Нявінны клік, сціплая купля, зніжка, якую нельга прапусціць. Усё здаецца бяспечным, пакуль не прыходзіць рахунак з сумай, якую вы не пазнаеце. За кулісамі электроннай камерцыі, пакуль спажыўцы карыстаюцца зручнасцю лічбавых тэхналогій, штодня вядзецца нябачная вайна супраць усё больш вытанчаных махляроў.
Паводле звестак Serasa Experian, да 2024 года больш за палову бразільцаў сталі ахвярамі нейкага віду махлярства. І наступствы рэальныя: 54,2% паведамілі пра фінансавыя страты, многія з іх нават не ўсведамлялі пра афёру. Калі раней махлярства было масавым і відавочным, то сёння яно практыкуецца хірургічным шляхам, з'яўляецца ціхім і дарагім. Сярэдні кошт такіх махлярстваў павялічыўся на 30% і цяпер перавышае 1300 бразільскіх долараў за замову.
Злачыннасць развіваецца, і лічбавая бяспека павінна за гэтым ісці. Электронная камерцыя — гэта новая пляцоўка для кіберзлачынцаў. Дадзеныя Febraban (Бразільскага банка Бразіліі) паказваюць, што фінансавыя страты ад лічбавага махлярства ў Бразіліі дасягнулі 10,1 мільярда рэалаў у 2024 годзе, што на 17% больш, чым у папярэднім годзе. «Лічбавае асяроддзе, асабліва для электроннай камерцыі, стала мінным полем», — папярэджвае Вагнер Эліяс, генеральны дырэктар Conviso, кампаніі, якая спецыялізуецца на бяспецы прыкладанняў.
І вораг не спіць. Пагрозы разнастайныя: ад фішынгавых атак (на якія прыпадае 15% выпадкаў) да выкарыстання скрадзеных уліковых дадзеных (16%) і нават зламысных інсайдэраў, прычым апошнія маюць сярэдні кошт за парушэнне ў 4,99 мільёна долараў ЗША, што з'яўляецца самым высокім паказчыкам у спісе.
Эліяс тлумачыць, што сярод найбольш папулярных метадаў — лічбавы скімінг і захоп акаўнта (ATO). Пры скімінгу злачынец уводзіць шкоднасны код непасрэдна на старонку аплаты. У ATO махлярства больш метадычнае і метадычнае: выкарыстоўваючы ўцечку ўліковых дадзеных, яны атрымліваюць доступ да рэальных акаўнтаў, мяняюць паролі і робяць пакупкі. Паводле звестак кампаніі AllowMe, 72% махлярства ў лічбавым рознічным гандлі адбываецца менавіта з-за гэтых несанкцыянаваных доступаў.
Іх пераважныя мэты? Гульні, мабільныя тэлефоны, кампутары і электроніка — тавары з высокай ліквіднасцю на нефармальным рынку і лёгкім перапродажам. Тым часам пераважнымі спосабамі аплаты махляроў па-ранейшаму застаюцца крэдытныя карты. Прычына простая: хуткія пакупкі, мінімальная праверка і выяўляюць толькі пасля атрымання рахунку.
БОЙ
І што можна зрабіць? Адказ крыецца ў тэхналогіях і, перш за ўсё, у планаванні бяспекі з самага пачатку распрацоўкі прыкладання. «Адказ крыецца ў тэхналогіях, так, але, перш за ўсё, у тым, як яны рэалізаваны. Пакідаць меркаванні бяспекі да таго часу, пакуль сістэма не запрацуе, — фатальная памылка. Такія практыкі, як PCI DSS, павінны быць укаранёны з самага пачатку распрацоўкі і інвестыцый у такія інструменты, як WAF, для абароны вэб-сайтаў ад нападаў у рэжыме рэальнага часу», — кажа Вагнер Эліяс.
