Et uskyldig klikk, et ubetenksom kjøp, en uimotståelig rabatt. Alt er trygt, helt til fakturaen kommer med et beløp du ikke kjenner igjen. Bak kulissene i netthandel, mens forbrukere nyter godt av digital komfort, pågår en usynlig krig hver dag mot stadig mer sofistikerte svindel.
I 2024 har mer enn halvparten av brasilianerne vært utsatt for en eller annen form for svindel, ifølge Serasa Experian. Og påvirkningen er reell: 54,2 % rapporterte økonomisk tap, mange av dem uten å innse når svindelen skjedde. Hvis tidligere svindel kom i store mengder og på en grov måte, er de i dag kirurgiske, stille og kostbare. Den gjennomsnittlige billettprisen for svindel har økt med 30 % og overstiger nå 1 300 R$ per bestilling.
Kriminaliteten har utviklet seg, og digital sikkerhet må følge etter. E-handel er det nye lekeplassen for cyberkriminelle. Data fra Febraban viser at de økonomiske tapene på grunn av digitale svindler i Brasil nådde 10,1 milliarder R$ i 2024, en økning på 17 % sammenlignet med året før. "Det digitale miljøet, spesielt for netthandel, har blitt en minefelt," advarer Wagner Elias, administrerende direktør i Conviso, som spesialiserer seg på applikasjonssikkerhet.
Og fienden sover ikke. Trusler er varierte, fra phishing-angrep (som utgjør 15 % av tilfellene) til bruk av stjålne legitimasjoner (16 %), og inkluderer ondsinnede insiders, som for øvrig har en gjennomsnittlig kostnad på 4,99 millioner dollar per brudd, den høyeste på listen.
Elias sier at en av de populære teknikkene er digital skimming og kontoovertakelse (ATO). Uten å skumme, injiserer kriminaliteten skadelig kode direkte på betalingssiden. Aller i ATO er svindelen mer kald og metodisk: med lekkede legitimasjoner får den tilgang til ekte kontoer, bytter passord og gjør kjøp. Ifølge selskapet AllowMe kommer 72 % av svindelen innen digital detaljhandel fra uautorisert tilgang.
De foretrukne mål? Spill, mobiltelefoner, IT og elektronikk, produkter med høy likviditet på det uformelle markedet og enkel videresalg. De betalingsmidlene som svindlerne foretrekker, er fortsatt kredittkort. Årsaken er enkel: rask kjøp, lite kontroll, og det oppdages først når fakturaen kommer.
KAMPEN
Og hva kan gjøres? Svaret ligger i teknologien og spesielt i sikkerhetsplanleggingen fra starten av utviklingen av applikasjonene. Svaret ligger i teknologien, ja, men fremfor alt i hvordan den er implementert. Å vente med å tenke på sikkerhet til systemet er i drift, er en fatal feil. Det er nødvendig å inkludere praksiser som PCI DSS fra starten av utviklingen og investere i verktøy som WAF-er for å beskytte nettstedene mot angrep i sanntid, sier Wagner Elias.
Det er her verktøy som WAF-er (Web Application Firewalls) kommer inn, som overvåker trafikken i sanntid, blokkerer mistenkelige mønstre og beskytter nettstedene mot angrep som kodesprøyting og uautorisert tilgang. Bruken av AI (kunstig intelligens) har også vært viktig for å forutsi ondsinnede atferd, og har redusert kostnadene ved brudd med opptil 2,2 millioner dollar, ifølge studien "Cost of a Data Breach 2024" fra IBM.
Et annet viktig punkt er bruk av praksiser som er i samsvar med PCI DSS (Payment Card Industry Data Security Standard), et sett med internasjonale standarder som hjelper med å beskytte korttransaksjoner. "Bedrifter som håndterer betalingsdata må, av nødvendighet og forretningsmessig intelligens, følge PCI-kravene nøye. Det er det som skiller et sikkert system fra en åpen dør for svindel," legger Elias til.
Selv om teknologien har utviklet seg, er den gjennomsnittlige tiden for å håndtere et brudd fortsatt lang: 258 dager. I tilfelle stjålne legitimasjoner kan det opp til 292 dager, nesten ett år. En del av skyldes mangelen på spesialiserte fagfolk, som økte med 26,2 % det siste året og økte kostnadene for brudd med 1,76 millioner dollar.
Imidlertid advarer eksperten: de som satser på automatisering, sikkerhet fra bunnen av og simuleringer av angrep — de såkalte penetrasjonstestene — har større sjanser for å komme uskadd ut eller i det minste redusere skadene.
Rapporter fra de viktigste myndighetene innen cybersikkerhet bekrefter effektiviteten av PCI DSS- og WAF-beskyttelser: i henhold til Verizon's DBIR 2024 reduserer overholdelse av PCI DSS-standarden sikkerhetsbrudd med 52 %, mens WAF-er blokkerer opptil 80 % av angrep på webapplikasjoner. Studien Cost of a Data Breach 2023 fra IBM avslører at selskaper med WAFs sparer 1,4 millioner dollar per brudd, og PCI DSS reduserer responstiden til brudd med 54 %. Når de kombineres, kan disse løsningene redusere de økonomiske tapene med opptil 75 %, ifølge Ponemon Institute (2024).
Dermed har selskaper som følger PCI DSS-standarden halvparten så mange problemer med datalekkasjer, og Web Application Firewalls (WAFs) hindrer 8 av 10 hackerangrep. De som bruker begge teknologiene sammen begrenser de økonomiske tapene til bare 25 % av det normalt forventede beløpet etter innbrudd, forklarer de.
I USA koster et voldtekt i gjennomsnitt 9,36 millioner dollar, den høyeste i verden for 14. året på rad. Deretter innrømmer 63 % av selskapene at de vil overføre denne kostnaden til kundene, noe som viser at investering i sikkerhet ikke bare er en forsiktighetsregel: det er et spørsmål om konkurranseevne og omdømme. Elias avslutter: «I en tid med opphetet netthandel og verdifulle data, er det å ignorere digital sikkerhet å legge penger på bordet, kompromittere inntekt og omdømme samtidig. I tillegg mister man også kundens tillit og merkevarens troverdighet.»
