العالمية التجارة الإلكترونية من المتوقع أن تنمو المبيعات بحلول 10.4% في عام 2023 ، بإيرادات متوقعة تزيد عن $6.51 تريليون بحلول نهاية العام.
هذا التوسع في سوق التجارة الإلكترونية مدفوع بالاعتماد السريع لـ online التسوق من قبل العملاء الذين يبحثون عن تجربة تسوق شخصية أكثر - وهو أمر تتمتع التجارة الإلكترونية بمكانة جيدة لتقديمه.
في الواقع ، بحلول نهاية عام 2023 ، من المحتمل أن يكون هناك أكثر من 24 مليون مواقع التجارة الإلكترونية الفردية عبر الويب. في حين أن هذا يعني أن هناك إمكانية كبيرة لتحقيق مكاسب رأسمالية ، فهناك أيضًا العديد من التهديدات التي يمكن أن يواجهها التجار عبر الإنترنت.
تناقش هذه المقالة التهديدات الرئيسية لأمن التجارة الإلكترونية التي تواجه البائعين في عام 2023. ونحن ننظر في الضرر المحتمل الذي يمكن أن يحدث ، والطرق التي يمكن للشركات من خلالها حماية نفسها ضد هذه التهديدات.
هجمات التصيد الاحتيالي
حساب هجمات التصيد الاحتيالي 1 في 5 خروقات البيانات في جميع أنحاء العالم. هم نوع من هندسة اجتماعية التهديد الذي يتضمن رسائل البريد الإلكتروني والرسائل المرسلة إلى الأفراد أو العملاء ، والتي يبدو أنها من مرسل شرعي ولكنها في الواقع من مجرمي الإنترنت.
تهدف هذه الهجمات إلى الحصول على معلومات شخصية حساسة من عملاء وموظفي التجارة الإلكترونية ، وبصفة أساسية تفاصيل بطاقات الائتمان والدفع أو أسماء المستخدمين وكلمات المرور.
لتقليل التعرض ل تهديدات هجوم التصيد، يجب على شركات التجارة الإلكترونية تثقيف موظفيها وعملائها حول التعرف على الأمور وتجنبها التصيد رسائل البريد الإلكتروني والرسائل. وهذا يشمل ميزات مثل المصادقة البريد الإلكتروني، وجلسات تدريبية ، بالإضافة إلى رسائل تذكير بعدم مشاركتها مطلقًا حساس معلومات.
آخر فعال الوقاية الإجراء هو تنفيذ المصادقة متعددة العوامل ، والتي تتطلب من مستخدمي منصة التجارة الإلكترونية تقديم خطوة تحقق ثانية تتجاوز مجرد كلمة مرور. يمكن أن يتضمن ذلك شيئًا يعرفه المستخدم (مثل رقم التعريف الشخصي) ، أو شيئًا يمتلكه المستخدم (مثل رمز الأمان) ، أو شيئًا ما هو المستخدم (مثل معرف المقاييس الحيوية).
يمكن لبرامج مكافحة التصيد أيضًا اكتشاف رسائل البريد الإلكتروني والرسائل المخادعة ومنعها قبل أن تصل إلى أهدافها المقصودة.
الاحتيال في الدفع
الدفع احتيال من المتوقع أن تكلف الأعمال التجارية عبر الإنترنت أكثر من بـ200 مليار دولار في عام 2023. يحدث التهديد عندما يقوم شخص غير مصرح له بإجراء معاملات بمعلومات دفع مسروقة ، عادةً عن طريق تفاصيل بطاقة الائتمان المسروقة أو سرقة الهوية أو تحميل التكاليف الاحتيال.
على عكس هجمات التصيد الاحتيالي ، التي تستهدف عمومًا بنك عميل التجارة الإلكترونية ، تركز تهديدات الاحتيال في الدفع على منصة الدفع.
يعتبر منع الاحتيال في الدفع عملية تقنية وإجرائية عند مقارنتها بالوقاية المستندة إلى التعليم من التصيد الاحتيالي وتهديدات الهندسة الاجتماعية الأخرى.
على وجه الخصوص ، يجب على شركات التجارة الإلكترونية استخدام بوابات دفع آمنة تشفير وحماية بيانات العملاء الحساسة ويجب تنفيذ العمليات التي تحدد معلومات العميل قبل إنهاء أي معاملة. أخيرًا ، يمكن أن يساعد برنامج الكشف عن الاحتيال الذي يمكنه تنبيه الشركات إلى المعاملات الاحتيالية المحتملة الشركات تقليل تعرضهم لتهديدات الاحتيال في الدفع.
