Přelom roku je každoročně nejsilnějším obdobím nakupování online. Zatímco v prosinci vrcholí vánoční nákupy, v lednu jsou obchodníci vytížení slevami a výprodeji. S rostoucí mírou digitalizace je tento čas ale obdobím sklizně i pro různé kybernetické podvodníky a hackery. Jaká jsou nejčastější rizika?
Většina z nás (97 %) již dnes nakupuje v internetových obchodech. Na trendy v nakupování na internetu a na přístup českých uživatelů a uživatelek ke kybernetickému zabezpečení se blíže podíval také ESET ve svém posledním průzkumu z prosince loňského roku. Výsledky jasně ukázaly, že oproti minulým letům roste obliba online nákupů prostřednictvím chytrého telefonu a mimo klasické české e‑shopy. Stále častěji nakupujeme online také v zahraničních e-shopech ze zemí EU a z Asie.
Na známém čínském tržišti Temu nakoupila podle výsledků průzkumu již třetina českých uživatelů. Zkušenost s nákupem na Temu má podle průzkumu zhruba třetina dotázaných (32 %), z nichž 7 % uvedlo, že zde nakupuje často. Čtvrtina dotázaných uváděla, že jim nakupování na Temu nepřijde bezpečné (23 %), nebo že tam nenakupují kvůli tomu, že jim zboží nepřijde kvalitní (24 %). Více informací najdete například v tomto článku.
Kromě klasických obchodů vzrostla také obliba bazarových platforem. Zatímco v roce 2023 uvádělo 39 % dotázaných, že na online bazarech nakupuje, letos využívání těchto nákupních platforem deklarovala téměř polovina respondentů (45 %).
Ačkoli již věnujeme větší pozornost bezpečným platbám kartami na internetu, obecně se v přístupu k zabezpečení našich zařízení, hesel a v posuzování bezpečnosti e-shopů meziročně nelepšíme. Přesně tyto limity ale mohou nahrávat hackerům a podvodníkům. V ohrožení při nakupování online přitom nejsou jen nakupující. Silná nákupní sezóna vystavuje kybernetickým hrozbám také maloobchodníky, kteří nemusí mít pro zajištění kybernetické bezpečnosti takové prostředky, jako velcí hráči na trhu.
Slabým článkem je při online nakupování telefon a jeho zabezpečení
Nejčastěji nakupujeme online prostřednictvím mobilních telefonů (69 %). Vůbec nejoblíbenější jsou hlavně u nejmladší generace. Jen polovina z nás si však chrání chytrý mobilní telefon nějakým bezpečnostním řešením. Obliba využívání chytrých telefonů nicméně roste a my v nich dnes uchováváme řadu osobních a citlivých údajů. Jsou také stále častěji běžným pracovním prostředkem zaměstnanců ve firmách. A zde už vstupují do hry i firemní data.
„Útočníci mohou na chytré telefony zaútočit různými způsoby, například podvodnými SMS zprávami s odkazy na nebezpečné webové stránky. Právě bezpečnostní software dokáže nebezpečný web rozpoznat, uživateli na něj včas zamezit přístup a předejít finančním škodám,“ říká Jakub Souček z ESETu.
Nejoblíbenějším způsobem platby na internetu je stále platba kartou (72 %). Oproti minulým letům se ale těší větší oblibě možnost platby prostřednictvím Google Pay či Apple Pay (45 % v roce 2024 ve srovnání s 29 % v roce 2023). Pro více než tři čtvrtiny dotázaných je důležité doplnit platby vícefázovým ověřením (77 %) či nastavením limitů na kartě (71 %). V nějaké formě pak využíváme také virtuální kartu (39 %) a pětina (21 %) sáhne i po oddělené platební kartě.
Třetina českých uživatelů (32 %) stále také využívá pro přihlášení do svého účtu v internetovém obchodě stejné nebo podobné heslo. Pokud však útočníci prolomí jeden z našich účtů nebo získají hesla z uniklých databází, pokusí se dosazovat stejnou kombinaci přihlašovacího jména a hesla i na jiných místech. Tyto útoky bývají automatizované a riziko dalšího prolomení je tak vysoké. Dalším nebezpečím pro hesla je také spyware, hrozba číslo jedna pro počítače s operačním systémem Windows v Česku.
