Είναι Δευτέρα πρωί. Συνδέεστε στο e-shop σας και βλέπετε χιλιάδες παραγγελίες του ενός ευρώ. Πρόκειται ξεκάθαρα για επίθεση από bot που δοκιμάζουν κλεμμένες κάρτες. Μέχρι το μεσημέρι, ο πάροχος πληρωμών σας έχει παγώσει τις εκταμιεύσεις και αντί να στέλνετε παραγγελίες, ζητάτε συγγνώμη από πελάτες και παλεύετε με αντιστροφές χρέωσης.
Αυτό το σενάριο δεν είναι καθόλου σπάνιο. Σχεδόν οι μισές κυπριακές επιχειρήσεις δέχθηκαν κυβερνοεπίθεση το 2023 και όσες χρειάστηκε να καθαρίσουν το χάος πλήρωσαν κατά μέσο όρο €27.000. [1] Όταν υπάρχουν διαρροές προσωπικών δεδομένων, είναι πιθανόν να επέμβουν και οι Αρχές: η Επίτροπος Προστασίας Δεδομένων επέβαλε πρόστιμο €45.000 στο Ανοικτό Πανεπιστήμιο Κύπρου μετά από κλοπή αρχείων φοιτητών, επικαλούμενη ανεπαρκή μέτρα ασφαλείας βάσει του GDPR. [2]
Η ασφάλεια δεν είναι μια προαιρετική αγγαρεία. Προστατεύει τόσο τα έσοδα σας όσο και τη φήμη σας. Αυτός ο οδηγός καλύπτει τέσσερα βασικά βήματα: αξιόπιστα αντίγραφα ασφαλείας, ασφαλείς συσκευές, ασφαλή φιλοξενία ιστοσελίδας και βασική κατανόηση των πιο συχνών επιθέσεων, ώστε ο πανικός της Δευτέρας να μείνει απλώς κάτι που διαβάσατε και όχι μια εμπειρία που ζήσατε.
Βήμα 1: Κρατήστε αξιόπιστα αντίγραφα ασφαλείας
Ένα σωστό αντίγραφο ασφαλείας είναι το κουμπί “Αναίρεση” για το κατάστημα σας. Αν ένας χάκερ ή μια αποτυχημένη ενημέρωση ρίξει την ιστοσελίδα σας, μπορείτε εύκολα να την επαναφέρετε στην προηγούμενη λειτουργική της μορφή. Σκεφτείτε το σαν μια φωτογραφία κάθε προϊόντος, παραγγελίας και ρύθμισης. Χωρίς αυτό, μπορεί να σας πάρει μέρες να την επαναφέρετε χειροκίνητα.
Τα καλά αντίγραφα ασφαλείας δεν είναι περίπλοκα. Αποθηκεύστε τα σε τρεις διαφορετικές τοποθεσίες: στον διακομιστή, στον υπολογιστή σας και στο cloud. Αν έχετε αυξημένη κίνηση, καλό είναι να κρατάτε αντίγραφα της βάσης δεδομένων ανά ώρα. Αν όχι, μια φορά την μέρα αρκεί, μαζί με ένα πλήρες αντίγραφο την εβδομάδα. Διατηρήστε και μερικά παλαιότερα αντίγραφα (για παράδειγμα, από πριν τρεις μήνες). Αυτό διότι αν η παραβίαση γίνει αθόρυβα και αργήσετε να το καταλάβετε, τότε θα καταλήξετε να έχετε μια σειρά από μολυσμένα αντίγραφα που θα είναι άχρηστα.
Ξοδέψτε δέκα λεπτά τον μήνα για να ελέγξετε ότι το αντίγραφο ασφαλείας σας δουλεύει: επαναφέρετε το σε μια άλλη τοποθεσία και βεβαιωθείτε ότι όλα φορτώνουν σωστά. Μόνο έτσι μετατρέπεται σε πραγματικό δίχτυ ασφαλείας και όχι μια απλώς τυπική διαδικασία.
