Jak co roku, w okresie świątecznym rośnie sprzedaż, również w kanale e-commerce. Zwyczajowy wzrost zainteresowania zakupami w sieci wykorzystują też cyberprzestępcy, którzy liczą na nieuwagę kupujących oraz sprzedawców. Eksperci F5 analizują metody ataków na sklepy internetowe i wskazują potencjalne zagrożenia ze strony botów. Dowiedz się jak uchronić swoją sprzedaż w sieci przed cyberatakami.
Wraz z początkiem 2023 roku branża e-commerce żyje wprowadzeniem unijnej dyrektywy Omnibus. Nowe przepisy nakładają na sprzedających obowiązek podania najniższej ceny produktu z ostatnich 30 dni. Ma to na celu ochronę kupujących przed manipulacją cenami i pozornymi promocjami. Nowe prawo oddziałuje na relacje między konsumentem, a sprzedawcą. Jednak na ich wzajemne zaufanie wpływa również inny aspekt, jakim jest bezpieczeństwo. Cyberprzestępcy stale szukają sposobów, aby ukraść czyjeś pieniądze. Okres świąteczny to z reguły dochodowy czas dla e-commerce. Wzmożony ruch wywołany zwyczajowym prezentowaniem się z okazji świąt obniża czujność kupujących i sprzedających w sieci.
W okresie świątecznym rośnie aktywność cyberprzestępców
Według raportu 2022 Holiday Season Cyber Threat Trends wydanego przez Retail and Hospitality Information Sharing and Analysis Center (ISAC), “sezon świąteczny jest najbardziej intensywnym okresem w roku dla konsumentów i specjalistów ds. bezpieczeństwa cybernetycznego, którzy stają w obliczu regularnych zagrożeń. Od początku października do końca grudnia, zagrożenia cybernetyczne dla organizacji zwiększają swoją skalę i intensywność, dopasowując się do wzrostu ruchu w handlu.”
Boty to programy, które wykonują zautomatyzowane, powtarzalne zadania i są wszechobecne w sieci. Szacuje się, że nawet 50% ruchu internetowego pochodzi od użytkowników niebędących ludźmi. Podczas gdy niektóre boty są pomocne dla firm – jak np. wyszukiwarki – złośliwe boty powodują znaczne straty finansowe dla biznesu e-commerce. Odpowiadają za spowalnianie działania stron i aplikacji, podbieranie towarów, gromadzenie zapasów i przejmowanie kont poprzez kradzież danych uwierzytelniających (ang. credential stuffing). Dzieje się tak dlatego, że przestępcy wykorzystujący boty podążają za pieniędzmi, a tych w handlu elektronicznym nie brakuje.
W jaki sposób boty zagrażają e-commerce?
- Przeszukiwanie treści (ang. content scraping) polega na stosowaniu botów do zbierania informacji z witryn internetowych celem ich przeanalizowania, ponownego wykorzystania lub sprzedania gdzie indziej. Takie przeszukiwanie ma legalne zastosowania, na przykład agregatory podróży online przeszukują strony internetowe linii lotniczych, aby zebrać informacje o cenach biletów. Jednak content scraping może być również wykorzystywane do nielegalnych celów, w tym do manipulowania cenami, czy kradzieży treści chronionych prawem autorskim. Ponadto wysoka liczba botów wpływa na wydajność strony i powoduje przestoje, ograniczając zwykłym użytkownikom dostęp do witryny.
- Wykupywanie zapasów lub blokowanie produktów w nieopłaconych koszykach – boty przetrzymujące zapasy mogą zwiększyć trudności logistyczne poprzez wstrzymanie dużej liczby produktów, usuwając je z zapasów i uniemożliwiając prawdziwym klientom dokonanie zakupów. Trwałe przetrzymywanie towaru i inne formy manipulacji botów mogą frustrować kupujących i zagrażać lojalności klientów oraz reputacji marki, nie mówiąc już o wpływie na przychody, ponieważ konsumenci dokonują zakupów gdzie indziej.
- Odsprzedaż/oszustwo cenowe – sprzedawcy detaliczni, którzy oferują produkty i usługi ograniczone czasowo narażają się na błyskawiczne wykupienie swojej oferty przez boty. Automatyczne skrypty nabywają dostępne towary masowo w momencie kiedy te trafiają do sprzedaży. Następnie odsprzedają te towary na rynkach wtórnych po znacznej marży. Dzieje się tak często w przypadku biletów i wejściówek na koncerty czy wydarzenia sportowe. Zwłaszcza wtedy, gdy witryna nie jest monitorowana pod kątem ruchu zautomatyzowanych algorytmów.
- Przechwytywanie danych uwierzytelniających (ang. credential stuffing) to kolejna taktyka napędzana przez boty, która zakłóca świąteczne zakupy. Niestety wiele internautów ponownie używa haseł w różnych aplikacjach, co wykorzystują cyberprzestępcy. Napastnicy testują dużą liczbę przechwyconych danych uwierzytelniających, aby przejąć konta w celu popełnienia oszustwa. Okres świąteczny stanowi dla przestępców doskonałą okazję do wykorzystania wrażliwych danych: napastnicy wykorzystują duże obciążenie zespołów ds. bezpieczeństwa cybernetycznego, wiedząc, że wykrycie oszustwa zajmie administratorom systemu więcej czasu.
Ograniczenie ruchu botów w sklepach internetowych leży w interesie przedsiębiorstw. W minionym okresie świątecznym eksperci F5 ponownie obserwowali te same, wskazane powyżej praktyki cyberprzestępców. Wielu prowadzących sprzedaż w sieci wciąż nie zdaje sobie sprawy ze skali ryzyka. Dlatego podstawową rekomendacją specjalistów F5 jest podnoszenie świadomości na temat zagrożeń ze strony botów. Dopiero w dalszej kolejności zaleca się korzystanie z narzędzi do monitorowania ruchu zautomatyzowanych programów w sieci.