Nevinné kliknutí, nenáročný nákup, nezapomenutelná sleva. Všechno se zdá bezpečné, dokud nepřijde účet s částkou, kterou nepoznáváte. V zákulisí elektronického obchodování, zatímco si spotřebitelé užívají pohodlí digitálních technologií, se každý den vede neviditelná válka proti stále sofistikovanějším podvodům.
Podle společnosti Serasa Experian se do roku 2024 více než polovina Brazilců stala obětí nějakého druhu podvodu. A dopad je reálný: 54,2 % nahlásilo finanční ztrátu, přičemž mnozí z nich si podvodu ani neuvědomovali. Zatímco dříve byly podvody masivní a do očí bijící, dnes jsou chirurgické, tiché a drahé. Průměrná cena lístků za tyto podvody se zvýšila o 30 % a nyní přesahuje 1 300 brazilských realů za objednávku.
Zločin se vyvíjí a digitální bezpečnost s ním musí držet krok. Elektronické obchodování je novým hřištěm pro kyberzločince. Data z Febraban (Brazilská banka Brazílie) ukazují, že finanční ztráty způsobené digitálními podvody v Brazílii dosáhly v roce 2024 10,1 miliardy brazilských realů, což je o 17 % více než v předchozím roce. „Digitální prostředí, zejména pro elektronické obchodování, se stalo minovým polem,“ varuje Wagner Elias, generální ředitel společnosti Conviso, která se specializuje na bezpečnost aplikací.
A nepřítel nespí. Hrozby jsou rozmanité, od phishingových útoků (které tvoří 15 % případů) až po zneužití odcizených přihlašovacích údajů (16 %), a dokonce i útoky ze strany zesnulých, přičemž v případě těch druhých průměrné náklady na jedno narušení dosahují 4,99 milionu USD, což je nejvyšší hodnota na seznamu.
Elias vysvětluje, že mezi nejoblíbenější techniky patří digitální skimming a převzetí účtu (ATO). Při skimmingu zločinec vkládá škodlivý kód přímo do platební stránky. V ATO je podvod metodičtější a systematičtější: pomocí uniklých přihlašovacích údajů se přistupuje ke skutečným účtům, mění hesla a provádějí nákupy. Podle společnosti AllowMe pochází 72 % podvodů v digitálním maloobchodě z těchto neoprávněných přístupů.
Jejich preferované cíle? Hry, mobilní telefony, počítače a elektronika – produkty s vysokou likviditou na neformálním trhu a snadným dalším prodejem. Preferovanými platebními metodami podvodníků jsou i nadále kreditní karty. Důvod je jednoduchý: rychlé nákupy, minimální ověření a odhalení až po vystavení účtu.
BOJ
A co se s tím dá dělat? Odpověď spočívá v technologiích a především v plánování zabezpečení od samého začátku vývoje aplikace. „Odpověď spočívá v technologiích, ano, ale především v tom, jak jsou implementovány. Ponechávat bezpečnostní aspekty až do doby, než bude systém spuštěn a funkční, je fatální chyba. Postupy jako PCI DSS musí být začleněny od samého začátku vývoje a investice do nástrojů, jako jsou WAF, musí být použity k ochraně webových stránek před útoky v reálném čase,“ říká Wagner Elias.
A právě zde přicházejí na řadu nástroje jako WAF (Web Application Firewalls), které monitorují provoz v reálném čase, blokují podezřelé vzorce a chrání webové stránky před útoky, jako je vkládání kódu a neoprávněný přístup. Použití umělé inteligence (AI) sehrálo také důležitou roli v předvídání škodlivého chování a podle studie IBM „Cost of a Data Breach 2024“ snížilo náklady na úniky dat až o 2,2 milionu dolarů.
Dalším zásadním bodem je používání postupů v souladu s normou PCI DSS (Payment Card Industry Data Security Standard), což je soubor mezinárodních standardů, které pomáhají chránit transakce s kartami. „Společnosti, které pracují s platebními daty, musí, a to jak z povinnosti, tak i z důvodu business intelligence, striktně dodržovat normu PCI. To je to, co odlišuje bezpečný systém od otevřených dveří podvodům,“ dodává Elias.
I přes technologický pokrok je průměrná doba potřebná k zamezení narušení bezpečnosti stále dlouhá: 258 dní. V případě odcizených přihlašovacích údajů může dosáhnout 292 dní, což je téměř rok. Část viny leží na nedostatku specializovaných profesionálů, který se loni zvýšil o 26,2 %, což zvýšilo náklady na narušení bezpečnosti o 1,76 milionu dolarů.
Expert však varuje: ti, kteří investují do automatizace, zabezpečení od základů a simulací útoků – známých jako penetrační testy – mají větší šanci vyjít bez úhony, nebo alespoň snížit škody.
Zprávy od předních autorit v oblasti kybernetické bezpečnosti potvrzují účinnost ochrany PCI DSS a WAF: podle DBIR 2024 společnosti Verizon snižuje dodržování standardů PCI DSS počet bezpečnostních incidentů o 52 %, zatímco WAF blokují až 80 % útoků na webové aplikace. Studie společnosti IBM s názvem Náklady na únik dat z roku 2023 ukazuje, že společnosti s WAF ušetří 1,4 milionu dolarů na jedno narušení a PCI DSS zrychluje dobu reakce na narušení o 54 %. V kombinaci mohou tato řešení snížit finanční ztráty až o 75 %, uvádí Ponemon Institute (2024).
„Společnosti, které dodržují standard PCI DSS, tak čelí polovičnímu riziku úniků dat a firewally webových aplikací (WAF) zabraňují 8 z 10 útoků hackerů. Ti, kteří používají obě technologie společně, omezují finanční ztráty na pouhých 25 % částky, která se po únicích obvykle očekává,“ vysvětluje.
V USA stojí znásilnění v průměru 9,36 milionu amerických dolarů, což je již 14. rok po sobě nejvyšší částka na světě. Tam již 63 % společností připouští, že tyto náklady přenesou na zákazníky, což ukazuje, že investice do zabezpečení není jen preventivním opatřením: je to otázka konkurenceschopnosti a image. Elias uzavírá: „V době rozmachu elektronického obchodování a cenných dat znamená ignorování digitálního zabezpečení nechat peníze na stole, ohrozit příjmy a reputaci a také ztratit důvěru zákazníků a důvěryhodnost značky.“
