E-ticaret sitelerine olan ilgi, bilindiği üzere 2020 Mart ayından itibaren çok ciddi oranda arttı. Evlerde geçen vakitle doğru orantılı olarak artan online alışverişler e-ticaret sitelerinin teknolojiye ve özellikle de siber güvenliğe daha fazla yatırıp yapmasıyla sonuçlandı. Günümüzün dijital dünyasında, başarıya giden yol kesinlikle siber güvenlikten geçiyor çünkü başka hiçbir şekilde müşterilerin güvenini kazanmak artık mümkün değil.
Siber güvenlik her türlü ticari faaliyette önemli rol oynarken, e-ticaret sektörü için de ayrı bir önem taşımakta. Bu yazımızda 2022 senesinde e-ticaret firmalarının karşılaşacakları olası siber güvenlik tehditlerini ve bunlarla başa çıkma yollarını ele alacağız.
E-Ticaret Sektörünün 2022’de Karşılaşacağı En Önemli 8 Güvenlik Tehdidi
Mali Dolandırıcılık
Finansal dolandırıcılar online alışverişler için elbette yeni bir tehdit değil. Ancak hackerlar teknolojik gelişmelerin gerisinde kalmayarak sürekli yeni tür saldırılar planlıyor ve hedef kitlelerini genişletiyor. Bu tip siber güvenlik saldırılarılarının en popülerleri kredi kartı dolandırıcılığı ve sahte iade / geri ödeme dolandırıcılığı.
Phishing (Yemleme/Oltalama)
Hackerların kullanıcı isimleri, şifreler ve kredi kartı numaraları gibi hassas bilgilere ulaşma niyetiyle, olası kurbanlarını hediye veya indirim kuponlarıyla cezbederek kandırdıkları siber saldırılara Phishing denmekte. E-ticaret firmaları da Phishing tipi saldırılarla uğraşmak durumunda kalıyor çünkü hackerlar bu firmaların müşterilerine sanki gerçekten firmadan geliyormuş gibi gözüken mesaj ve emailler göndererek onları dolandırmaya çalışıyorlar. Geçmişte PayPal’den ve Google’dan gelmiş gibi gözüken emaillere kanarak dolandırılan çok sayıda siber güvenlik kurbanına dair haberler çıkmıştı.
Daha detaylı bilgi için Phishing Nedir? blog yazımızı okuyabilirsiniz.
Botnet (Bot Saldırıları)
Botnet (“Robot Network”), tek bir operatör tarafından kontrol edilen, kötü amaçlı yazılım bulaşmış, internete bağlı büyük bir bilgisayar grubudur. Hackerlar, güvenliği ihlal edilmiş bu cihazları, hizmetleri kesintiye uğratmak, kimlik bilgilerini çalmak ve sistemlere yetkisiz erişim elde etmek için büyük ölçekli saldırılar başlatmak için kullanır. Botnet'ler, bir tehdit aktörünün aynı anda çok sayıda etkinlik yapmasına olanak sağladıkları için, kendisini tek bir makine ya da sistemde çoğaltan diğer kötü amaçlı yazılımlardan daha büyük bir tehlike oluşturabilirler.
E-ticaret firmalarının bot saldırılara maruz kalmasının başlıca sebeplerinden biri rakip firmaların fiyatlarla rekabet etme girişimi olabilir. Bazı bilgisayar korsanları, envanter ve fiyatlar hakkında bilgi almak için e-ticaret sitelerini inceleyecek özel botlar geliştirir. Bu tür hackerlar, genellikle satışları düşürmek amacıyla web sitelerindeki fiyatları değiştirmek için verileri kullanabilir ya da rakip firmalara satabilirler. Botlar, gerçek müşterilerin ürünleri satın almasını önlemek için kendi sepetlerine çok sayıda ürün ekleyebilir ve onları uzun süre sepetlerinde tutabilirler. Bu otomatik saldırılar, yapay envanter tükenmesine sebep olacağı için satışları ve marka değerini düşürür.
Spam
Bazı bilgisayar korsanları, e-mail ve sosyal medya gelen kutuları aracılığıyla virüslü bağlantılar göndererek kişileri hacklemeyi hedefliyor. Ayrıca bu bağlantıları sosyal medya platformlarına bıraktıkları yorumlarında veya mesajlarında, blog yazılarında ve iletişim formlarında bırakabilirler. Bu tür bağlantılara tıklayanları, kendi spam web sitelerine yönlendirecek ve orada kişilerden kullanıcı ismi, şifre ve kredi kartı bilgileri gibi hassas veriler toplamaya çalışacaklardır. Toplu postayla gönderilen kötü amaçlı yazılım bulaşması, 2022’de çok daha ciddi bir soruna dönüşebilir. Spam mailler, web sitelerinin güvenliğini düşürmenin yanı sıra hızını da düşürür ve performansı ciddi şekilde etkiler.
