежей могут происходить по вполне законным причинам, они очень часто являются результатом кардинга. Они могут привести к формированию негативной истории продавца, а также штрафам из-за возврата платежей.
В октябре 2020 года наблюдался почти девятикратный рост трафика плохих ботов на розничные веб-сайты. Это совпало с запуском новых игровых консолей и графических процессоров, а также с праздничными покупками и продолжалось в течение Черной пятницы.
В конце 2021 года эта ситуация может повториться. Ведь недостаток на рынке микросхем только усугубляется и формирует дефицит такой востребованной электроники, как игровые консоли, графические процессоры, смартфоны и т.д. Такой ситуацией готовы воспользоваться скальперы.
С помощью ботов разной сложности скальперы покупают товары с ограниченным запасом, чтобы затем перепродать их по более высокой цене. Невозможность приобрести товары обычными покупателями приводит к тому, что страдает репутация брендов и розничных продавцов.
Розничные продавцы, не имеющие решения для управления ботами, могут встретиться со снижением производительности, что приведет к замедлению работы и потенциальному простою.
Испорченная репутация бренда, снижение эффективности поисковой оптимизации (SEO) и неудовлетворительные показатели конверсии – лишь некоторые из последствий простоя интернет магазинов. Сегодня потребители не готовы ждать страницы, которые загружаются долго. Средний показатель отказов для страниц, загружаемых в течение 2 секунд составляет 9%, а при 5 секундах он возрастает примерно в четыре раза.
Решение для управления ботами, устраняющее плохой бот-трафик, позволяет не только снизить риск простоя, но и улучшает среднее время загрузки страницы, тем самым снижая показатель отказов.
Одна из особых задач управления ботами – поддержание первоклассного качества клиентского опыта без ущерба безопасности. Исследование, проведенное компанией Forrester по заказу Google, свидетельствует о том, что две главные возможности, которые руководители бизнеса ищут в решениях по управлению ботами, это улучшение безопасности и выявление угроз. А на третьем месте – улучшение клиентского опыта. Существует прямая связь между улучшением клиентского опыта и ростом вашей прибыли. Это означает, что помимо передовых методов выявления и смягчения последствий борьбы с ботами, розничные продавцы должны искать решение, не ухудшающее качество клиентского опыта.
Стек WAAP (Web Application and API Protection) объединяет лучшие в своем классе решения для защиты вашего бизнеса. Двумя его ключевыми компонентами являются Advanced Bot Protection и Client-Side Protection, которые повышают уровень безопасности за счет предотвращения мошенничества.
Advanced Bot Protection снижает бизнес-риски, защищая ваш интернет-магазин от атак плохих ботов. Важно отметить, что это не мешает законным клиентам, сохраняет качество их обслуживания и обеспечивает непрерывность бизнеса. Advanced Bot Protection устраняет все автоматические угрозы OWASP, включая захват учетной записи, веб-скрапинг и онлайн-мошенничество. Благодаря защите веб-сайтов, мобильных приложений и API-интерфейсов Advanced Bot Protection покрывает все ваши точки доступа.
Client-Side Protection снижает риск попадания наиболее конфиденциальных данных ваших клиентов в руки злоумышленников. Он предотвращает мошенничество в цепочке поставок из-за атак на стороне клиента, таких как формджекинг, Magecart и другие атаки онлайн-скимминга. Защита на стороне клиента автоматически сканирует существующие и добавленные службы на вашем сайте, устраняя риск того, что они станут слепым пятном для службы безопасности. Решение позволяет вашей команде безопасности легко определять характер каждой службы и блокировать любые неуместные.
Попробовать бесплатную пробную версию Application Security можно прямо сейчас, или обратитесь к официальному дистрибьютору в Украине, компании Softprom.