Suurimad ohud, mis varitsevad e-poode pühade-eelse ostupalaviku ajal

Musta reedega anti avapauk suurele ostuhooajale e-poodides, kuid samas muutusid koos sellega aktiivsemaks ka kõikvõimalikud küberpetturid. Lisaks ostjatele võivad küberkelmide ohvriks langeda ka e-poed.

Siin on mõned suurimad küberohud, mis võivad e-kaubandust sel aastalõpul ähvardada.

e-skimming ehk krediitkaardiandmete näppamine

Kliendiandmete näppamine vastavale lehele koodi sokutamisega on e-poodniku jaoks raskesti märgatav, sest kõik justkui toimib, andmed tulevad läbi, kliendid saavad ostu tehtud ja kaebusi pole. Kahju sellest näppamisest tekib alles hiljem - kui näpatud andmed käiku lastakse. See võib toimuda hulk aega pärast e-poe kampaania lõppu ja e-poe jaoks tavaliselt ootamatult, sest kliendid võivad hakata pikka aega hiljem süüdistama hoopis e-poodi.

E-skimming töötab kodulehe või makseteenuse pakkuja (või kolmanda-neljanda osapoole teenuse) turvanõrkusi ära kasutades. Selle abil istutatakse vastava teenuse veebiserverisse kood, mis laeb end kasutaja arvutisse näiteks brauseris veebivormidesse andmete sisestamisel ning hakkab klahvivajutusi registreerima.

Olulisim kaitse on oma Javascripti koodi versioonide ja kodulehe turvauuenduste kontrollimine. Kindlasti tasub uurida kõigi kasutatavate lisandmoodulite päritolu ja turvalisust. Wordpressile ja teistele sisuhaldussaitidele tasub paigaldada vastavad usaldusväärsed turvamoodulid, mis küberkaitset pakuvad.

Formjacking ehk veebivormide kaaperdamine

Turundajatele meeldib praegu korraldada palju digikampaaniaid, kus kutsutakse kasutajaid tegevustele - tavaliselt järgneb sellele mõne veebivormi täitmine, et saada soodustust, osaleda loosimises või liituda uudiskirjaga.

Kui kampaania on põhjalikult läbi mõeldud ja paika pandud, järgneb viimane kiire samm - veebivormi tegemine kas mõne juhuslikult leitud tasuta lahendusega või kuskilt saadud tasuta koodiga.

Kui kasutaja on oma andmed veebilehel sisestanud, laeb veebivormi peidetud kahjulik Javascripti kood kõik andmed hoopis kolmandasse kohta, jäädes mõlemale osapoolele nähtamatuks. Kahjulik kood võib tulla uuendamata sisuhaldusega, valesti seadistatud õigustega serveris või kontrollimata taustaga tasuta veebivormi teenust kasutades.

Cross-site scripting ehk skriptisüst

Selle turvaohuga kasutatakse ära e-poe või veebilehe nõrkust, mille puhul ei kontrollita sisestusvälju piisavalt ja ründaja võib selle kaudu serverisse sokutada mõne kahjuliku koodi.

Kaitse sõltub otseselt veebiarendusest ja näeb ette kõigi sisestatud andmete kontrolli, enne kui neid töötlema hakatakse. Kui näiteks andmeväljale peab inimene sisestama e-posti aadressi, peab seal sisalduma kindlasti @ märk ja punkt, aga ei tohi sisalduda näiteks programmeerimiskoodi erisümboleid. Kõik kahtlased koodid peab vastav tarkvarafilter välja praakima.

Tavaliselt ei ohusta see turvaoht nii palju levinud sisuhaldussüsteeme, kus on enamasti vastavad kontrollid kasutusele võetud, kuid võib ette tulla erilahendustega, kus on mõni selline kontroll ära unustatud või kahe silma vahele jäänud.

Click Hijacking ehk klikikaaperdamine

Üks ebameeldivamaid ründeid on klikikaaperdamine ehk mõne veebilehe näitamine kasutajale teiselt sarnaselt veebiaadressilt sellisena, nagu see tegelikult on, aga kaetuna läbipaistva IFRAME´i kihiga, mis kasutaja tegevust salvestab ja andmeid vahelt näppab.

Kõik hiireklõpsud saab sellise IFRAME´iga registreerida, lasta kasutajal pahaaimamatult klõpsata erinevatel linkidel ning justkui õiges veebis ringi liikuda. Sisestatud andmed aga näpatakse vahelt, kuigi edastatakse ka õigele veebilehele.

Kaitse on tehniliselt tehtav erinevate programmijuppidega või kodulehe HTML koodi päistesse lisatud kirjete abiga. Lähema õpetuse leiab siit. Keelata saab kõigi IFRAME´ide kasutamise või lubada ainult oma kodulehel olevaid.

Õngitsuskirjad e-poe nimel

Väga palju on hakanud levima e-kirju, mis imiteerivad panka, kullerteenust või nüüd ka aina enam mõnda tuntud e-poodi, et küsida kasutajatelt isiklikke andmeid tuntud brändi nimel.

Selliste rünnakute eest on e-poel ennast üsna raske kaitsta isegi siis, kui turvalisusega nende enda veebis on kõik kõige paremas korras. Kasutaja võib pärast petta saamist ikkagi seostada pettust selle brändiga, mille nime alt pettus korda saadeti.

Parim kaitse siin on oma kliendi harimine. Aeg-ajalt tasub uudiskirjas või blogis meelde tuletada, et sellised pettused eksisteerivad ning alati tasub soovitada, et kõik hoolega jälgiksid, kuhu oma isikuandmed ja paroolid sisestatakse.

Jaga
Nõuandja