2 Website-Bedrohungen z. Hd. den Weihnachtseinkaufsrausch

Jedes Jahr lauschen wir davon, wie die Weihnachtseinkäufe nicht mehr da bisherigen Rekorde kleinkriegen werden. Jüngsten Statistik dieser Patriotisch Retail Federation zufolge wird 2021 nicht differenzierend sein, womit dieser Umsatzvolumen in den USA schätzungsweise um 10 % droben den Zahlen des Vorjahres steigen wird und 859 Milliarden US-Dollar klappen wird, ohne Autohändler, Tankstellen und Restaurants. Dies ist wie am Schnürchen zu weit, qua dass Cyberkriminelle sie ignorieren könnten.

Während Krämer Monate damit verbracht nach sich ziehen, ihre Logistikketten vorzubereiten und ihre Regale zu füllen, um solche wachsende Nachfrage zu decken, kann ich nicht umhin zu fragen: Welches nach sich ziehen sie getan, um ihre Cybersicherheitsposition zu stärken?

Um solche Frage zu beantworten, schauen wir uns zwei dieser effektivsten und am weitesten entfernt verbreiteten Website-Angriffe an, mit denen Cyberkriminelle Elektronischer Geschäftsverkehr-Unternehmen ausrauben:

Angriffe hinaus die Web-Logistische Kette
Wie Folge des SolarWinds-Angriffs gab es vereinigen beispiellosen Vorstoß zur Verbesserung dieser Sicherheit globaler Softwarelieferketten. Ein großer Viehtreiber dieses Vorstoßes war die Durchführungsverordnung des Weißen Hauses vom Mai 2021 zur Verbesserung dieser US-Sicherheitslage. Die Durchführungsverordnung selbst macht merklich, warum dies eine dringende Themenstellung ist. „Zwischen dieser Entwicklungsverlauf kommerzieller Software mangelt es oft an Transparenz, ausreichender Konzentration hinaus die Fähigkeit dieser Software, Angriffen zu widerstehen, und angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern“, heißt es darin.

Elektronischer Geschäftsverkehr-Sites sind namentlich schwächlich z. Hd. Web-Supply-Chain-Angriffe, wie eine nachhaltig Historie von Magecart Web-Skimming-Angriffen belegt, c/o denen Unternehmen wie British Airways, Macy’s, Ticketmaster und Newegg zerschunden wurden. Angreifer nutzen die Gefährdung von Elektronischer Geschäftsverkehr-Sites gegensätzlich Drittanbietern aus; im Durchschnitt betreibt jede Site 35 Dienste, die von Dritten bereitgestellt werden. Dies sind so gut wie drei zwölf Schwachstellen, die gehärtet werden zu tun sein.

Durch die Verletzung eines dieser Drittanbieter und dasjenige Einschmuggeln einer bösartigen Nutzlast in vereinigen ihrer Dienste (konzeptionell verwandt wie SolarWinds) können Angreifer Tausende von Websites hinaus einmal durchbrechen. Selbige Angriffe können Kreditkartendaten und personenbezogene Statistik preisgeben und bleiben oft monatelang unentdeckt.

Ein Mitteilung von IBM besagt, dass die durchschnittlichen Wert von Datenschutzverletzungen im Einzelhandel einsam im Jahr 2021 um 63 % gestiegen sind, teilweise angeheizt durch die digitale Transformation und Fernarbeit. Die Gesamtheit in allem ein starker Indikator dazu, dass Datenlecks nachher wie vor eines dieser häufigsten Ziele von Angreifern hinaus Elektronischer Geschäftsverkehr-Unternehmen sind.

Kundenentführung
In dieser heutigen rigoros umkämpften Elektronischer Geschäftsverkehr-Landschaft kämpft jeder Krämer erbittert um die Zuwendung und dasjenige Motivation seiner Kunden. Die Aufmerksamkeitsspanne eines Online-Käufers ist kümmerlich, und so nach sich ziehen Krämer Jahre damit verbracht, ihre Webseiten hyperkorrekt zu optimieren, um die Benutzererfahrung zu verbessern und die Konversionsraten zu maximieren.