DoS ve DDoS Saldırıları
Bir DoS (denial-of-service) saldırısı, bir sunucuyu trafikle doldurur ve bir web sitesini veya kaynağı etkin bir şekilde kapatır. DDoS (distributed denial-of-service) saldırısı ise hedeflenen bir kaynağı birkaç cihazla dolduran bir DoS saldırı tipidir.
DDoS siber saldırıları nedeniyle, birçok e-ticaret firması, web sitesi ve genel satış problemleri nedeniyle kayıplara uğradı. Olan şey, sunucularının çok sayıda izlenemez IP adresinden gelen isteklerle bombardımana tutulması, onları başarısız olmaya zorlaması ve işi müşteriler için kullanılamaz hale getirilmesiydi.
Spyware
Casus yazılım, bir bilgisayar kullanıcısının faaliyetlerini izleyen ve elde ettiği tüm bu verileri kullanıcının bilgisi ve izni olmadan üçüncü bir tarafa aktaran yazılımlara verilen addır. Spyware'in yaptıkları arasında aktivite izleme, tuş vuruşlarını inceleme, webcam'e izinsiz erişim, veri toplama (hesap bilgileri, oturum, finansal veriler) başta olmak üzere pek çok kişisel verilerin ele geçirilmesi yer alır.
Spyware aslında kötü niyetli olmak zorunda değildir. Örneğin sitelerdeki cookie'ler de bir spyware türüdür ancak bu izlemelerin ve veri toplanmaların yapılması için kullanıcıdan izin alınmaktadır. E-ticaret siteleri de bu cookie'lerden avantaj sağlayan websitesi tiplerinin başında gelmektedir.
Adware (Advertising-Supported Software)
Adware, reklamları otomatik olarak gönderen bir virüs tipidir. E-ticaret sitelerine giren kullanıcıların karşılarına çıkan pop-up reklamlar da, yazılım tarafından görüntülenen reklamlar da Adware türüdür. Reklam yazılımları genellikle yazılım ve programların "ücretsiz" sürümleriyle paketlenir. Reklam yazılımlarının çoğu, reklam tarafından desteklenir veya yazılır ve gelir elde etmek için kullanılır. Bazı reklam yazılımları yalnızca reklamları görüntülemek için tasarlanmış olsa da, reklam yazılımlarının, kullanıcı etkinliklerini izleme ve veri toplama kabiliyetine sahip casus yazılımlarla birleştirilmesi sık sık görülmektedir. Reklam yazılımı/casus yazılım paketleri, casus yazılımların ek yetenekleri nedeniyle tek başına reklam yazılımlarından önemli ölçüde daha zararlıdır.
Ortadaki Adam (MITM)
En eski siber saldırı türlerinden biri olan Ortadaki Adam (Man In The Middle ya da kısaca MITM), bilgisayar korsanlarının iki taraf arasındaki iletişime, tarafların bilgi ve izinleri olmadan gizlice dahil olmasıdır. Walgreens Pharmacy Store gibi farklı e-ticaret firmaları geçmişte MITM saldırılarına maruz kalarak müşterilerine ait önemli kişisel verileri hackler'a kaptırmışlardı. 2022'de de bu tip siber saldırıların devam edeceği öngörülmekte. Sürekli artan iş mobilitesi, açık Wi-Fi kullanımı ve yetersiz IoT cihazlarındaki artış, hackerların MITM saldırılarını sıklaştırmasının nedenleri arasında sayılabilir. Açık Wi-Fi ağlarının sıklıkla kullanması bilgisayar korsanlarının kullanıcıların verilerine erişmek için işini kolaylaştırmaktadır. Günümüzde Nesnelerin İnterneti (IoT) cihazlarının kullanımındaki hızlı artış nedeniyle, uygun güvenlik gereksinimleri olmayan bu cihazlar MITM saldırılarına karşı savunmasızdır.
2022 senesinde e-ticaret firmalarının karşılaşacakları olası siber güvenlik tehditlerini inceledikten sonra, bunlarla başa çıkma yollarını da sunalım. Öncelikle, E-Ticaret Şirketlerine Özel Eğitimler sayfamıza göz atabilir ve Siber Güvenlik Eğitim Kataloğumuzdan faydalanabilirsiniz.
Tüm siber güvenlik saldırılarıyla mücadele edebilmenin en sağlıklı yolu iyi bir eğitimle başlar. Siz de bir e-ticaret firmasında çalışıyor ve, firmanızı ve çalışanlarınızı siber güvenlik tehditlerine karşı savaşmaya hazırlamak istiyorsanız hemen bize ulaşın!