Z bólem serca muszę to powiedzieć, ale cyberbezpieczeństwo ma być jednym z definiujących trendów technologicznych w sprzedaży mody w 2025 r. Wszystko wskazuje na to, że będzie to znaczący trend w przewidywalnej przyszłości. Niestety, nie jesteśmy w stanie zagwarantować całkowitej ochrony. W 2024 r. Cloudflare zablokowało około 21,3 mln ataków DDoS, co stanowi wzrost o 53% w porównaniu z poprzednim rokiem. Czym więc dokładnie są ataki DDoS (Distributed Denial of Service)? Występują, gdy boty atakują sklep internetowy, przeciążając serwer, powodując jego znaczne spowolnienie lub nawet utratę funkcjonalności. Takie ataki mogą być organizowane przez hakerów, konkurencyjne firmy, cyberprzestępców, frakcje polityczne lub aktywistów. Stanowią one jednak tylko jedno z licznych zagrożeń, z jakimi mierzy się handel elektroniczny. W tym artykule przyjrzę się dodatkowym zagrożeniom i z pomocą eksperta ds. cyberbezpieczeństwa postaram się odpowiedzieć na pytanie, jak się przed nimi zabezpieczyć.
Jakie są główne zagrożenia w handlu elektronicznym?
Witryny i aplikacje e-commerce są podatne na różne rodzaje zagrożeń. Mogą one obejmować ataki API, DoS i wyżej wymienione ataki DDoS , boty zbierające dane użytkowników, socjotechnikę skierowaną na pracowników sprzedawców detalicznych, oszustwa finansowe , złośliwe oprogramowanie i wiele innych.
Znaczącym zagrożeniem jest kradzież danych konsumentów . Często donoszą o tym media. Sprzedawcy internetowi gromadzą obszerne informacje, w tym dane osobowe (imię, nazwisko, adres), informacje o płatnościach, adresy e-mail, hasła i inne. Hakerzy wykorzystują różne luki w zabezpieczeniach — błędy kodowania na stronach internetowych, nieprawidłowo skonfigurowane serwery lub przestarzałe oprogramowanie. Co alarmujące, naruszenia często pozostają niezauważone przez dłuższy czas, dając atakującym mnóstwo okazji do gromadzenia danych masowo lub przeprowadzania bardziej wyrafinowanych ataków, takich jak e-skimming .
E-skimming odnosi się do wstrzykiwania złośliwego skryptu na stronę płatności, który aktywuje się, gdy klient wprowadza dane swojej karty, natychmiast wysyłając je do przestępców. Stanowi to znaczne ryzyko w sektorze mody, w którym powszechne są zakupy online. W 2024 r . w dark webie (często odwiedzanym przez przestępców) i na przejrzystych platformach internetowych udostępniono oszałamiającą liczbę 269 milionów rekordów kart kredytowych , co podkreśla rosnącą skalę tego problemu.
Ataki wykorzystujące skradzione dane logowania klientów (np. nazwa użytkownika, hasło) stanowią poważne ryzyko. Według raportu Verizon Data Breach Investigations Report 2024 takie ataki odpowiadają za 38% naruszeń w sklepach internetowych. Przestępcy zdobywają dane logowania klientów na różne sposoby:
- Phishing – wysyłanie oszukańczych wiadomości e-mail lub SMS w celu wyłudzenia haseł.
- Wypełnianie danych uwierzytelniających (Credential Stuffing) – ocena, czy skradzione dane uwierzytelniające są wykorzystywane na innych platformach, szczególnie po naruszeniach bezpieczeństwa danych.
- Złośliwe oprogramowanie i keyloggery – wdrażanie szkodliwego oprogramowania, które przechwytuje wpisywane hasła.
- Ataki siłowe i słownikowe – testowanie popularnych haseł w nadziei na ich prawidłowe odgadnięcie.
Innym zagrożeniem dla właścicieli marek modowych (i innych) jest ransomware i ataki na tzw. infrastrukturę wewnętrzną . Ataki te obejmują infiltrację systemów firmy i szyfrowanie jej danych. Hakerzy zazwyczaj żądają okupu za odszyfrowanie danych i powstrzymanie się od ich publikowania lub sprzedaży. W grudniu 2023 r. VF Corporation (właściciel takich marek jak Timberland, North Face i Vans) padła ofiarą takiego ataku, ujawniając dane 35,5 mln klientów.
Rozpatrując kwestie bezpieczeństwa sieci, należy wziąć pod uwagę czynnik ludzki. Nie tylko klienci, ale także pracownicy marki mogą stać się ofiarami phishingu lub, w gorszych sytuacjach, mogą celowo działać na szkodę firmy. W 2010 r. były administrator Gucci pozostawił tylne drzwi w systemie, a po zwolnieniu uzyskał dostęp do sieci marki, usunął kilka serwerów wirtualnych i wyczyścił dyski zawierające konta e-mail pracowników. Został zatrzymany i skazany na 15 lat więzienia.
Jakie inne przypadki ataków hakerskich na marki odzieżowe są znane?
Na przestrzeni lat liczne ataki były skierowane na e-commerce, w tym na marki modowe. Miało to wpływ (i będzie miało wpływ) zarówno na duże, dobrze prosperujące marki, jak i na mniejsze, niszowe. Przypadki, które tutaj podkreślę, należą do najbardziej znanych z ostatnich lat, ale istnieje ich znacznie więcej, w tym te, które mogą nie być udokumentowane online.
- W 2023 r. Forever 21 (ten sam podmiot, który niedawno ogłosił upadłość) doświadczył naruszenia. Między 5 stycznia a 21 marca 2023 r. naruszono dane osobowe 539 000 obecnych i byłych pracowników. Szczegóły incydentu pozostają niejasne, ale skłoniły markę do wdrożenia środków naprawczych. Nie jest również pewne, czy zażądano okupu od firmy, ale incydent został zgłoszony władzom.
- Chociaż opinia publiczna nie dowiedziała się o tym aż do czerwca 2024 r., w listopadzie 2023 r. luksusowa marka Zadig & Voltaire z Paryża padła ofiarą ataku. Ujawniono prawie 639 000 rekordów klientów, w tym nazwiska, numery telefonów, adresy wysyłkowe, daty urodzenia, płeć i 587 000 unikalnych adresów e-mail. Cyberprzestępca znany jako „Tanaka” zaoferował sprzedaż tych danych na forum hakerskim. Szczegóły ataku pozostają nieznane.
- W I-II kw. 2024 r.
Źródło