تولي حساب الشركات (CATO)
هناك نوع آخر باهظ التكلفة من تهديد الاحتيال الذي يواجه أعمال التجارة الإلكترونية في عام 2023 وهو تهديدات الاستيلاء على حساب الشركات (CATO).
يتضمن هذا النوع من الاحتيال الوصول إلى شركة مالي الحسابات وسرقة الأموال أو الأصول الأخرى. تعتمد هذه الهجمات عادةً على التنازل عن بيانات اعتماد المستخدمين المصرح لهم أو الموظفين واستخدام أوراق الاعتماد هذه للوصول إلى الأنظمة المالية للشركة. التدابير الوقائية هي نفسها التي تمنع هجمات الاحتيال في الدفع.
البرامج الضارة وبرامج الفدية
البرامج الضارة وبرامج الفدية هي أنواع من البرامج الضارة التي تشكل تهديدات كبيرة لأعمال التجارة الإلكترونية. متوسط تكلفة هجوم الفدية أو البرامج الضارة هو 1.85 مليون دولار، مما يجعله تهديدًا كبيرًا للبائعين عبر الإنترنت في جميع أنحاء العالم.
البرمجيات الخبيثة هو أي برنامج مصمم لإلحاق الضرر بأنظمة الكمبيوتر أو استغلالها. في الوقت نفسه ، تعد برامج الفدية مجموعة متنوعة من البرامج الضارة التي تغلق نظام الكمبيوتر وتطلب فدية مقابل إصدار هذا النظام.
يمكن أن تضر البرامج الضارة وبرامج الفدية بأنشطة التجارة الإلكترونية بعدة طرق. يمكنهم السرقة معلومات العميل الحساسة، تتدخل في العمليات التجارية عن طريق تشفير البيانات المهمة أو تجميد أنظمة الكمبيوتر ، وتتسبب في التمويل غير المباشر خسارة بسبب تعطل النظام أو السمعة الضرر.
لمنع هجمات البرامج الضارة وبرامج الفدية ، يجب على شركات التجارة الإلكترونية استخدام ملفات الحماية من الفيروسات البرامج والجدران النارية لحماية أنظمتهم. من الضروري أيضًا أن يحافظ التجار عبر الإنترنت على تحديث برامجهم ، حيث تستغل العديد من الهجمات نقاط الضعف في البرامج القديمة. يجب على الشركات أيضًا تجنب رسائل البريد الإلكتروني والتنزيلات المشبوهة ، حيث يمكن أن تحتوي غالبًا على برامج ضارة أو برامج فدية.
إجراء وقائي فعال آخر هو إجراء نسخ احتياطي منتظم للبيانات والملفات المهمة بحيث في حالة وقوع هجوم ، يمكن للشركة استعادة أنظمتها دون الحاجة إلى دفع فدية. التعليم وتدريب الموظفين على تحديد و التقارير يُوصى أيضًا بالنشاط المشبوه وتنفيذ ضوابط الوصول للحد من تأثير الهجوم.
هجمات البرمجة النصية عبر المواقع (XSS)
مثل البرامج الضارة وبرامج الفدية ، عبر المواقع البرمجة (XSS) تعتمد على البرامج / التطبيقات. إنهم يعملون عن طريق حقن المواد الخبيثة الكود في موقع ويب ، والذي يمكن تنفيذه في متصفح الضحية عند زيارته للصفحة المتأثرة. يسمح هذا للمهاجم بسرقة المعلومات الحساسة ، مثل أسماء المستخدمين وكلمات المرور ، أو التلاعب بمحتوى موقع الويب.
Clickjacking
تعتبر "clickjacking" مجموعة متنوعة شائعة من هجمات XSS ، حيث تخفي الشفرة المحقونة في موقع ويب رابطًا أو زرًا ضارًا بالقرب من التفاعلية عنصر موقع الويب - مثل زر - ينقر عليه مستخدم موقع الويب دون قصد عند التعامل مع المحتوى.
لمنع هجمات XSS ، يمكن لشركات التجارة الإلكترونية التحقق من صحة إدخال المستخدم وتعقيم محتوى موقع الويب وتجنب إدخال الشفرات الضارة. التجارة الإلكترونية يتضمن ذلك تنفيذ عمليات التحقق من صحة الإدخال التي تضمن أن إدخال المستخدم يحتوي فقط على الأحرف المسموح بها وترميز الأحرف الخاصة لمنع تفسيرها على أنها رمز.