Selbige sorgfältig optimierten Konversionsflüsse werden jedoch oft durch externe Faktoren instabil. Ein häufiger Überfall hinaus Kundenentführungen erfolgt droben vom Benutzer installierte Browsererweiterungen oder Preisvergleichstools. Selbige zeigen Preisvergleichs-Popups, Gutscheincodes und ähnliche Informationen gerade hinaus dieser Seite an, die dieser Benutzer durchsucht. Durch Anklicken dieser wird dieser Benutzer in dieser Regel hinaus die Website eines Mitbewerbers geleitet und von dieser durchsuchten ursprünglichen Website weggeführt.

Unsrige eigenen internen Untersuchungen zeigen, dass etwa 5 % dieser Benutzersitzungen einer Elektronischer Geschäftsverkehr-Website von dieser Genre von Hijacking betroffen sind. Im Rahmen eines globalen Einzelhändlers kann dies vereinigen Umsatzverlust in Millionenhöhe pro Jahr bedeuten (ein guter Teil davon während dieser Weihnachtsgeschäftssaison). Und wenn wir es im Zusammenhang mit den erwarteten Online-Ausgaben in dieser Weihnachtszeit nehmen, sind dasjenige 42,95 Milliarden US-Dollar hinaus dem Spiel.

Ein weiteres Paradebeispiel z. Hd. die Verschleppung von Kunden betrifft die Kompromittierung einer Website-Komponente (die qua Folge eines Angriffs hinaus die Logistische Kette sichtbar werden kann). Es gab Fälle, in denen eine solche Kompromittierung von Angreifern verwendet wurde, um Benutzern Schadsoftware gerade droben die Elektronischer Geschäftsverkehr-Site bereitzustellen (wie zum Beispiel c/o Equifax und TransUnion im Jahr 2017). Dies stört nicht nur dasjenige Benutzererlebnis vollwertig, sondern beeinträchtigt zweite Geige dasjenige Image und den Ruf dieser Marke.

Schließung dieser Sicherheitslücke
Obwohl die Taktiken, Techniken und Verfahren dieser Angriffe sehr unterschiedlich sind, beruhen jedwederlei hinaus den gleichen klaren Sicherheitslücken: Not an Transparenz und Leistungsnachweis droben dasjenige, welches hinaus dieser Client-Seite passiert (dh die Gesamtheit, welches hinaus dem Browser oder Benutzergerät).

In diesem Moment gibt es wahrscheinlich Tausende von Elektronischer Geschäftsverkehr-Sites, die Statistik in die Hände von Angreifern spendieren und die Benutzererfahrung dieser Käufer stören, ohne sich dieser angegriffenen Unternehmen kognitiv zu sein. Dies liegt daran, dass solche Unternehmen es versäumt nach sich ziehen, droben herkömmliche Sicherheitsansätze (wie die Verwendung einer Webanwendungs-Firewall) hinauszugehen und keine angemessenen Sicherheitskontrollen hinaus dieser Clientseite implementiert nach sich ziehen.

Um solche Visibilität zu erlangen, können Unternehmen vereinigen schnellen und einfachen ersten Schrittgeschwindigkeit unternehmen: Suchen Sie in jeder Benutzersitzung nachher Hinweis z. Hd. böswilliges Verhalten, z . Trotzdem Visibilität ist nur die halbe Mietzins. Unternehmen zu tun sein weitere Schritte unternehmen und Technologien einsetzen, die in dieser Position sind, die Quelle dieses Verhaltens zu blockieren, um Angriffe hinaus die Web-Logistische Kette und die Verschleppung von Kunden wirksam zu verhindern.

In dieser Hektik des Weihnachtseinkaufs, c/o dieser eine Rekordzahl von Menschen prognostiziert wird, die online einkaufen, ist es entscheidend, dass Krämer die richtigen Sicherheitskontrollen importieren. Selbige beiden Angriffsvektoren können und sollten angegangen werden. Geschieht dies nicht, kann dies zu einem rekordverdächtigen Fressrausch z. Hd. Cyber-Angreifer münden.

Welches nach sich ziehen Krämer in Folge dessen unternommen, um mit diesen komplexen Cybersicherheitsbedrohungen umzugehen? Es ist schwergewichtig zu sagen, dagegen wünschen wir, dass die Auskunft nicht “Nicht genug” lautet.