IT-attacken mot Coop gjorde att problemen med cyberhot kom upp på handelns agenda på ett helt nytt sätt.
Men säkerhetshot har alltid funnits och drabbat inte minst e-handeln.
Nu är situationen allvarlig och vi ser att onlinehandeln har drabbats av stora ökningar av attacker. Handeln är helt enkelt en riktigt utsatt bransch. Det är dags att levla upp och inse att cybersäkerhet blivit kärnkompetens. Att inte göra något kan leda till skador på både företaget och kunderna.
Konsekvenserna av att drabbas av hackare
För en hackare är e-handeln väldigt lockande. Ett framgångsrikt intrång ger ju tillgång till känsliga data, såsom personuppgifter, e-postadresser och inte minst kreditkortsnummer.
Många välkända varumärken har drabbats av intrång. Men det är inte bara de större e-handelsföretagen som blir attackerade. Eftersom dessa ofta redan investerat i sin säkerhet så är det för många cyberbrottslingar enklare att attackera små eller medelstora e-handelsföretag. Dessa har oftare luckor i säkerheten, helt enkelt.
Följden av sådana attacker är att företagen förlorar kunder, att de bötfälls och att affärerna kan hindras i dagar eller veckor.
Kundtapp
En av de största och mest långvariga följderna av en hackerattack är att e-handelsföretaget riskerar att förlora kunder. Det handlar om en förlust av förtroende, inte minst om sådant som kreditkortsnummer stulits. Utmaningen är att förtroende är svårare att bygga upp än att rasera. När väl en kund förlorat förtroendet är det svårt att få dem att köpa något, och detta håller i sig under lång tid.
Böter
De finansiella effekterna stannar inte vid tappade kunder, utan dessutom finns det risk för böter. Det här beror på att lagar och regler numera ställer krav på att e-handeln ska ha tillräcklig säkerhet för att kunna skydda kunddata. En annan aspekt är olika kontrakt som företaget har, där till exempel försäkringspremien skulle kunna påverkas av tidigare intrång. Kreditkortsföretagen kan också ha invändningar.
Påverkan på verksamheten
Ett intrång kan också innebära ett avbrott i verksamheten och göra att kunderna inte kommer åt webbplatsen. Eller så ser hackare till att skicka vidare besökarna till en helt annan sajt, eller så publicerar de farlig kod på företagets sida. I värsta fall kan de stänga ner hela webbplatsen.
En del attacker sker mot alla slags hemsidor, men en del är också specifika för e-handeln. Det här är de vanligaste problemen, och hur man skyddar sig mot dem:
1. Bot-attacker
Ibland används botar för att snabbt utnyttja en sårbarhet , genom att ge tillgång till systemet. Det går också att använda botar för att starta överbelastningsattacker (DDoS). Det finns flera metoder för att förhindra detta, eller åtminstone göra det svårare. En metod är att övervaka webbtrafiken, både mängden och var den kommer från. En plötslig trafikökning från en särskild plats kan tyda på en attack. Att övervaka misslyckade inloggningsförsök är också viktigt, eftersom en ökning av dessa också är ett tecken på intrångsförsök. Att skydda webbexponerade API:er och mobilappar är särskilt viktigt, eftersom dessa ofta drar till sig attacker.
Det finns också plattformar som letar efter tecken på bot-attacker och automatiskt skickar vidare bot-trafik. Dessa verktyg är dock för dyra för många mindre och medelstora företag. Sedan går det också att använda inloggning utan lösenord, eftersom detta åtminstone gör det omöjligt för botar att använda användaruppgifter för att komma in i systemen.
2. Falska inloggningar
Credential stuffing är en metod där angripare använder användarnamn och lösenord som vid något tillfälle läckt ut på nätet och chansar på att dessa använts på andra webbplatser också. Det här visar på vad som är ett av problemen med lösenord. Lösenorden används för 81% av alla intrång. Metoden ökar dessutom, vilket beror på att den fungerar så bra. Den låter hackare få tillgång till användarkonton utan att behöva använda några avancerade metoder.
Problemet kan förstås undvikas genom att sluta använda lösenord som inloggningsmetod. Även de mest komplicerade lösenorden kan stjälas. Inte ens Multi-Factor Authentication (MFA), där man använder flera inloggningsmetoder parallellt, är tillräckligt för att stoppa dessa intrång. Åtminstone inte så länge man använder MFA med lösenord och en annan metod som inte är intrångssäker, som SMS eller engångskoder.
Dessutom är det bra att hålla reda på misslyckade inloggningar. En ökning av dessa kan betyda att någon försöker en mängd olika inloggningsuppgifter, för att se om någon fungerar.
3. Phishing
Det är också vanligt att använda phishingmejl, som alltså låtsas komma från en legitim avsändare – i det här fallet ett e-handelsföretag. När kunden klickar på länken i mejlet kan de exempelvis luras att ge ut personlig information. Detta är inte något som är enkelt att styra över för retailföretagen, men man kan åtminstone försöka utbilda användarna genom att be dem att inte ge ut känsliga uppgifter och undersöka länkar innan de klickar på dem. Det är också möjligt att använda en riskbaserad metod för inloggning. En sådan fungerar genom att öka kraven på inloggningen i de fall systemet bedömer det vara nödvändigt.
4. Stöld av användaruppgifter
Brottslingar kan använda sårbarheter för att ta över kunders konton. Om användarnamn och lösenord sparats utan kryptering är det betydligt enklare. Dessutom återanvänder alltså användare ofta lösenord vilket gör att de kan stjälas och säljas på dark web. Om detta inträffat går det att logga in på användarkontot, och om de dessutom sedan ändrar e-postadressen så kommer de själva få all korrespondens framöver.
Även i det här fallet går det att ta bort lösenorden och det blir då omöjligt att gissa dem eller använda stulna användaruppgifter. En annan möjlighet är att bevaka om det sker ovanlig aktivitet på något användarkonto. Ett dyrt köp strax efter att ha bytt kontaktuppgifter kan exempelvis sätta igång ett alarm.
5. Attacker med rå kraft
Hackare använder ibland så kallad brute force för att med våld bryta sig in på en e-handelssajt. Om användarnamnet är ”admin” provar de på ett automatiserat sätt olika vanliga lösenord som ”lösenord”, ”abc123” och så vidare. Det som kan avslöja detta är att metoden leder till många misslyckade inloggningsförsök. Precis som med en del av metoderna här ovanför förutsätter de också att inloggningen sker med lösenord.
Ju snabbare sådana här sårbarheter upptäcks desto enklare att fixa dem. Det är en bra idé att stresstesta webbservern, eller varför inte anlita en hackingexpert som testar sajten och kan hitta vanliga sårbarheter. De flesta hot kan undvikas om de identifieras redan under utvecklingen av en e-handelssajt. Det gör att det även är en bra idé att använda säkra tekniker för utvecklingen.
Sedan är förstås det en sak som återkommer om och om igen bland problemen, nämligen hur inloggningen sker. Lösenord är tyvärr en väldigt inarbetad inloggningsmetod, men den är också alldeles för enkel att forcera. Att till exempel använda biometriska metoder i kombination med krypterade certifikat ökar säkerheten betydligt.