एक निर्दोष क्लिक, एक अनावश्यक खरीदारी, एक अविश्वसनीय छूट। सब कुछ सुरक्षित लगता है, जब तक कि बिल न आए जिसमें आप पहचान नहीं पाते। ई-कॉमर्स के पर्दे के पीछे, जबकि उपभोक्ता डिजिटल की सुविधा का आनंद लेते हैं, हर दिन एक अदृश्य युद्ध लड़ा जाता है अधिक परिष्कृत धोखाधड़ी के खिलाफ।
2024 में, ब्राज़ील के अधिकतर लोग किसी न किसी प्रकार के धोखाधड़ी का शिकार हो चुके हैं, के अनुसार सेरासा एक्सपेरियन। और प्रभाव वास्तविक है: 54.2% ने वित्तीय नुकसान की रिपोर्ट की, उनमें से कई को धोखे का समय भी नहीं पता चला। पहले धोखाधड़ी भारी मात्रा में और粗糙 तरीके से होती थी, आज वे सर्जिकल, शांत और महंगी हैं। ठगी का औसत टिकट 30% बढ़ गया है और अब प्रति आदेश R$ 1,300 से अधिक हो गया है।
अपराध विकसित हो गया है, और डिजिटल सुरक्षा को पीछे रहना चाहिए। ई-कॉमर्स साइबर अपराधियों का नया खेल का मैदान है। फेब्राबान के आंकड़ों से पता चलता है कि ब्राजील में डिजिटल धोखाधड़ी से होने वाले वित्तीय नुकसान 2024 में 10.1 अरब रियाल तक पहुंच गया, जो पिछले साल की तुलना में 17% अधिक है। डिजिटल वातावरण, विशेष रूप से ई-कॉमर्स के लिए, एक खतरनाक क्षेत्र बन गया है, वाग्नर एलियास, कंविसो के सीईओ, जो एप्लिकेशन सुरक्षा में विशेषज्ञता रखता है, चेतावनी देते हैं।
और दुश्मन सोता नहीं। खतरों की विविधता है, फिशिंग हमलों (जो मामलों का 15% हैं) से लेकर चोरी किए गए क्रेडेंशियल्स के उपयोग (16%) तक, साथ ही दुर्भावनापूर्ण आंतरिक कर्मचारियों से भी, जिनका औसत लागत प्रति उल्लंघन $4.99 मिलियन है, जो सूची में सबसे अधिक है।
एलियास कहते हैं कि वर्तमान में लोकप्रिय तकनीकों में डिजिटल स्किमिंग और खाता कब्जा (एटीओ) शामिल हैं। स्किमिंग नहीं, अपराधी सीधे भुगतान पृष्ठ में मालिशियस कोड इंजेक्ट करता है। अब एटीओ में, हमला अधिक ठंडा और विधिपूर्वक है: लीक हुई प्रमाण-पत्रों के साथ, वास्तविक खातों तक पहुंचता है, पासवर्ड बदलता है और खरीदारी करता है। एलाउमी के अनुसार, डिजिटल रिटेल में 72% धोखाधड़ी इन अनधिकृत पहुंचों से आती है।
पसंदीदा लक्ष्य कौन से हैं? खेल, मोबाइल, कंप्यूटर और इलेक्ट्रॉनिक्स, बाजार में उच्च तरलता वाले उत्पाद और आसान पुनर्विक्रय। धोखेबाजों के पसंदीदा भुगतान के तरीके अभी भी क्रेडिट कार्ड ही हैं। कारण सरल है: तेज़ खरीदारी, कम जाँच, और तभी पता चलता है जब बिल आता है।
लड़ाई
और क्या किया जा सकता है? उत्तर तकनीक में है और सबसे महत्वपूर्ण बात यह है कि सुरक्षा की योजना शुरू से ही एप्लिकेशन के विकास के दौरान बनाई जाए। उत्तर तकनीक में है, हाँ, लेकिन सबसे ऊपर, इसे कैसे लागू किया जाता है, इसमें है। सुरक्षा के बारे में सोचने के लिए सिस्टम चलने के बाद छोड़ देना एक घातक त्रुटि है। शुरुआत से ही PCI DSS जैसी प्रथाओं को शामिल करना और WAF जैसी उपकरणों में निवेश करना आवश्यक है ताकि साइटों को वास्तविक समय में हमलों से सुरक्षित किया जा सके, वाग्नर एलियास कहते हैं।
