Një klikim i pafajshëm, një blerje e thjeshtë, një zbritje që nuk duhet humbur. Gjithçka duket e sigurt, derisa të mbërrijë fatura me një shumë që nuk e njihni. Prapa skenave të tregtisë elektronike, ndërsa konsumatorët shijojnë komoditetin e dixhitalit, një luftë e padukshme zhvillohet çdo ditë kundër mashtrimeve gjithnjë e më të sofistikuara.
Deri në vitin 2024, më shumë se gjysma e brazilianëve kishin qenë viktima të ndonjë lloj mashtrimi, sipas Serasa Experian. Dhe ndikimi është real: 54.2% raportuan humbje financiare, shumë prej tyre pa e kuptuar fare mashtrimin. Ndërsa mashtrimi dikur ishte masiv dhe i hapur, sot është kirurgjikal, i heshtur dhe i kushtueshëm. Çmimi mesatar i biletës për këto mashtrime është rritur me 30% dhe tani tejkalon 1,300 rand për porosi.
Krimi ka evoluar dhe siguria dixhitale duhet të vazhdojë me të njëjtin ritëm. Tregtia elektronike është fusha e re e lojërave për kriminelët kibernetikë. Të dhënat nga Febraban (Banka Braziliane e Brazilit) tregojnë se humbjet financiare nga mashtrimet dixhitale në Brazil arritën në 10.1 miliardë dollarë rand në vitin 2024, 17% më shumë se një vit më parë. "Mjedisi dixhital, veçanërisht për tregtinë elektronike, është bërë një fushë minash", paralajmëron Wagner Elias, CEO i Conviso, një kompani e specializuar në sigurinë e aplikacioneve.
Dhe armiku nuk fle. Kërcënimet janë të ndryshme, nga sulmet e phishing-ut (të cilat përbëjnë 15% të rasteve) deri te përdorimi i kredencialeve të vjedhura (16%), dhe madje edhe nga persona të brendshëm keqdashës, ku këta të fundit kanë një kosto mesatare për shkelje prej 4.99 milionë dollarësh amerikanë, më e larta në listë.
Elias shpjegon se disa nga teknikat më të njohura janë skimming dixhital dhe marrja e llogarisë (ATO). Në skimming, krimineli injekton kod të dëmshëm direkt në faqen e pagesës. Në ATO, mashtrimi është më metodik dhe më i plotë: duke përdorur kredencialet e rrjedhura, ata hyjnë në llogari të vërteta, ndryshojnë fjalëkalimet dhe bëjnë blerje. Sipas kompanisë AllowMe, 72% e mashtrimeve dixhitale me pakicë vijnë nga këto qasje të paautorizuara.
Shënjestrat e tyre të preferuara? Lojërat, telefonat celularë, kompjuterët dhe pajisjet elektronike—produkte me likuiditet të lartë në tregun informal dhe rishitje të lehtë. Ndërkohë, metodat e preferuara të pagesës nga mashtruesit vazhdojnë të jenë kartat e kreditit. Arsyeja është e thjeshtë: blerje të shpejta, verifikim minimal dhe zbulim vetëm kur mbërrin fatura.
LUFTA
Dhe çfarë mund të bëhet? Përgjigja qëndron te teknologjia dhe, mbi të gjitha, te planifikimi i sigurisë që nga fillimi i zhvillimit të aplikacionit. "Përgjigja qëndron te teknologjia, po, por mbi të gjitha, te mënyra se si zbatohet. Lënia e konsideratave të sigurisë derisa sistemi të jetë në funksionim është një gabim fatal. Praktikat si PCI DSS duhet të përfshihen që nga fillimi i zhvillimit dhe investimi në mjete si WAF për të mbrojtur faqet e internetit nga sulmet në kohë reale", thotë Wagner Elias.
Këtu hyjnë në lojë mjete si WAF-të (Firewall-et e Aplikacioneve Web), të cilat monitorojnë trafikun në kohë reale, bllokojnë modelet e dyshimta dhe mbrojnë faqet e internetit nga sulme si injektimi i kodit dhe qasja e paautorizuar. Përdorimi i IA-së (Inteligjencës Artificiale) ka qenë gjithashtu i rëndësishëm në parashikimin e sjelljes keqdashëse, duke ulur kostot e shkeljeve deri në 2.2 milionë dollarë, sipas studimit të IBM-së "Kostoja e një Shkeljeje të të Dhënave 2024".
Një pikë tjetër thelbësore është përdorimi i praktikave në përputhje me PCI DSS (Standardi i Sigurisë së të Dhënave të Industrisë së Kartave të Pagesave), një sërë standardesh ndërkombëtare që ndihmojnë në mbrojtjen e transaksioneve me karta. "Kompanitë që operojnë me të dhëna pagesash duhet, si nga detyrimi ashtu edhe për inteligjencën e biznesit, të ndjekin në mënyrë strikte PCI-në. Kjo është ajo që e ndan një sistem të sigurt nga një derë e hapur për mashtrim", shton Elias.
Edhe me përparimet teknologjike, koha mesatare për të përmbajtur një shkelje është ende e gjatë: 258 ditë. Në rastin e vjedhjes së kredencialeve, mund të arrijë në 292 ditë, pothuajse një vit. Një pjesë e fajit i takon mungesës së profesionistëve të specializuar, e cila u rrit me 26.2% vitin e kaluar, duke rritur koston e shkeljeve me 1.76 milionë dollarë.
Megjithatë, eksperti paralajmëron: ata që investojnë në automatizim, siguri nga themelet dhe simulime sulmesh - të njohura si teste depërtimi - kanë një shans më të mirë për të dalë të padëmtuar ose, të paktën, për të zvogëluar dëmin.
Raportet nga autoritetet kryesore të sigurisë kibernetike konfirmojnë efektivitetin e mbrojtjes PCI DSS dhe WAF: sipas DBIR 2024 të Verizon, përputhshmëria me PCI DSS zvogëlon incidentet e sigurisë me 52%, ndërsa WAF-të bllokojnë deri në 80% të sulmeve të aplikacioneve web. Studimi i IBM-it "Kostoja e një shkeljeje të të dhënave 2023" zbulon se kompanitë me WAF kursejnë 1.4 milion dollarë për shkelje, dhe PCI DSS përshpejton kohën e reagimit ndaj shkeljeve me 54%. Kur kombinohen, këto zgjidhje mund të zvogëlojnë humbjet financiare deri në 75%, sipas Institutit Ponemon (2024).
"Kështu, kompanitë që ndjekin standardin PCI DSS përjetojnë gjysmën e rrezikut të shkeljeve të të dhënave, dhe Firewall-et e Aplikacioneve Web (WAF) parandalojnë 8 nga 10 sulme hakerësh. Ata që përdorin të dyja teknologjitë së bashku i kufizojnë humbjet financiare në vetëm 25% të shumës që pritet normalisht pas shkeljeve", shpjegon ai.
Në SHBA, një përdhunim kushton mesatarisht 9.36 milionë dollarë amerikanë, më i larti në botë për të 14-tin vit radhazi. Atje, 63% e kompanive tashmë pranojnë se do ta kalojnë këtë kosto te klientët, gjë që tregon se investimi në siguri nuk është vetëm një masë paraprake: është çështje konkurrueshmërie dhe imazhi. Elias përfundon: "Në kohë lulëzimi të tregtisë elektronike dhe të dhënave të vlefshme, injorimi i sigurisë dixhitale do të thotë të lësh para në tavolinë, të kompromentosh të ardhurat dhe reputacionin, si dhe të humbasësh besimin e klientëve dhe besueshmërinë e markës."
