E-Ticarette (çevrimiçi mağaza )Siber Güvenlik

Web ölçeği , e-ticaretin önümüzdeki 3 yıl içinde siber güvenliğe %20 daha fazla harcaması gerekeceğini Tahmin ediyor. Bu güven, çevrimiçi mağazalardaki yani online dükkanlarınızın yeni siber tehditlerle ilgili hayal kırıklığı yaratan istatistiklere dayanmaktadır. COVID’nin neden olduğu yeni uzaktan iş standardı, e-ticaret etkinliğini büyük ölçüde artırdı. Sonuç olarak, siber suçlular hem çevrimiçi mağazalara hem de ziyaretçilerine daha yoğun bir şekilde saldırmak için başka bir teşvik aldı.

Bir yandan, e-satıcılar, diğer çevrimiçi girişimcilerle rekabet edebilmek için çevrimiçi mağaza faaliyetlerini genişletmek zorundadır. Öte yandan, artan siber terörizm tehdidi, çevrimiçi mağaza sahiplerinin yeni  yeni e ticaret projeleri başlatmadan önce iki kez düşünmesini sağlıyor . Henüz hackleme için her derde deva olmadığından, soruna tek doğru yaklaşım, olası tehditlere zamanında ve etkili bir şekilde karşı koymak için siber güvenlik okuryazarlığını sürekli olarak artırmaktır.

Siber Tehditleri Mümkün Kılan Nedir?

Dolandırıcılık ekonomisinin patlama yapmasının tek nedeni virüsler, fidye yazılımları ve diğer bilgisayar korsanlığı araçları değildir. Hem çevrimiçi mağaza sahipleri hem de kullanıcılar tarafından saldırılarında bilgisayar korsanlarına yardımcı olmak için yanlış davranışların görülmesi nadir değildir. Siber güvenlik ihmalinin en tipik belirtileri şunlardır:

• Lisanslı yazılım ve antivirüs eksikliği.
• Yok Sayılan Güncellemeler: Güvenlik açıklarını gidermek için yazılım satıcıları tarafından düzenli olarak yayınlanan yamalar kullanılmalıdır.

• Korsan donanım ve yazılım ürünlerinin kullanımı.
• Siber suç yöntemlerinin cehaleti: kimlik avı, sosyal mühendislik vb.
• Şifreleri, kullanıcı adlarını ve diğer kişisel verileri, bilgisayar korsanları tarafından kolayca ele geçirilebilecekleri sosyal ağlar aracılığıyla paylaşmak.
• Bir profili hacklerken farklı çevrimiçi hesaplar için aynı şifreyi kullanmak, diğerlerine erişim sağlar.
• Zayıf güvenlik açığı izleme ile birlikte çok az sistem denetimi veya hiç yok.

Tamamen gelir getirici faaliyetlerle meşgul olan birçok çevrimiçi tüccar, çalışanlarını gözden kaçırma eğilimindedir. Yetersiz eğitim almış bir ekip üyesi bile tüm işletmeyi tehlikeye atabilir. Ek olarak, iş verilerine erişim, düşük sosyoekonomik statüdeki insanlar için çok cazip görünebilir. Benzer bir şey , bir çalışanın şirketin sunucusuna erişim sağlayarak kurumsal geliri çalmaya çalıştığı bir New York şirketinde oldu. Anlaşıldığı üzere, şirket sızma testlerini görmezden geldi.

Güvenlik uzmanları, e-ticaret projenizi siber saldırılardan korumanın en iyi yolunun onları önlemek olduğunu sık sık tekrarlar. Pek çok saldırının izini sürmek zor olsa da, aşağıdaki işaretler birinin sitenizi ele geçirmeye çalıştığını anlamanıza yardımcı olabilir:

• IP adresi normalden daha fazla istek üretir.
• Her saniye birisinin sitenizden yeni sayfalar indirdiğini görmek teknik olarak mümkündür.
• Zaman zaman sunucunuz çöküyor.
• Sunucunuz, isteğe yanıt olarak bir hata veriyor.