Experti se shodují: účinnou obranou je posílit heslo vícefázovým ověřením, svěřit správu hesla specializovaným password managerům a zabezpečit svá zařízení profesionálním bezpečnostním softwarem.
Rizika pro maloobchodníky
Motivem všech kybernetických útoků bývá vidina finančního zisku. A provozovatelé e-shopů drží enormní množství dat o svých zákaznících, která právě útočníky zajímají nejvíce – dají se totiž lukrativně zpeněžit. Vrcholící nákupní sezóna také zaměstnává všechny týmy především v podpoře podnikání a na obranu před kyberhrozbami nemusí zbýt provozovateli čas ani prostředky.
Potenciálním rizikem jsou digitální systémy, které stále více prodejců využívá, protože je po nich na straně zákazníků zkrátka poptávka. Mohou to být různá IoT zařízení nebo mobilní aplikace. Kybernetickou hrozbou, kterou by tak maloobchodníci rozhodně neměli podceňovat, je nějaká forma narušení bezpečnosti dat. K tomu může dojít v důsledku odcizení/prolomení/vylákání přihlašovacích údajů zaměstnanců nebo zneužití zranitelností, zejména ve webových aplikacích.
Ani maloobchodu se nemusí vyhýbat ransomware, a to už jen z toho důvodu, že zabrzdit naplno rozjeté podnikání v době největší špičky může podnikatele bolet a budou ochotnějším útočníkům za zpřístupnění dat zaplatit. Chod e-shopu mohou dále ohrozit také DDoS útoky nebo útoky prostřednictvím dodavatelského řetězce. Za zmínění určitě dnes stojí rizika spojená s rozhraními API. Ta jsou jádrem digitální transformace maloobchodu a umožňují propojenější a bezproblémovou zákaznickou zkušenost. Zranitelnosti a chybné konfigurace však mohou právě hackerům poskytnout snadnou cestu k údajům o zákaznících.
Jak můžete svůj e-shop bránit před kyberútoky?
Hlavním zájmem obchodníka je zcela pochopitelně růst a produktivita zaměstnanců. S tím, jak porostou preference uživatelů k digitálním řešením a uživatelskému zážitku, porostou jistě i náklady na vývoj. Ani kybernetická rizika by ale neměla být opomenuta, a s tím vám může pomoci těchto 10 tipů, na co se přednostně zaměřit:
-
Pravidelně školte své zaměstnance. Dokáží pak rozpoznat i sofistikované phishingové útoky a stanou se vaší další spolehlivou obrannou linií proti útokům.
-
Auditujte data. Jakými daty disponujete, kde jsou uložena, kam proudí a jak jsou chráněna. Nezapomeňte na soulad s nařízením GDPR.
-
Vsaďte na silné šifrování. A to především pro nejcitlivější údaje.
-
Spravujte záplaty na základě rizik. Počet nových zranitelností zveřejňovaných každý rok může být ohromující. Automatizované systémy založené na riziku by ale měly pomoci tento proces zefektivnit a stanovit priority.
-
Zvažte vícevrstvé ochranné zabezpečení. Jedná se o ochranu proti malwaru a další funkce na úrovni serveru, koncových zařízení, e-mailové sítě a cloudu jako preventivní opatření proti kybernetickým hrozbám.
-
Používejte XDR. Kvůli hrozbám, kterým se podaří obejít preventivní kontroly, používejte ještě rozšířenou detekci a reakci (XDR), včetně podpory vyhledávání hrozeb a reakce na incidenty.
-
Ověřte zabezpečení dodavatelského řetězce. Proveďte audit všech dodavatelů, včetně digitálních partnerů a dodavatelů softwaru.
-
Nutností jsou správci hesel a vícefázová autentizace. Silné kontroly přístupu spolu s XDR, šifrováním, síťovou segregací a preventivními kontrolami tvoří základ přístupu nulové důvěry (Zero Trust).
-
Naplánujte obnovu po incidentu. Správně zavedené obchodní procesy a technologické nástroje pomohou zajistit kontinuitu provozu.
-
Naplánujte reakce na incidenty. Zajistěte, aby vaše plány byly neprůstřelné, pravidelně testované, a aby každá zúčastněná strana věděla, co má dělat.
Naše řešení jsou v testech trvale hodnocena jako nejlepší v přesné diagnostice hrozeb.ESET PROTECT
