Ett oskyldigt klick, ett obetydligt köp, en oemotståndlig rabatt. Allt verkar säkert, tills fakturan kommer med ett belopp du inte känner igen. Bakom kulisserna i e-handeln, medan konsumenterna njuter av bekvämligheten med det digitala, pågår en osynlig krig varje dag mot allt mer sofistikerade bedrägerier.
År 2024 har mer än hälften av brasilianarna redan blivit offer för någon form av bedrägeri, enligt Serasa Experian. Och påverkan är verklig: 54,2 % rapporterade ekonomiska förluster, många av dem utan att ens inse när bedrägeriet ägde rum. Tidigare kom bedrägerier i massor och på ett grovt sätt, idag är de kirurgiska, tysta och dyra. Det genomsnittliga beloppet per bedrägeri har ökat med 30% och överstiger nu 1 300 R$ per beställning.
Brottet har utvecklats, och den digitala säkerheten måste hänga med. E-handel är den nya lekplatsen för cyberbrottslingar. Data från Febraban visar att de finansiella förlusterna till följd av digitala bedrägerier i Brasilien uppgick till 10,1 miljarder R$, vilket är 17 % mer än föregående år. Den digitala miljön, särskilt för e-handel, har blivit ett minfält, varnar Wagner Elias, VD för Conviso, som är specialiserat på applikationssäkerhet.
Och fienden sover inte. Hotorna är varierade, från phishing-attacker (som utgör 15 % av fallen) till användning av stulna inloggningsuppgifter (16 %), inklusive illvilliga insiders, som för övrigt har en genomsnittlig kostnad per överträdelse på 4,99 miljoner USD, den högsta på listan.
Elias berättar att en av de populära teknikerna är digital skimming och account takeover (ATO). Utan skimming injicerar brottslingen skadlig kod direkt på betalningssidan. Redan vid ATO är bluffen mer kall och metodisk: med läckta inloggningsuppgifter får den tillgång till riktiga konton, byter lösenord och gör köp. Enligt företaget AllowMe står 72 % av bedrägerierna inom digital detaljhandel för dessa obehöriga åtkomster.
De föredragna målen? Spel, mobiltelefoner, IT och elektronik, produkter med hög likviditet på den informella marknaden och lätt att sälja vidare. De betalningsmetoder som bedragare föredrar är fortfarande kreditkort. Anledningen är enkel: snabb köp, lite kontroll, och man upptäcker det först när fakturan kommer.
KÄMPEN
Och vad kan göras? Svaret ligger i teknologin och framför allt i säkerhetsplaneringen från början av applikationsutvecklingen. Svaret ligger i teknologin, ja, men framför allt i hur den implementeras. Att vänta med att tänka på säkerhet tills systemet är igång är ett fatalt misstag. Det är nödvändigt att inkludera metoder som PCI DSS från början av utvecklingen och investera i verktyg som WAFs för att skydda webbplatser mot attacker i realtid, säger Wagner Elias.
Det är här verktyg som WAFs (Web Application Firewalls) kommer in, som övervakar trafiken i realtid, blockerar misstänkta mönster och skyddar webbplatser mot attacker som kodinjektion och obehörig åtkomst. Användningen av AI (Artificiell Intelligens) har också varit viktig för att förutse skadliga beteenden, vilket minskar kostnaderna för dataintrång med upp till 2,2 miljoner US-dollar, enligt studien "Cost of a Data Breach 2024" från IBM.
En annan viktig punkt är användningen av metoder som är kompatibla med PCI DSS (Payment Card Industry Data Security Standard), en uppsättning internationella standarder som hjälper till att skydda korttransaktioner. Företag som hanterar betalningsuppgifter måste, av skyldighet och affärsintelligens, strikt följa PCI. Det är det som skiljer ett säkert system från en öppen dörr för bedrägeri, avslutar Elias.
Även med teknologins framsteg är den genomsnittliga tiden för att hantera ett intrång fortfarande lång: 258 dagar. I fallet med stulna inloggningsuppgifter kan det ta upp till 292 dagar, nästan ett år. En del av ansvaret ligger i bristen på specialiserade yrkesverksamma, som ökade med 26,2 % under det senaste året och höjde kostnaden för överträdelser med 1,76 miljoner US-dollar.
Men dock varnar experten: de som satsar på automation, säkerhet från grunden och attackssimuleringar — så kallade penetrationstester — har större chans att klara sig oskadda eller åtminstone minska skadorna.
Rapporter från de ledande myndigheterna inom cybersäkerhet visar på effektiviteten hos PCI DSS- och WAF-skydd: enligt Verizon DBIR 2024 minskar efterlevnad av PCI DSS-standarden säkerhetsincidenter med 52 %, medan WAF:er blockerar upp till 80 % av attacker mot webbapplikationer. Studien Cost of a Data Breach 2023 från IBM visar att företag med WAFs sparar 1,4 miljoner USD per intrång, och PCI DSS förkortar svarstiden vid intrång med 54 %. När de kombineras kan dessa lösningar minska de ekonomiska förlusterna med upp till 75 %, enligt Ponemon Institute (2024).
Således har företag som följer PCI DSS-standarden hälften så många problem med dataläckor, och Web Application Firewalls (WAFs) förhindrar 8 av 10 hackerattacker. Den som använder båda teknologierna tillsammans begränsar de ekonomiska förlusterna till endast 25 % av det normalt förväntade värdet efter intrång, förklarar han.
I USA kostar en våldtäkt i genomsnitt 9,36 miljoner dollar, den högsta i världen för 14:e året i rad. Där erkänner 63 % av företagen redan att de kommer att vidarebefordra dessa kostnader till kunderna, vilket visar att investering i säkerhet inte bara är en försiktighetsåtgärd: det är en fråga om konkurrenskraft och image. Elias avslutar: "I tider av het e-handel och värdefulla data är att ignorera den digitala säkerheten att lämna pengar på bordet, kompromissa med intäkter och rykte samtidigt. Dessutom förlorar man kundens förtroende och varumärkets trovärdighet."