E-ticaret tüccarlarının siber güvenlikle ilgili basit bir şeyi hatırlamaları gerekir: Web sitelerine, sunucularına ve ağlarına dikkat etmeyenler, sonunda saldırıya uğramaya mahkumdur.

siber suç türleri

Siber saldırıların çeşitliliği her geçen gün artıyor çünkü teknolojik ilerleme durmuyor. Aynı zamanda, bilgisayar korsanları genellikle yeni şeyler denemek konusunda isteksiz olan kişilerdir. Kurbanlarının daha da isteksiz ve siber güvenlik konularından habersiz olacaklarını umarak iyi test edilmiş yöntemleri kullanmayı tercih ediyorlar. Bu nedenle, en popüler siber saldırı türleri hakkında bilgi sahibi olmaya değer.

1. Dağıtılmış hizmet reddi (DDoS) saldırısı

Bu saldırı, büyük miktarda gelen istekle sistemi çökertmeyi amaçlar. Siber suçlular sisteme o kadar çok istek gönderir ki, sıradan kullanıcılar bu kadar beyaz gürültünün üstesinden gelemezler.

Amazon, bilgisayar korsanlarının saniyede 2,3 terabaytlık sel trafiğiyle platforma saldırdığı Şubat 2020’de sadece DDoS’tan zarar gördü. Amazon’un saldırıyla başa çıkması yaklaşık 3 gün sürdü.

Aşağıdaki öneriler, e-ticaret projenizi DDoS saldırılarından korumanıza yardımcı olabilir:

• Sunucu donanımınızı düzenli olarak güncelleyin.
• Veritabanınıza bağlantı sayısını en üst düzeye çıkarın.
• Sunucunuzun yoğun trafiği yönetmesini sağlamak için NGINX gibi açık kaynaklı bir proxy yöneticisi kurun.
• Ana arayüz aşırı yüklendiğinde kullanılabilecek ek bir arayüz kurun.
• Yalnızca lisanslı yazılımları kullanarak güncellemeleri ve yamaları asla göz ardı etmeyin.

• Yaklaşan bir DDoS saldırısını tanımak için trafik analitiğini kullanın.
• Yalnızca yöneticilerin erişebilmesi için ağ sunucularınızı bir güvenlik duvarı ile koruyun.

2. çevrimiçi mağaza Kimlik avı

Bu, bilgisayar korsanlarının meşru e-ticaret varlıkları gibi davrandığı bir sosyal mühendislik tekniğidir. Gizli bilgilere erişmek için potansiyel kurbanların gözüne girmeye çalışıyorlar. Siber suçlular genellikle önceden kimlik avı kampanyaları hazırlarlar: bir şirket seçerler, sosyal ağlarda şirket çalışanlarını belirlerler, faaliyetlerini takip ederler, şirketin hangi projeler üzerinde çalıştığını öğrenirler, vb.

Bundan sonra, bilgisayar korsanları, seçilen şirketin genellikle gönderdiğinden neredeyse ayırt edilemeyen, son derece kişiselleştirilmiş e-postalar oluşturur. Kurban ekli dosyayı açar açmaz veya bağlantıyı takip eder etmez, kurbanın bilgisayarında bir virüs belirir. Aşağıdaki senaryolar mümkündür:

• Kimlik avı saldırısı bir rakip tarafından emredilir ve elde edilen bilgiler şirketin itibarını zedelemek için kullanılabilir.
• Önemli içerik engellenebilir ve bilgisayar korsanları fidye talep edebilir.

Kimlik avını önlemenin tek yolu her zaman e-posta, mesaj ve bağlantılara karşı tetikte olmaktır. Ayrıca, bilgisayar korsanlarının sizi ödeme ayrıntılarınızın çalınabileceği sahte web sitelerine yönlendirmek için ekleyebileceği JavaScript parçacıklarına karşı çalışanlarınızı uyarmanız gerekir.