Βήμα 2: Ασφαλίστε τις συσκευές με τις οποίες διαχειρίζεστε το e-shop
Ο υπολογιστής και το κινητό σας είναι η “κύρια πόρτα” του καταστήματος σας. Αν κάποιος “παραβιάσει την κλειδαριά”, δεν θα έχει σημασία πόσο δυνατοί είναι οι τοίχοι διότι θα είναι ήδη μέσα. Ξεκινήστε από τα βασικά: βεβαιωθείτε ότι το λειτουργικό σύστημα, ο περιηγητής (browser) και οι βασικές εφαρμογές είναι πάντα ενημερωμένα.
Εγκαταστήστε ένα αξιόπιστο antivirus, ενεργοποιήστε το ενσωματωμένο τείχος προστασίας (firewall) και εφαρμόστε πλήρη κρυπτογράφηση δίσκου. Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς αποθηκευμένους σε μια εφαρμογή διαχείρισης κωδικών (password manager) και ενεργοποιήστε τον διπλό έλεγχο ταυτότητας (2FA) όπου μπορείτε. Ένας εξαψήφιος κωδικός από το κινητό ή ένα hardware key μπορεί να σταματήσει έναν εισβολέα ακόμη και αν γνωρίζει τον κωδικό σας.
Για το πως να δημιουργήσετε δυνατούς κωδικούς μπορείτε να διαβάσετε τον οδηγό μας “Πώς να δημιουργήσετε δυνατούς κωδικούς”.
Αποφύγετε τα δημόσια Wi-Fi. Αν πρέπει οπωσδήποτε να συνδεθείτε στο e-shop σας από κάποιο ξενοδοχείο ή αεροδρόμιο, χρησιμοποιήστε VPN. Ρυθμίστε επίσης τις συσκευές σας να κλειδώνουν μετά από λίγα λεπτά αδράνειας και μην μοιράζεστε ποτέ τον λογαριασμό διαχειριστή με κανένα.
Βήμα 3: Χτίστε μια αξιόπιστη τεχνολογική υποδομή ξεκινώντας από τον πάροχο φιλοξενίας
Το κατάστημα σας “τρέχει” σε κάποιο διακομιστή (server) που δεν ελέγχετε. Αν ο πάροχος φιλοξενίας δεν έχει σωστή ασφάλεια, ό,τι και να κάνετε εσείς δεν αρκεί.
Επιλέξτε πάροχο που να θεωρεί την ασφάλεια ως απαραίτητη και όχι ως κάτι προαιρετικό.
Αποφύγετε φθηνά shared πακέτα. Προτιμήστε VPS ή φιλοξενία ειδικά για ηλεκτρονικό εμπόριο που προσφέρει:
- Παρακολούθηση 24/7 με αυστηρή απομόνωση λογαριασμών. Έτσι, αν χακαριστεί η διπλανή ιστοσελίδα, η δική σας να μείνει άθικτη.
- Αξιόπιστα αντίγραφα ασφαλείας όχι μόνο τοπικά, αλλά και εκτός διακομιστή.
- ModSecurity ή άλλο τείχος προστασίας (firewall) διακομιστή πάντοτε ενεργοποιημένο.
- Πιστοποιημένα data centers (ISO 27001 ή αντίστοιχο).
Αν κάτι φαίνεται υπερβολικά φτηνό, πιθανότατα να λείπει κάτι σημαντικό όπως η ασφάλεια.
Χρησιμοποιήστε πάντα HTTPS
Εγκαταστήστε το δωρεάν πιστοποιητικό Let’s Encrypt και ρυθμίστε όλη την κίνηση να περνά μέσα από HTTPS με HSTS. Αν χρησιμοποιείτε Cloudflare, ρυθμίστε το SSL σε “Full (strict)” για μια πλήρως ασφαλή σύνδεση.
Διατηρήστε το λογισμικό ελαφρύ και ενημερωμένο
Αφαιρέστε πρόσθετα που δεν χρειάζεστε, προτιμήστε όσα ενημερώνονται συχνά και κάντε τις ενημερώσεις σε εβδομαδιαία βάση.
