Pada artikel ini kita akan berbicara tentang keamanan ritel. Kami terutama akan fokus pada toko online, pembelian yang sudah lama lumrah, tetapi kami juga akan sedikit memperhatikan toko offline.

Kami melakukan survei terhadap perwakilan dari sektor ritel dan menemukan ancaman keamanan mana yang mereka anggap paling serius dan dari serangan mana kita harus mengharapkan kerugian terbesar.

Hasil survei menunjukkan bahwa kekhawatiran terbesar adalah kebocoran data pribadi pelanggan. Dan ada banyak alasan untuk ini. Undang-undang Rusia berubah menjadi tanggung jawab yang lebih keras di bidang ini. Tetapi tidak berarti selalu penyerang tertarik pada data pribadi seperti nama, alamat rumah dan kata sandi hash dari akun. Jauh lebih menarik adalah data kartu bank yang dapat dimasukkan ke dalam bisnis tanpa meninggalkan meja kas.

Toko online tidak hanya menjadi sumber informasi kartu bank pelanggan, tetapi juga tempat di mana data yang dibeli di pasar gelap dapat digunakan oleh scammer untuk melakukan pembelian. Kemungkinan besar, ini tidak akan menyebabkan kerugian finansial, tetapi akan sulit untuk menghindari reputasi. Oleh karena itu, beberapa situs menolak untuk bekerja di negara-negara di mana kejahatan dunia maya berkembang.

Mungkin juga ada kebocoran data terkait dengan keuangan dan informasi rahasia lainnya tentang kegiatan toko. Dalam hal ini, konsekuensi dari kebocoran dan besarnya kerugian tergantung pada siapa yang mendapatkan akses ke data dan bagaimana data itu akan digunakan.

Ada beberapa jenis serangan, terutama berbahaya untuk toko online. Semua responden takut akan kemungkinan akses tidak sah ke akun pengguna dan karyawan. Lebih mengerikan dari ini hanya akses tidak sah ke panel admin. Melalui akun ini, Anda dapat mengakses database, mengelola harga, promosi, dll. Tidak sulit membayangkan konsekuensi dari skenario seperti itu.

Perangkat lunak yang digunakan di toko online penuh dengan kerentanan, seperti yang lain, itu juga menimbulkan kekhawatiran pengecer. Suntikan SQL ke dalam basis data, kemungkinan serangan XSS dan CSRF di situs dan kerentanan berbahaya lainnya dapat digunakan untuk menyusup ke jaringan perusahaan dan mencuri data. Bukan tanpa alasan menyebabkan kekhawatiran tentang tingkat keamanan server cloud yang digunakan. Berikut adalah beberapa contoh kerentanan server Amazon. Penggunaan solusi cloud itu sendiri berarti kepercayaan penuh pada pihak ketiga.

Paling tidak dari semua pengecer takut kehilangan reputasi dari aksi komik peretas, seperti memposting gambar lucu di situs.

Sebagian besar pengecer tidak takut dengan serangan DDoS. Namun, sebuah studi oleh Digital Security menunjukkan bahwa tidak semua perlindungan DDoS efektif.

Bahaya terpisah adalah promosi. Karena mereka "sementara", mereka tidak menerima perhatian yang cukup. Logika pekerjaan mereka tidak diuji, dan Anda dapat menemukan cara untuk memanipulasinya. Situasi serupa dengan kartu bonus: menggunakan kesalahan dalam kode, Anda dapat meningkatkan saldo bonus hingga tak terbatas.

Sekarang kami memberikan contoh kasus eksploitasi kerentanan di toko online.

Misalnya , di situs web toko online Magneto , pratinjau video diunduh melalui permintaan POST dengan URL gambar itu sendiri. Permintaan ini dapat diubah oleh penyerang ke permintaan GET, di mana alih-alih URL, ada kode jahat apa pun yang berjalan di situs web toko online.

Seorang peneliti di Digital Security menemukan kerentanan yang memungkinkan Anda untuk menghasilkan jumlah poin tak terbatas yang dapat dibayar hingga 100% dari harga pembelian. Ini dimungkinkan karena kesalahan pemrosesan informasi yang diterima oleh server, dan untuk mengeksploitasi kerentanan ini Anda tidak memerlukan keahlian khusus.

Baru-baru ini, sumber perangkat lunak Aeroflot bocor. Di antara mereka, Anda dapat menemukan potongan-potongan kode yang bertanggung jawab untuk pemberian sertifikat dan pemberian bonus, dan, tentu saja, gunakan ini untuk keuntungan Anda.

Anda dapat memanipulasi tidak hanya uang virtual, tetapi juga harga barang. Beli smartphone dengan harga pena? Ini dimungkinkan jika nilai harga disimpan di tempat yang mudah diakses dan diubah. Misalnya , Anda dapat mengubah harga langganan dengan mengirim permintaan HTTP palsu.

Salah satu perwakilan ritel memberi tahu kami tentang bagaimana kampanye diadakan di rantai tokonya di mana pelanggan menerima diskon yang sama dengan suhu di luar jendela. Semuanya akan baik-baik saja, tetapi Rusia adalah negara besar, dan ketika di St. Petersburg hanya +10, di Krasnodar itu +35. Inilah yang digunakan pembeli ketika memesan barang dengan pengiriman gratis dari kota-kota selatan. Dalam situasi ini, bahkan "melanggar" tidak harus. Aturan promosi yang salah dipahami jelas. Itu cukup untuk membatasi ruang lingkup pengiriman atau bahkan membuat pengiriman tidak dapat diakses saat menggunakan promosi ini.

Semua orang tahu promosi "beli dua barang dan dapatkan gratis ketiga". Dapat dipahami bahwa produk termurah yang dipesan akan gratis. Namun, sebagai akibat dari manipulasi tertentu, pembeli dari satu toko online dapat membeli tiga pena dan tiga smartphone, hanya membayar untuk pena dan satu smartphone.

Titik lemah lainnya adalah karyawan perusahaan. Mereka mungkin menyalahgunakan kekuasaan mereka atau menemukan cara untuk mendapatkan akses ke basis data pengguna, informasi orang dalam yang merupakan rahasia dagang, dll. Karyawan adalah salah satu sumber data yang masuk ke pasar gelap.

Pedagang adalah risiko keamanan utama di toko offline, karena mereka sering menjadi objek rekayasa sosial. Mereka lupa kata sandi dengan kata sandi dari akun pada monitor di lantai perdagangan dan tidak keluar dari akun, membiarkan layar tidak terkunci.

Apa yang harus dilakukan

Ada banyak langkah-langkah keamanan yang dapat membantu mencegah situasi yang dijelaskan di atas, atau setidaknya mengurangi kerusakan dari tindakan penyerang. Di antara mereka ada baiknya disorot:

• pengujian semua komponen situs web toko online;
• melakukan audit keamanan rutin;
• pemantauan aktivitas situs yang berkelanjutan;
• penggunaan alat teknis seperti WAF dan perlindungan terhadap serangan DDoS;
• penggunaan prinsip hak minimum untuk pengguna (ini termasuk pembeli, dan karyawan toko online, dan administrator);
• memfilter informasi yang dimasukkan oleh pengguna dalam bentuk;
• otentikasi dua faktor pelanggan di pintu masuk ke akun pribadi Anda;
• melatih karyawan toko online dan offline tentang cara menghadapi rekayasa sosial.