Bir başka popüler kimlik avı senaryosu, popüler ödeme sistemi PayPal’ı içerir: bilgisayar korsanları, şüpheli etkinlik nedeniyle PayPal hesabınızın geçici olarak askıya alındığına dair bir bildirim gönderir. Kullanıcılar, PayPal desteğiyle iletişime geçmek yerine, bilgisayar korsanlarını memnun etmek için giriş bilgilerini girebilir.

3. çevrimiçi mağaza kayma

Bu, bilgisayar korsanlarının kullanıcıların kişisel verilerini toplamak için birden fazla web sitesine virüs kodu eklediği başka bir siber suç türüdür. Ödeme formları ve sipariş onayları içeren web sayfalarına erişirler. Sonuç olarak, ellerinde e-postaları, şifreleri, adresleri, kredi kartı numaraları ve hatta CVV kodları var.

Gözden geçirme riskini en aza indirmek için çevrimiçi tüccarlar şunları yapabilir:

• Çevrimiçi mağazanız ücretsiz bir şablon kullanılarak oluşturulduysa, bir güvenlik eklentisi yükleyin (Sucuri ve benzeri).
• Sitenizi bir güvenlik duvarı ile koruyun, 2F kimlik doğrulamasını kullanın.
• En az 10 karakter içeren benzersiz bir şifre kullanın.
• Yeni güvenlik yamalarıyla sisteminizi düzenli olarak güncelleyin.

4. Siteler arası komut dosyası çalıştırma (XSS)

Diğer siber saldırı türlerinin aksine, bu saldırı çevrimiçi mağazaları değil müşterileri tehdit eder. XSS, bir web sayfasına virüs kodu eklemeyi içerir. Tarayıcılar genellikle kodu bir virüs olarak tanımaz ve normal bir komut dosyası olarak yürütür. Sonuç olarak, komut dosyası son kullanıcı tanımlama bilgilerine erişim kazanır. Bilgisayar korsanları, kullanıcılar hakkında gizlibilgiler elde eder ve gizlice yüklenen kötü amaçlı yazılımlar (kimlik avı e-postaları gönderme vb.) aracılığıyla kötü amaçlı faaliyetleri için kullanıcıların bilgisayarlarını kullanır. Kullanıcılar kendilerini hedef alan markayla ilişkilerini bitirme eğiliminde olduklarından, bir saldırı çevrimiçi mağazanın itibarını yok edebilir.

XSS saldırılarını önlemek için aşağıdakiler önerilir:

• Kullanıcılarınızın hangi bilgilere erişebildiğini bilmeniz için çevrimiçi mağazanızın hem web hem de mobil sürümlerinde tüm gelir verileri üzerinde filtreler bulunmalıdır.
• Tüm değişkenler kullanıcılara gönderilmeden önce şifrelenmelidir.
• HTML etiketleri gibi tehlikeli olabilecek gereksiz verileri web sitenizden kaldırın.

5. çevrimiçi mağaza SQL enjeksiyonu

Bu, bir veritabanı sitesine sızmanın en kolay yollarından biridir. Saldırı, SQL sorgularına rastgele kod eklemeye dayanır. Bu, bilgisayar korsanlarının tabloları okumak, verileri değiştirmek/silmek vb. için yasa dışı veritabanı sorguları yapmasına yardımcı olur. Bunu yaparken hem kişisel kullanıcı verilerine hem de işlem bilgilerine erişim kazanırlar. SQL enjeksiyonları, bilgisayar korsanlarının web sitesi kimlik doğrulama prosedürlerini atlamasını sağlar. Ayrıca, bilgisayar korsanları, şifre çözme için bir fidye talep etmek üzere veritabanlarını şifreleyebilir.