Περιορίστε την πρόσβαση στην περιοχή του διαχειριστή. Αν μπορείτε επιτρέψτε είσοδο μόνο από συγκεκριμένες διευθύνσεις IP και αλλάξτε την τυπική διεύθυνση διαχείρισης. Επίσης προσθέστε CAPTCHA ή Cloudflare Turnstile για σύνδεση, εγγραφή και ολοκλήρωση αγοράς. Χρησιμοποιήστε μεγάλους, μοναδικούς κωδικούς πρόσβασης για κάθε λογαριασμό διαχειριστή και ενεργοποιήστε τη διπλή ταυτοποίηση (2FA), ώστε ένας κλεμμένος κωδικός από μόνος του να μην είναι αρκετός.
Επιλέξτε ένα ασφαλές πρόσθετο πληρωμών
Οι πλατφόρμες WooCommerce, PrestaShop, Shopify κλπ. δεν αποθηκεύουν στον διακομιστή σας κάρτες πελατών, έτσι δεν χρειάζεται να ανησυχείτε γι’ αυτό. Η δουλειά σας είναι να επιλέξετε το ασφαλέστερο πρόσθετο (plugin):
- Επίσημο ή άριστα βαθμολογημένο πρόσθετο με συχνές ενημερώσεις και χιλιάδες χρήστες.
- Ενεργοποιήστε το 3-D Secure για κάθε συναλλαγή. Παρόλο που προσθέτει ένα επιπλέον βήμα κατά τη διαδικασία πληρωμής, μεταφέρει την ευθύνη για τυχόν απάτη από εσάς στην τράπεζα.
- Επιλέξτε ένα πρόσθετο πληρωμών που αποθηκεύει με ασφάλεια τα κλειδιά API. Τα σωστά σχεδιασμένα πρόσθετα τα κρυπτογραφούν ή τα προστατεύουν στο παρασκήνιο, ώστε τα ευαίσθητα στοιχεία να μη βρίσκονται ποτέ εκτεθειμένα στον πίνακα ελέγχου σας.
Με ένα καλά συντηρημένο πρόσθετο πληρωμών, υποχρεωτικό 3-D Secure και ισχυρά μέτρα προστασίας κατά της απάτης, το checkout σας γίνεται ένας πιο δύσκολος στόχος που οι απατεώνες θα προτιμήσουν να προσπεράσουν.
Παρακολουθήστε στενά τη δραστηριότητα του καταστήματος σας
Ρυθμίστε ειδοποιήσεις για όταν υπάρχουν υπερβολικές προσπάθειες σύνδεσης, πολλές παραγγελίες του 1€, ή πλήθος αποτυχημένων πληρωμών. Αν υπάρξει συναγερμός, διακόψτε αυτόματα τις πληρωμές με κάρτα και αφήστε ενεργές τις πιο ασφαλείς επιλογές, όπως Αντικαταβολή ή Τραπεζική Κατάθεση, μέχρι να το διερευνήσετε.
Ψάξτε για πρόσθετα που μπορούν να ενεργοποιούν ή να απενεργοποιούν αυτόματα τις μεθόδους πληρωμών βάσει συγκεκριμένων συνθηκών, ή αναθέστε σε έναν προγραμματιστή να το δημιουργήσει ειδικά για το κατάστημα σας.
Βήμα 4: Γνωρίστε τον εχθρό σας – οι απειλές για τους ιδιοκτήτες e-shop
Οι περισσότεροι εγκληματίες του διαδικτύου δεν είναι ιδιοφυΐες. Επαναλαμβάνουν διαχρονικά τις ίδιες ή παρόμοιες μεθόδους. Μόλις μάθετε πώς να τις αναγνωρίζετε, θα μπορείτε να προλάβετε και τη ζημιά.
1. Carding (μαζικές δοκιμές κλεμμένων καρτών)
Πώς μοιάζει
Πλημμύρα από χιλιάδες παραγγελίες με χαμηλά ποσά σε σύντομη χρονική περίοδο. Προέρχονται από bots που δοκιμάζουν κλεμμένες κάρτες για να δουν ποιες ακόμη δουλεύουν.
