Een onschuldig klikje, een onbeduidende aankoop, een niet te missen korting. Alles lijkt veilig, totdat de rekening arriveert met een bedrag dat je niet herkent. Achter de schermen van e-commerce, terwijl consumenten genieten van het gemak van digitaal, wordt elke dag een onzichtbare oorlog gevoerd tegen steeds geavanceerdere oplichterijen.
In 2024, meer dan de helft van de Brazilianen is al het slachtoffer geweest van een soort fraude, volgens Serasa Experian. En de impact is echt: 54,2% rapporteerden financiële verliezen, velen van hen zonder het moment van de oplichting te beseffen. Als de fraude vroeger massaal en grof was, zijn ze nu chirurgisch, stil en duur. De gemiddelde ticketprijs van de oplichting is met 30% gestegen en bedraagt nu meer dan R$ 1.300 per bestelling.
De criminaliteit is geëvolueerd, en digitale beveiliging moet achterblijven. De e-commerce is het nieuwe speelterrein van cybercriminelen. Gegevens van Febraban tonen aan dat de financiële verliezen door digitale fraude in Brazilië in 2024 10,1 miljard R$ bedroegen, een stijging van 17% ten opzichte van het voorgaande jaar. "De digitale omgeving, vooral voor e-commerce, is veranderd in een mijnenveld," waarschuwt Wagner Elias, CEO van Conviso, gespecialiseerd in applicatiebeveiliging.
En de vijand slaapt niet. De bedreigingen zijn gevarieerd, van phishing-aanvallen (die 15% van de gevallen uitmaken) tot het gebruik van gestolen inloggegevens (16%), inclusief kwaadaardige insiders, die trouwens een gemiddelde kostenpost van 4,99 miljoen dollar per inbreuk hebben, het hoogste op de lijst.
Elias vertelt dat een van de populaire technieken het digitale skimmen en het overnemen van accounts (ATO) zijn. Zonder te lezen, injecteert de crimineel kwaadaardige codes rechtstreeks op de betaalpagina. Al ATO, la truffa è più fredda e metodica: con credenziali trapelate, accede a conti reali, cambia password e fa acquisti. Volgens het bedrijf AllowMe komt 72% van de fraude in digitale detailhandel door ongeoorloofde toegang.
De favoriete doelen? Spellen, mobiele telefoons, informatica en elektronica, producten met hoge liquiditeit op de informele markt en gemakkelijk doorverkoop. De favoriete betaalmiddelen van de oplichters blijven creditcards. De reden is eenvoudig: snelle aankoop, weinig verificatie, en je ontdekt het pas wanneer de factuur arriveert.
Het gevecht
En wat kan er gedaan worden? Het antwoord ligt in de technologie en vooral in de veiligheidsplanning vanaf het begin van de ontwikkeling van de applicaties. Het antwoord ligt in de technologie, ja, maar vooral in de manier waarop deze wordt geïmplementeerd. Pas nadenken over beveiliging nadat het systeem draait, is een fatale fout. Het is noodzakelijk om vanaf het begin praktijken zoals PCI DSS te integreren en te investeren in tools zoals WAFs om de sites te beschermen tegen aanvallen in realtime, zegt Wagner Elias.
Daar komen tools zoals WAFs (Web Application Firewalls) in beeld, die het verkeer in realtime monitoren, verdachte patronen blokkeren en websites beschermen tegen aanvallen zoals code-injectie en onbevoegde toegang. Het gebruik van AI (Kunstmatige Intelligentie) is ook belangrijk gebleken om kwaadaardige gedragingen te voorspellen, waardoor de kosten voor inbreuken met wel $2,2 miljoen kunnen worden verminderd, volgens de studie "Cost of a Data Breach 2024" van IBM.
Een ander essentieel punt is het gebruik van praktijken die compatibel zijn met PCI DSS (Payment Card Industry Data Security Standard), een reeks internationale normen die helpen bij het beveiligen van kaarttransacties. Bedrijven die werken met betalingsgegevens moeten, uit plichtsgetrouwheid en zakelijk inzicht, strikt de PCI-normen volgen. Dit is wat een veilig systeem onderscheidt van een open deur voor fraude, voegt Elias toe.
Zelfs met de vooruitgang in technologie duurt het nog steeds lang om een inbreuk te beperken: 258 dagen. In het geval van gestolen inloggegevens kan dit oplopen tot 292 dagen, bijna een jaar. Een deel van de schuld ligt bij het tekort aan gespecialiseerde professionals, dat met 26,2% is toegenomen in het afgelopen jaar en de kosten van schendingen met 1,76 miljoen dollar heeft verhoogd.
No entanto, o especialista alerta: quem aposta em automação, segurança desde a base e simulações de ataques — os chamados testes de penetração — tem mais chances de sair ileso ou, pelo menos, reduzir os danos.
Rapporten van de belangrijkste autoriteiten op het gebied van cyberbeveiliging bewijzen de effectiviteit van PCI DSS- en WAF-beschermingen: volgens de Verizon DBIR 2024 vermindert naleving van de PCI DSS-standaard het aantal beveiligingsincidenten met 52%, terwijl WAF's tot 80% van de aanvallen op webapplicaties blokkeren. De IBM-studie Cost of a Data Breach 2023 onthult dat bedrijven met WAF's $1,4 miljoen besparen per inbreuk, en de PCI DSS versnelt de reactietijd op inbreuken met 54%. Wanneer ze gecombineerd worden, kunnen deze oplossingen de financiële verliezen met tot 75% verminderen, volgens het Ponemon Institute (2024).
Zo, bedrijven die de PCI DSS-standaard volgen, hebben de helft minder problemen met datalekken, en Web Application Firewalls (WAFs) voorkomen 8 op de 10 hackersaanvallen. Wie beide technologieën samen gebruikt, beperkt de financiële schade tot slechts 25% van de normaal verwachte waarde na inbraken, legt hij uit.
In de VS kost een verkrachting gemiddeld 9,36 miljoen dollar, de hoogste ter wereld voor het 14e jaar op rij. Daar geeft 63% van de bedrijven toe dat ze deze kosten doorberekenen aan de klanten, wat aangeeft dat investeren in beveiliging niet alleen een voorzorgsmaatregel is: het is een kwestie van concurrentievermogen en imago. Elias sluit af: "In tijden van een bloeiende e-commerce en waardevolle gegevens is het negeren van digitale beveiliging geld laten liggen, terwijl je tegelijkertijd omzet en reputatie in gevaar brengt. Daarnaast verlies je ook het vertrouwen van de klant en de geloofwaardigheid van het merk."