Bir çevrimiçi mağaza sitesinin SQL enjeksiyonlarından nasıl korunacağına dair birkaç genel öneri vardır:

• SQL enjeksiyonlarını önlemek için yalnızca izin verilen anahtarları, değişkenleri ve karakterleri belirttiğiniz “beyaz liste” kimlik doğrulama formlarını kullanın.
• GET yöntemi yerine, formlarda POST kullanın: GET, bilgisayar korsanlarının SQL enjeksiyonu için kullanılabilecek değişkenlerin adlarını bulmasını sağlayan şifrelenmemiş istekler gönderir.
• Dahili / hizmet dosyalarının işlenmesini yasaklayın. Sitenize bağlanabilecek tüm modüller (başlıklar vb.) özel erişimli özel bir klasörde toplanmalıdır.
• Web sitenizin kodunu asla herkese açık hale getirmeyin. Programlama topluluğundan teknik desteğe ihtiyacınız olsa bile, yalnızca geliştirilmesi gereken kod parçacıklarını kullanın
• Asla başka birinin kodunu kopyalamayın: başlangıçta virüs bulaşmış olabilir.
• Hataları zaten yayınlanmış bir sitede gösterme. Sitenizi nasıl hackleyeceğini çözebilen siber suçlular için fikir kaynağı olabilirler.

Hangi standartlar e-ticarette güvenliği artırmaya yardımcı olur?

Siber saldırılara etkin bir şekilde direnmek için özel yazılımlara sahip olmak yeterli değildir. Herhangi bir e-ticaret projesi, güvenlik politikasını PCI DSS gibi küresel standartlara uyarlamalıdır.

Ödeme Kartı Sektörü Veri Güvenliği Standardı, fon transferinde güvenli finansal bilgi alışverişi için teknik gereksinimleri açıklar. Çevrimiçi işlemler gerçekleştiren herhangi bir e-ticaret kuruluşu, bu faaliyetleri aşağıdaki PCI DSS ilkelerine uygun olarak koordine etmelidir:

• Kart sahibi verilerini korumak için bir güvenlik duvarı kurulmalıdır.
• Parolalara varsayılan olarak izin verilmez.
• Kullanıcı banka verileri, genel ağlar üzerinden gönderilmeden önce şifrelenmelidir.

• Antivirüs programını düzenli olarak kurun ve güncelleyin.
• Yalnızca sorumlu yöneticiler müşteri veritabanlarına erişebilir.
• Kurumsal bir bilgisayara erişimi olan herkesin benzersiz bir tanımlayıcı alması gerekir.
• Müşteri bankacılığı verilerine fiziksel erişim makul ölçüde sınırlandırılmalıdır.
• Hem çevrimiçi kaynaklara hem de müşterilerin çevrimiçi bankacılığına erişim sürekli olarak izlenmelidir.
• Güvenlik açıkları için sistemin düzenli olarak test edilmesi zorunludur.
• Kuruluşunuzdaki tüm personel siber güvenlik politikasına aşina olmalıdır.

E-ticaret projenizi güvence altına alma adımları

Yakın gelecekte tüm siber saldırıları ortadan kaldıracak evrensel bir çözümün bulunması pek olası değildir. Bilgisayar korsanları ve çevrimiçi satıcılar arasındaki çatışma, değişen derecelerde başarı ile devam edecek. Bununla birlikte, e-ticaret web sitenizdeki şüpheli etkinlikleri takip etmek ve siber güvenlik yaklaşımlarını sağlam bir şekilde anlamak, çoğu durumda işletmenizi siber saldırılardan koruyabilir.

Aşağıdaki prosedürler, çevrimiçi güvenliklerinden endişe duyan çevrimiçi mağaza için olmazsa olmaz bir kontrol listesi oluşturur.

• Güvenlik açığı izleme ile birlikte sızma testi, çevrimiçi mağazanızın güncel saldırı korumasına sahip olduğundan emin olmak için düzenli bir uygulama olmalıdır.

Güvenli bir e ticaret sitesi çevrimiçi mağaza oluşturmak istiyorsanız DarkMIS sizin yanınızda bizlere iletişim sayfamızdan ulaşabilirsiniz.