كيف يمكن للعلامات التجارية تحسين الأمن السيبراني للتجارة الإلكترونية للعطلات

تجار التجزئة ليسوا الوحيدين المتحمسين لأرباح الأعياد هذا الموسم. كما يخطط مجرمو الإنترنت لهذا الوقت من العام ويستغلونه لتحقيق مكاسب مالية. مع زيادة حركة المرور والاهتمام بعيدًا عن المسائل الأمنية ، فإنهم يعرفون أن موسم العطلات يجلب الكثير من بيانات بطاقة الائتمان والمعلومات الشخصية التي يمكنهم بيعها لمن يدفع أعلى سعر.

قبل حلول الموسم ، دعنا نتعرف على بعض الطرق الأكثر شيوعًا التي يهاجم بها المخترقون تجار التجزئة وعملائهم ، وبعض الدفاعات ضدهم.

التصيد

التصيد هي طريقة يحاول فيها المهاجم استغلال ثقة المستلم عبر بريد إلكتروني معد خصيصًا. عادةً ما تظهر هذه الرسائل كرسالة بريد إلكتروني شرعية من جهة اتصال أو طلب إعادة تعيين كلمة المرور أو إيصال شراء. إذا كان يبدو وكأنه شيء يتوقع المستلم رؤيته في صندوق الوارد الخاص به ، فمن المرجح أن يفتحه وينقر فوق ارتباط بداخله. يمكن أن يحتوي هذا الرابط على برامج ضارة أو صفحة تسجيل دخول مزيفة تحصد بيانات اعتماد المستلم.

يمكن لمتلقي البريد الإلكتروني المخادع حماية نفسه بعدة طرق:

• كن حذر. لا تنقر على الروابط في رسائل البريد الإلكتروني عندما يكون ذلك ممكنًا. على سبيل المثال ، إذا كان البريد الإلكتروني يوفر رابطًا إلى خدمة تستخدمها ، مثل أحد البنوك ، فقم بتسجيل الدخول إلى البنك مباشرةً.
• حافظ على جهازك أو جهاز الكمبيوتر الخاص بك محدثًا بالتصحيحات.
• استخدم برامج مكافحة الفيروسات.
• عند العرض ، استفد من المصادقة متعددة العوامل ، والتي ستضمن أن اسم المستخدم وكلمة المرور المسروقين ليسا كافيين لخرق حسابك.

بينما لا تستطيع الشركات حماية عملائها بشكل مباشر من هجمات التصيد الاحتيالي ، إلا أنها تستطيع القيام ببعض الأشياء للتمييز بين رسائل البريد الإلكتروني الخاصة بهم والمهاجمين المحتملين وهي منع عملائك من أن يصبحوا متلقين في المقام الأول:

• تفعيل SPF (إطار سياسة المرسل). يتيح لك نظام التعرف على هوية المرسل (SPF) تحديد عناوين IP التي يأتي منها بريدك الإلكتروني. طالما أن المهاجم لا يمكنه إرسال بريد من عناوين IP الخاصة بك ، فإن محاولاته للإرسال "من" ستفشل في فحص نظام التعرف على هوية المرسل (SPF) وينتهي بك الأمر مدفونًا في مجلد الرسائل الاقتحامية (SPAM).
• تفعيل DKIM (البريد المحدد بمفاتيح المجال). DKIM هي طريقة يمكن من خلالها لخادم البريد تطبيق توقيع رقمي على بريد إلكتروني صادر يقوم بمصادقته كمصدر بريد إلكتروني. طالما أن المهاجم غير قادر على إرسال بريد من خادم البريد الخاص بك ، فلن يجتاز هذا الفحص.
• تفعيل DMARC (تقرير مصادقة رسائل المجال). DMARC هو وسيلة للتواصل مع مزودي خدمة البريد الإلكتروني والحصول على التقارير منهم. باستخدام DMARC ، يمكنك إخبار موفري خدمة البريد الإلكتروني مثل Gmail فقط بتسليم البريد الذي يجتاز فحوصات نظام التعرف على هوية المرسل (SPF) و DKIM ويتيح لك معرفة متى لا يجتاز البريد المزعوم منك هذه الفحوصات.
• تواصل مع عملائك. دعهم يعرفون سياساتك الخاصة بإعادة تعيين كلمة المرور والروابط في رسائل البريد الإلكتروني.
• تقديم مصادقة متعددة العوامل. إذا تعرض عملاؤك للتصيد الاحتيالي ، فمن غير المرجح أن يستخدم المهاجمون أي بيانات اعتماد يحصدونها. هذا ليس دفاعًا محصنًا ضد التصيد الاحتيالي ، ولكنه يزيد من صعوبة مهمة المهاجم.