Κίνδυνος
Αντιστροφές χρέωσης, πανικός και πιθανός αποκλεισμός σας από τον πάροχο πληρωμών και χαμένη εμπιστοσύνη πελατών.
Αντιμετώπιση
Χρησιμοποιήστε CAPTCHA ή Cloudflare Turnstile κατά τη σύνδεση, την εγγραφή και την ολοκλήρωση αγοράς. Ειδοποιήσεις για τυχόν ασυνήθιστα συμβάντα, υποχρεωτικό 3-D Secure και απενεργοποιήστε τουλάχιστον προσωρινά το guest checkout.
2. Magecart και άλλου είδους “Skimmers”
Πώς μοιάζει
Κρυμμένος κακόβουλος κώδικας κλέβει αριθμούς καρτών καθώς τους πληκτρολογούν οι πελάτες. Είναι δύσκολο να ανιχνευτεί, αλλά μερικές εβδομάδες αργότερα οι πελάτες καταγγέλλουν μη εξουσιοδοτημένες χρεώσεις.
Κίνδυνος
Κλεμμένες κάρτες, πρόστιμα GDPR, αγανακτισμένοι πελάτες.
Αντιμετώπιση
Ενημερώσεις, αυτοματοποιημένος έλεγχος ακεραιότητας αρχείων και καθορισμός αυστηρού Content Security Policy. Όπως είπαμε και πριν, επιλέξτε επίσημα και ποιοτικά πρόσθετα πληρωμών.
3. Credential Stuffing (Μαζική Δοκιμή Κλεμμένων Κωδικών)
Πώς μοιάζει
Bots δοκιμάζουν αυτόματα συνδυασμούς email / κωδικών που είναι κλεμμένα από άλλες ιστοσελίδες με την ελπίδα ότι οι πελάτες σας ή εσείς τα έχετε ξαναχρησιμοποιήσει.
Κίνδυνος
Οι απατεώνες μπορούν να χρησιμοποιήσουν τα αποθηκευμένα πορτοφόλια πελατών, να εξαργυρώσουν πόντους επιβράβευσης και να σας φορτώσουν με αντιστροφές χρέωσης. Αν καταφέρουν να αποκτήσουν πρόσβαση σε λογαριασμό υπαλλήλου ή διαχειριστή, μπορούν επίσης να αλλάξουν τιμές, να κλέψουν προσωπικά δεδομένα, να εγκαταστήσουν κακόβουλο λογισμικό και να σας αφήσουν αντιμέτωπους με πρόστιμα GDPR και σοβαρή ζημιά στη φήμη σας.
Αντιμετώπιση
Να απαιτείτε από όλους να έχουν ισχυρούς κωδικούς και ενεργοποίηση διπλής ταυτοποίησης (2FA) για τους υπαλλήλους. Περιορίστε τις προσπάθειες σύνδεσης ώστε επαναλαμβανόμενες αποτυχημένες απόπειρες από την ίδια πηγή να αποκλείονται και προστατέψτε με CAPTCHA / Cloudflare Turnstile τα σημεία σύνδεσης.
4. Ηλεκτρονικό ψάρεμα (phishing) και κοινωνική μηχανική (social engineering)
Πώς μοιάζει
Ένα email που λέει ότι υπάρχει πρόβλημα με την πληρωμή ενός πελάτη, αλλά ο σύνδεσμος που περιέχει σας οδηγεί σε ψεύτικη σελίδα σύνδεσης που κλέβει τον κωδικό σας. Μπορεί ακόμη να είναι ένα τηλεφώνημα από κάποιον που προσποιείται ότι είναι από την εταιρεία φιλοξενίας και ζητά το όνομα χρήστη και τον κωδικό σας για να “διορθώσει κάποιο πρόβλημα”.
Κίνδυνος
Μια λάθος κίνηση δίνει τα κλειδιά για το κατάστημα σας.