यहां वेब एप्लिकेशन फायरवॉल्स (WAFs) जैसी उपकरणें आती हैं, जो ट्रैफ़िक को रीयल टाइम में मॉनिटर करती हैं, संदिग्ध पैटर्न को ब्लॉक करती हैं और कोड इंजेक्शन और अनधिकृत पहुंच जैसे हमलों से साइटों की रक्षा करती हैं। एआई (कृत्रिम बुद्धिमत्ता) का उपयोग भी दुर्भावनापूर्ण व्यवहारों का पूर्वानुमान लगाने के लिए महत्वपूर्ण रहा है, जिससे उल्लंघनों पर खर्च में 2.2 मिलियन अमेरिकी डॉलर तक की कमी आई है, आईबीएम के "डेटा उल्लंघन का लागत 2024" अध्ययन के अनुसार।
एक और महत्वपूर्ण बिंदु है PCI DSS (पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैंडर्ड) के अनुकूल प्रथाओं का उपयोग, जो कार्ड लेनदेन की सुरक्षा में मदद करने वाले अंतरराष्ट्रीय मानकों का एक सेट है। भुगतान डेटा के साथ काम करने वाली कंपनियों को, कर्तव्य और व्यापार की बुद्धिमत्ता के कारण, PCI का सख्ती से पालन करना आवश्यक है। यही एक सुरक्षित प्रणाली और धोखे के लिए खुली दरवाज़े के बीच का अंतर है, एलियास ने कहा।
प्रौद्योगिकी के विकास के बावजूद, उल्लंघन को रोकने का औसत समय अभी भी लंबा है: 258 दिन। चोरी किए गए प्रमाणपत्रों के मामले में, यह लगभग एक साल, 292 दिनों तक हो सकता है। आंशिक रूप से जिम्मेदारी विशेषज्ञ पेशेवरों की कमी है, जिसने पिछले साल में 26.2% की वृद्धि की है और उल्लंघनों की लागत को 1.76 मिलियन अमेरिकी डॉलर बढ़ा दिया है।
हालांकि, विशेषज्ञ चेतावनी देते हैं: जो स्वचालन, बुनियादी सुरक्षा और हमले के सिमुलेशन — जिन्हें पेनिट्रेशन टेस्ट कहा जाता है — में निवेश करते हैं, उनके बचने की संभावना अधिक होती है या कम से कम नुकसान को कम कर सकते हैं।
साइबर सुरक्षा में प्रमुख प्राधिकरणों की रिपोर्टें PCI DSS और WAF की प्रभावशीलता को प्रमाणित करती हैं: Verizon के DBIR 2024 के अनुसार, PCI DSS मानक का अनुपालन सुरक्षा घटनाओं को 52% तक कम करता है, जबकि WAF वेब अनुप्रयोगों पर हमलों का 80% तक ब्लॉक कर सकते हैं। आईबीएम के डेटा ब्रीच लागत 2023 अध्ययन से पता चलता है कि WAFs वाले व्यवसाय प्रत्येक उल्लंघन पर 1.4 मिलियन अमेरिकी डॉलर की बचत करते हैं, और PCI DSS उल्लंघनों के जवाब देने के समय को 54% तक तेज कर देता है। जब मिलाई जाती हैं, ये समाधान वित्तीय नुकसान को 75% तक कम कर सकते हैं, पीनोमेन संस्थान (2024) के अनुसार।
इसलिए, PCI DSS मानक का पालन करने वाली कंपनियों को डेटा लीक की समस्याओं का आधा सामना करना पड़ता है, और वेब एप्लिकेशन फायरवॉल (WAFs) 10 में से 8 हैकिंग हमलों को रोकते हैं। जो दोनों तकनीकों का संयुक्त रूप से उपयोग करते हैं, वे इन्वेज़नों के बाद सामान्यतः अपेक्षित मूल्य का केवल 25% ही वित्तीय नुकसान सीमित करते हैं, यह कहा।
संयुक्त राज्य अमेरिका में, एक बलात्कार का औसत लागत 9.36 मिलियन अमेरिकी डॉलर है, जो लगातार 14वें वर्ष दुनिया में सबसे अधिक है। वहाँ, 63% कंपनियां पहले ही स्वीकार कर चुकी हैं कि वे इस लागत को ग्राहकों पर पारित करेंगी, जो दिखाता है कि सुरक्षा में निवेश केवल सावधानी नहीं है: यह प्रतिस्पर्धा और छवि का मामला है। एलियास समाप्त करता है: "तेज़ ई-कॉमर्स के समय में और मूल्यवान डेटा के साथ, डिजिटल सुरक्षा को नजरअंदाज करना पैसे को मेज़ पर छोड़ने जैसा है, साथ ही राजस्व और प्रतिष्ठा को खतरे में डालना। इसके अलावा ग्राहक का विश्वास और ब्रांड की विश्वसनीयता भी खोना।"