Вось тут і прыходзяць на дапамогу такія інструменты, як WAF (брандмаўэры вэб-прыкладанняў), якія кантралююць трафік у рэжыме рэальнага часу, блакуюць падазроныя шаблоны і абараняюць вэб-сайты ад такіх атак, як увядзенне кода і несанкцыянаваны доступ. Выкарыстанне штучнага інтэлекту (AI) таксама адыграла важную ролю ў прагназаванні шкоднасных паводзін, знізіўшы выдаткі на парушэнне бяспекі да 2,2 мільёна долараў, паводле даследавання IBM «Кошт парушэння дадзеных у 2024 годзе».
Яшчэ адзін важны момант — выкарыстанне практык, якія адпавядаюць стандарту PCI DSS (стандарт бяспекі дадзеных індустрыі плацежных карт), які дапамагае абараніць аперацыі па картах. «Кампаніі, якія аперуюць з плацежнымі дадзенымі, павінны, як па абавязку, так і ў мэтах бізнес-аналітыкі, строга выконваць PCI. Гэта тое, што адрознівае бяспечную сістэму ад адчыненых дзвярэй для махлярства», — дадае Эліяс.
Нягледзячы на тэхналагічны прагрэс, сярэдні час стрымлівання ўцечкі ўсё яшчэ доўгі: 258 дзён. У выпадку крадзяжу ўліковых дадзеных ён можа дасягаць 292 дзён, амаль года. Часткова віной таму з'яўляецца недахоп спецыялізаваных спецыялістаў, які павялічыўся на 26,2% у мінулым годзе, што прывяло да павелічэння выдаткаў на ўзломы на 1,76 мільёна долараў.
Аднак эксперт папярэджвае: тыя, хто ўкладвае сродкі ў аўтаматызацыю, бяспеку з нуля і мадэляванне нападаў, вядомыя як тэсты на пранікненне, маюць больш шанцаў выйсці цэлымі і непашкоджанымі або, прынамсі, паменшыць шкоду.
Справаздачы вядучых экспертаў у галіне кібербяспекі пацвярджаюць эфектыўнасць абароны PCI DSS і WAF: згодна з DBIR 2024 ад Verizon, адпаведнасць PCI DSS зніжае колькасць інцыдэнтаў бяспекі на 52%, у той час як WAF блакуюць да 80% атак на вэб-прыкладанні. Даследаванне IBM «Кошт парушэння дадзеных 2023» паказвае, што кампаніі з WAF эканомяць 1,4 мільёна долараў на кожнае парушэнне, а PCI DSS паскарае час рэагавання на парушэнне на 54%. У спалучэнні гэтыя рашэнні могуць знізіць фінансавыя страты да 75%, паводле дадзеных Інстытута Понемона (2024).
«Такім чынам, кампаніі, якія прытрымліваюцца стандарту PCI DSS, сутыкаюцца з удвая меншай рызыкай уцечкі дадзеных, а брандмаўэры вэб-прыкладанняў (WAF) прадухіляюць 8 з 10 хакерскіх нападаў. Тыя, хто выкарыстоўвае абедзве тэхналогіі разам, абмяжоўваюць фінансавыя страты ўсяго 25% ад сумы, якая звычайна чакаецца пасля ўцечак», — тлумачыць ён.
У ЗША згвалтаванне каштуе ў сярэднім 9,36 мільёна долараў ЗША, што з'яўляецца самым высокім паказчыкам у свеце ўжо 14-ы год запар. Там 63% кампаній ужо прызнаюць, што яны перакладаюць гэтыя выдаткі на кліентаў, што сведчыць аб тым, што інвестыцыі ў бяспеку — гэта не проста мера засцярогі: гэта пытанне канкурэнтаздольнасці і іміджу. Эліяс робіць выснову: «У часы буму электроннай камерцыі і каштоўных дадзеных ігнараванне лічбавай бяспекі азначае страту грошай, пагаршэнне даходаў і рэпутацыі, а таксама страту даверу кліентаў і аўтарытэту брэнда».