يعد استخدام جدران حماية تطبيقات الويب (WAFs) طريقة أخرى للتخفيف من تهديدات XSS. تقوم WAFs بفحص حركة المرور الواردة لهجوم XSS المحدد مسبقًا أنماط وحظرهم قبل وصولهم إلى موقع الويب. بالإضافة إلى ذلك ، يمكن لشركات التجارة الإلكترونية إجراء تقييمات منتظمة للضعف واختبار الاختراق لتحديد وإصلاح أي منها نقاط الضعف في تطبيقات الويب الخاصة بهم.
يعد الحفاظ على تحديث تطبيقات الويب مع تصحيحات الأمان والتحديثات أمرًا حيويًا أيضًا لمنع هجمات XSS. تستغل العديد من الهجمات نقاط الضعف في البرامج القديمة ، لذا فإن مواكبة التحديثات الأمنية يمكن أن تقلل بشكل كبير من مخاطر التعرض للهجوم.
التهديدات الداخلية
التهديدات الداخلية هي نوع من الانترنت التهديد الذي يأتي من داخل منظمة أو أعمال التجارة الإلكترونية.
يمكن أن تكون متعمدة ، حيث يسرق الموظف عمدًا بيانات حساسة أو يتلف أنظمة الكمبيوتر ، أو غير مقصود ، مثل قيام الموظف عن غير قصد بتعريض سري المعلومات (مثل تهديدات التصيد الاحتيالي).
في الواقع ، يشكل الموظفون الساخطون الذين يتركون منظمة طواعية أو غير إرادية واحدة من أهم المخاطر الأمنية لشركات التجارة الإلكترونية ، حيث يمكن لهؤلاء الأفراد سرقة المعلومات الحساسة ومشاركتها عن طريق النكاية.
لذلك ، وجود وصول صارم مراقبة، مما يحد من وصول الموظفين إلى المعلومات والأنظمة ، يعد أمرًا ضروريًا في جميع الإدارات والمستويات داخل أي مؤسسة أو شركة تجارة إلكترونية. يمكن أن يشمل ذلك استخدام ضوابط الوصول القائمة على الأدوار التي تحد من الوصول إلى الموظفين الذين يحتاجون إليها فقط وتنفيذ عاملين المصادقة لمنع الوصول غير المصرح به.
تعد مراقبة نشاط الموظف إجراء وقائي فعال آخر ، حيث يمكن أن يساعد في اكتشاف ومنع النشاط المشبوه قبل أن يصبح مشكلة. قد يشمل ذلك التسجيل شبكة النشاط وسلوك المستخدم ، بالإضافة إلى تنفيذ أدوات معلومات الأمان وإدارة الأحداث (SIEM) التي يمكنها اكتشاف الحالات الشاذة وتنبيه فرق الأمان.
كما هو الحال مع هجمات الهندسة الاجتماعية الأخرى ، يعد تثقيف الموظفين حول معالجة البيانات أمرًا ضروريًا للتخفيف من تعرض أعمال التجارة الإلكترونية للتهديدات الداخلية. يتضمن ذلك تشجيع الموظفين على الإبلاغ عن أي سلوك أو نشاط مشبوه واستخدام أفضل الممارسات المناسبة لحماية كلمات المرور.
هجمات رفض الخدمة الموزعة (DDoS)
تعد تهديدات رفض الخدمة الموزعة (DDoS) نوعًا من هجوم إلكتروني التي تعطل توفر موقع ويب أو خدمة عبر الإنترنت من خلال إغراقها بحركة المرور من مصادر متعددة. إنها منتشرة بشكل لا يصدق ، مع تقرير استقصائي واحد تقريبًا 70% من المؤسسات تتعرض لهجمات DDoS متعددة كل شهر.
يتم إطلاق هجمات DDoS مع شبكات الأجهزة المخترقة ، مثل أجهزة إنترنت الأشياء ، والتي يتم اختراقها والتلاعب بها بواسطة القراصنة. إنها ضارة بشكل خاص بشركات التجارة الإلكترونية ، لأنها تعطل توفر موقع الويب ، مما يؤدي إلى فقدان إيرادات، والأضرار ولاء العميل.
كى تمنع هجمات DDoS، يمكن لشركات التجارة الإلكترونية استخدام شبكة توصيل المحتوى (CDN) لتوزيع حركة مرور موقع الويب عبر عدة خوادم ومراكز بيانات. في حالة حدوث هجوم DDoS ، تساعد شبكة CDN على امتصاص وتوزيع الحجم الكبير من حركة المرور عن طريق إرسالها إلى جهات متعددة معزول المواقع ، وبالتالي منع التحميل الزائد للموقع أو الخدمة.
مراقبة حركة مرور الشبكة هي وسيلة أخرى فعالة الوقاية القياس ، حيث يمكن أن يساعد في اكتشاف هجمات DDoS والتخفيف من حدتها في الوقت الفعلي. تشمل تدابير المراقبة تنفيذ أدوات تحليل حركة المرور التي يمكنها اكتشاف أنماط حركة المرور غير العادية ومنع حركة المرور من المصادر المشبوهة.