XSS

XSS أو "البرمجة النصية عبر المواقع" هي نوع من الثغرات التي توجد عادةً في تطبيقات الويب التي تسمح للمستخدمين بتحميل المحتوى. تعد مراجعات المنتجات وملفات تعريف المستخدمين والتعليقات ومربعات البحث عناصر واجهة المستخدم حيث قد يقوم المهاجم بحقن تعليمات برمجية ضارة. الهدف من هذه الهجمات هو مستخدمي الموقع ، حيث أن الشفرة الخبيثة التي يتم حقنها في الموقع تعمل في متصفحات أولئك الذين يزورونها.

هناك طريقتان رئيسيتان للحماية من هجمات XSS ؛ من الناحية المثالية ، يجب استخدام كليهما:

• أفضل طريقة للحماية هي التطهير الشامل لأية بيانات يقبلها موقعك من المستخدم حتى لا تكون الثغرة الأمنية موجودة في المقام الأول. يشير التعقيم هنا إلى أخذ ما يكتبه المستخدم وتنظيفه من أي رمز يمكن استخدامه لأغراض ضارة. يمكن أن يستغرق هذا وقتًا طويلاً ويتطلب خبرة مطور.
• ضع جدار حماية تطبيق أمام موقعك. يوجد عدد منها الآن ، مثل AWS WAF أو Cloudflare. هذه ليست مضمونة ، لكنها يمكن أن توفر طبقة إضافية من الحماية بسرعة نسبيًا.
• تقديم مصادقة متعددة العوامل.

SQLi

SQLi أو "حقن SQL" مشابه لـ XSS من حيث أن المهاجم يستغل تعقيم الإدخال الضعيف ، ولكن على عكس XSS ، الهدف هنا هو الواجهة الخلفية لقاعدة البيانات لموقع الويب. يجب على المهاجم فقط العثور على مدخلات على الموقع حيث يمكن إرسال البيانات إلى قاعدة البيانات دون تعقيمها أولاً. عادةً ما تكون نقطة الضعف هذه هي أي نموذج على الموقع يقرأ قاعدة البيانات أو يكتبها ، مثل مربع تسجيل الدخول أو نموذج الاتصال. افترض أن البيانات المقدمة بواسطة نموذج لم يتم تطهيرها بشكل صحيح. في هذه الحالة ، قد تسمح السلسلة المصممة خصيصًا للمهاجم باسترداد أي معلومات من قاعدة البيانات أو حذف محتوى قاعدة البيانات أو حتى إسقاط قاعدة البيانات بأكملها.

• مثل XSS ، فإن أفضل حماية هنا هي التطهير الكامل لأي بيانات يقبلها موقعك ، مثل المعلومات المقدمة من المستخدم أو البيانات المقدمة من طرف ثالث.
• ضع جدار حماية تطبيق أمام موقعك.
• احصل على نسخ احتياطية جيدة لقاعدة البيانات بحيث إذا حدث ذلك ، فلن يتمكنوا على الأقل من تدمير بياناتك.
• تقديم مصادقة متعددة العوامل.

ربما لاحظت ذلك مصادقة متعددة العوامل يبدو كتقنية تخفيف لكل من هذه الهجمات. تتمثل نقطة المصادقة متعددة العوامل (تسمى أحيانًا 2FA أو 2SV) في أنه حتى إذا استخدم المهاجم أيًا من الطرق المذكورة أعلاه لسرقة بيانات الاعتماد ، فلن يتمكن من استخدامها بمفردها لتسجيل الدخول إلى حساب العميل. قد يكون تأمين الموقع ضد جميع أشكال الاقتحام أمرًا صعبًا للغاية ، إن لم يكن مستحيلًا. حتى إذا كان الموقع آمنًا تمامًا بنفسه ، فقد يتعرض العميل للتصيد الاحتيالي ، أو يمكن اختراق موقع ويب آخر يستخدم فيه نفس بيانات اعتماد تسجيل الدخول. تخلق المصادقة متعددة العوامل طبقة دفاع إضافية ضد الهجمات الخارجة عن قدرتنا على التحكم.

من خلال حماية موقع الويب الخاص بك من أساليب المخترقين الشائعة ، ستكون علامتك التجارية في طريقها لإنشاء موقع تجارة إلكترونية أكثر أمانًا لعملائك للتسوق بثقة في موسم العطلات هذا.