Αντιμετώπιση
Χρησιμοποιήστε έναν password manager για να καταλαβαίνετε πότε ένα URL φαίνεται ύποπτο, εκπαιδεύστε τον εαυτό σας και όσους σας βοηθούν να ελέγχουν διπλά κάθε ασυνήθιστο αίτημα και χρησιμοποιήστε άλλες διευθύνσεις email για ειδοποιήσεις που αφορούν την διαχείριση και άλλες για δημόσια επικοινωνία.
5. Λυτρισμικό (ransomware)
Πώς μοιάζει
Όλα τα αρχεία της ιστοσελίδας ξαφνικά γίνονται μη αναγνώσιμα και εμφανίζεται ένα σημείωμα που ζητά πληρωμή σε κρυπτονόμισμα για να σας δώσουν το κλειδί αποκρυπτογράφησης.
Κίνδυνος
Η ιστοσελίδα σας βγαίνει τελείως εκτός λειτουργίας και πρέπει να την επαναφέρετε γρήγορα πριν χάσετε πωλήσεις και την εμπιστοσύνη των πελατών.
Αντιμετώπιση
Εκείνα τα αντίγραφα ασφαλείας εκτός διακομιστή που αναφέραμε νωρίτερα είναι το εισιτήριο για να βγείτε από τη δύσκολη θέση. Κάντε τακτικά δοκιμές επαναφοράς, αποθηκεύστε τουλάχιστον ένα παλαιότερο αντίγραφο και προστατέψτε όλες τις συσκευές που μπορεί να συνδεθούν με το κατάστημα σας.
6. DDoS (Κατανεμημένη Επίθεση Άρνησης Υπηρεσιών)
Πώς μοιάζει
Το ηλεκτρονικό σας κατάστημα γίνεται πολύ αργό ή σταματά να φορτώνει εντελώς, επειδή κατακλύζεται από ψεύτικη επισκεψιμότητα από χιλιάδες συσκευές.
Κίνδυνος
Οι πραγματικοί πελάτες δεν μπορούν να μπουν στην ιστοσελίδα, οι παραγγελίες σταματούν και οι επισκέπτες μπορεί να τα παρατήσουν και να αγοράσουν από αλλού.
Αντιμετώπιση
Οι περισσότεροι πάροχοι φιλοξενίας προσφέρουν βασική προστασία από τέτοιου είδους επιθέσεις. Αν οι επιθέσεις επαναλαμβάνονται, ίσως να πρέπει να αναβαθμίσετε το πακέτο φιλοξενίας σας ώστε να μπορεί να αντέχει μεγάλες αιφνίδιες αυξήσεις στην επισκεψιμότητα.
Η ασφάλεια δεν τελειώνει ποτέ, αλλά αυτό δεν χρειάζεται να σας αγχώνει. Τα αξιόπιστα αντίγραφα ασφαλείας σας δίνουν μια γρήγορη λύση όταν κάτι πάει στραβά, οι ασφαλείς συσκευές και η σωστή επιλογή φιλοξενίας ιστοσελίδων μειώνουν τις πιθανότητες παραβίασης. Επίσης η γνώση των συνηθισμένων επιθέσεων σας βοηθά να εντοπίζετε έγκαιρα τον κίνδυνο. Εφαρμόστε τις παραπάνω συμβουλές και θα είστε ήδη πιο μπροστά από τα περισσότερα e-shop.
Αν χρειάζεστε βοήθεια για να τα ρυθμίσετε όλα αυτά, η Proteasoft είναι εδώ για σας. Ας φροντίσουμε η επόμενη Δευτέρα σας να ξεκινήσει με νέες παραγγελίες και όχι με προβλήματα.
Πηγές
- Cyprus Mail, “Nearly half of Cyprus businesses hit by cyberattacks, study shows,” 22 Dec 2023. https://cyprus-mail.com/2023/12/22/nearly-half-of-cyprus-businesses-hit-by-cyberattacks-study-shows/
- Cyprus Mail, “Open University fined for negligent cyber security after being hacked,” 28 Nov 2023. https://cyprus-mail.com/2023/11/28/open-university-fined-for-negligent-cyber-security-after-being-hacked