يتوفر أيضًا برنامج حماية DDoS لشركات التجارة الإلكترونية التي يمكنها معالجة هجمات DDoS قبل أن تعرض وظائف موقع الويب للخطر. تتضمن هذه الخدمات ميزات مثل تصفية حركة المرور وموازنة التحميل والتلقائية التحجيم ويمكن تخصيصها وفقًا لاحتياجات العمل المحددة.
هجمات الهندسة الاجتماعية
تعتبر هجمات الهندسة الاجتماعية أحد مظلة مصطلح يعرّف أي هجوم إلكتروني يتم تحقيقه من خلال التلاعب بالسلوك البشري للحصول على معلومات حساسة أو الوصول إلى أنظمة الكمبيوتر. وهي تتخذ العديد من الأشكال ، بما في ذلك حيل التصيد ، والخداع ، والطعم ، وهجمات المقايضة ، وتعتمد على ثقة الضحية أو عواطفها لتحقيق النجاح.
نظرًا لأن هذه الهجمات تلعب على الطبيعة البشرية والسلوك البشري ، فإن الحد من تعرض أعمال التجارة الإلكترونية لتهديدات الهندسة الاجتماعية يدور حول تعليم الموظفين والعملاء.
كما هو مذكور في قسم هجوم التصيد أعلاه ، تتضمن هذه الإستراتيجية توفير تدريب داخلي شامل حول كيفية التعرف على رسائل البريد الإلكتروني أو المكالمات الهاتفية المشبوهة والحفاظ على الموظف والمؤسسة. يقظة عدم مشاركة المعلومات الحساسة مطلقًا (ما لم يتمكنوا من التحقق من هوية مقدم الطلب - وهي طريقة فعالة أخرى لتقليل التعرض لهجمات الهندسة الاجتماعية).
تعمل الشركات عبر الإنترنت على تحسين فرصها في إحباط هجوم الهندسة الاجتماعية بشكل كبير عند مطالبة العملاء والموظفين بتقديم معلومات إضافية أو توثيق للتحقق من هويتهم قبل منح الوصول إلى المعلومات أو الأنظمة الحساسة.
الوصول المحدود إلى المعلومات الحساسة هو إجراء وقائي فعال آخر. عن طريق تقييد الوصول إلى طبقات داخلي البيانات على أساس الحاجة إلى المعرفة ، يمكن لشركات التجارة الإلكترونية تقليل مخاطر هجمات الهندسة الاجتماعية عن طريق تقليل عدد الموظفين الذين لديهم إمكانية الوصول إلى المعلومات الحساسة.
الوجبات السريعة
في عام 2023 ، يجب أن تبحث شركات التجارة الإلكترونية عن العديد حاسم التهديدات ، بما في ذلك تهديدات الهندسة الاجتماعية والاحتيال وتهديدات البرامج / التطبيقات.
مع استمرار نمو استخدام التسوق عبر الإنترنت والمدفوعات الرقمية ، مجرمو الإنترنت وأصبحت مهاراتهم أكثر تعقيدًا في استغلال نقاط الضعف في الأنظمة الرقمية.
من الضروري للشركات إعطاء الأولوية لأمن التجارة الإلكترونية لحماية عملائها المعلومات الشخصية والمالية والحفاظ عليها سمعة. السيناريو البديل؟ ستؤدي الانتهاكات الأمنية حتمًا إلى إلحاق ضرر مالي كبير بالسمعة ، مما يؤدي بشكل مباشر إلى فقدان العملاء و إيرادات.
من خلال التعرف على أنواع التهديدات وكيفية حماية أعمالهم منها ، يمكن لشركات التجارة الإلكترونية تقليل تعرضها و مخاطر أكبر الوقوع ضحية لهجمات الأمن السيبراني في عام 2023.
كاتب السيرة الذاتية
إيرينا مالتسيفا هي رائدة النمو في هالة ومؤسس في أنساس. على مدار السنوات السبع الماضية ، كانت تساعد شركات SaaS على زيادة إيراداتها من خلال التسويق الداخلي. في شركتها السابقة ، هانتر ، ساعدت إيرينا المسوقين في 3M على بناء علاقات عمل مهمة. الآن ، في Aura ، تعمل إيرينا على مهمتها لإنشاء إنترنت أكثر أمانًا للجميع. للتواصل ، اتبعها لينكدين:.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://blog.2checkout.com/ecommerce-security-threats-and-how-to-protect-your-business/
