Der digitale Wandel hat sich in den letzten Jahren beschleunigt, und damit auch die Sicherheitsbedrohungen. Da immer mehr Mitarbeiter aus der Ferne arbeiten, mehr Kunden über mobile und soziale Kanäle einkaufen und immer mehr Einzelhändler ihre Lieferketten erweitern, um ihre Bestände auf Lager zu halten, haben Kriminelle mehr Möglichkeiten denn je, E-Commerce-Unternehmen zu jagen.
In der Zwischenzeit kann es sein, dass die Schulung des Sicherheitsbewusstseins nicht mithalten kann. Es ist ein guter Zeitpunkt, das Sensibilisierungsprogramm Ihres Unternehmens zu überprüfen und es an die aktuelle Bedrohungslandschaft anzupassen. So können Einzelhändler ihre Sensibilisierungsschulungen und -praktiken an den Fortschritt ihrer digitalen Transformation anpassen.
Ein dramatischer Anstieg des Versandbetrugs
Während sich die meisten Einzelhändler verständlicherweise auf Betrug in der Zahlungsphase der Customer Journey konzentrieren, sollte auch Versandbetrug in Betracht gezogen werden. Tatsächlich ist Versandbetrug die am schnellsten wachsende Betrugsart weltweit, so die Studie von TransUnion.Globale digitale Betrugstrends 2022" Bericht. Dem Bericht zufolge ist der Versandbetrug von 780 bis 2020 um 2021 % und von 1,541 bis 2019 um 2021 % gestiegen. Versandbetrug kann zu Rückbuchungen, Bestandsverlusten und Markenschäden führen, ebenso wie Card-not-Present-Betrug (CNP) und Account-Takeover-Betrug (ATO).
„Versandbetrug“ ist ein Überbegriff, der mehrere Taktiken umfasst, mit denen Kriminelle den E-Commerce-Versandprozess ausnutzen. Verschiedene Ansätze können auf unterschiedliche Bereiche Ihres Unternehmens abzielen. Daher ist es wichtig, das Bewusstsein für Versandbetrug in Ihrem gesamten Unternehmen zu schärfen, anstatt Ihr Betrugsteam nur auf diese Bedrohung zu schulen.
Beispielsweise sollten Ihre Kundenservice- und Fulfillment-Teams wissen, wie Paketumleitungsbetrug funktioniert. Betrüger geben Bestellungen mit gestohlenen Zahlungsdaten oder gekaperten Kundenkonten auf und verwenden die echte Lieferadresse des Opfers, damit die Bestellung nicht als verdächtig gekennzeichnet wird. Nachdem die Bestellung genehmigt wurde, wenden sich Betrüger an den Kundendienst und fordern eine Änderung der Lieferadresse mit der Behauptung, sie hätten einen Fehler gemacht.
Auch wenn es wie ein guter Kundenservice erscheinen mag, einer solchen Bitte nachzukommen, könnte es Ihr Unternehmen einem Betrugsrisiko aussetzen. Eine Lösung, die legitime Kundenwünsche erfüllen und gleichzeitig Betrug vermeiden kann, besteht darin, die ursprüngliche Transaktion abzubrechen und sie mit der aktualisierten Lieferadresse erneut auszuführen. Wenn es genehmigt wird, werden die Einkäufe der Kunden an die richtige Adresse weitergeleitet. Ist dies nicht der Fall, hat Ihr Unternehmen einen Fall von Versandbetrug vermieden.
Ausweitung der Lieferketten, höheres Risiko für E-Mail-Angriffe
Andere Sicherheitsrisiken gehen nicht unbedingt über Ihre Website oder Shopping-App ein, können aber Ihre Marke, Ihren Geschäftsbetrieb und Ihre Kunden gefährden. Ein Paradebeispiel sind E-Mail-Phishing-Angriffe, die laut dem TransUnion-Bericht von 53.9 bis 2019 gegen E-Commerce-Unternehmen um 2021 % zugenommen haben.
Ein Grund für den aktuellen E-Mail-Phishing-Anstieg ist die rasante Ausweitung der Lieferketten seit Beginn der Pandemie, da Einzelhändler neue Verbindungen knüpften, um Lagerknappheit und Unterbrechungen zu vermeiden. Ein weiterer Grund ist die zunehmende Abhängigkeit von E-Mails bei Kundeninteraktionen seit Anfang 2020: Online-Interaktionen machen mittlerweile 61 % aller Kundeninteraktionen mit Unternehmen aus, so die Studie von Salesforce.Status des verbundenen Kunden" Bericht. Die Hinzufügung weiterer Kontakte zum E-Mail-Ökosystem und das höhere Volumen des E-Mail-Verkehrs bieten Kriminellen mehr Möglichkeiten, E-Mail-Angriffe zu starten.
Eine Untergruppe der geschäftlichen E-Mail-Kompromittierung (BEC) ist die E-Mail-Kompromittierung von Anbietern, und sie stellt ein wachsendes Problem dar. Bei einem System zur Kompromittierung von E-Mail-Adressen von Anbietern geben sich Angreifer als vertrauenswürdige Dritte wie Lieferanten und Lieferanten aus, um Mitarbeiter dazu zu verleiten, betrügerische Rechnungen zu bezahlen, Anmeldedaten einzugeben oder proprietäre Daten weiterzugeben. Laut a berichten Laut Angaben des E-Mail-Sicherheitsunternehmens Abnormal geben sich mittlerweile mehr als die Hälfte aller BEC-Angriffe als Dritte aus. Daher müssen sich alle Mitarbeiter darüber im Klaren sein, dass sie, wenn E-Mails von vertrauenswürdigen Absendern, einschließlich Lieferanten und Anbietern, ungewöhnlich erscheinende Anfragen enthalten, diese Nachrichten markieren sollten, damit das Sicherheitsteam sie überprüfen kann, bevor sie antworten.
Angreifer nutzen den Trend zu Remote- und Hybrid-Arbeitskräften aus
Ransomware und andere Formen von Malware stellen für Einzelhändler ein Dauerproblem dar, insbesondere Malware, die Zahlungsdaten von Kunden stiehlt. Verizons „2022-Bericht über Datenverletzungsuntersuchungen” stellte fest, dass der Einzelhandel siebenmal so viele Fälle von „Capture App Data“-Malware erlitten hatte wie andere Branchen. Diese Angriffe im Magecart-Stil können Daten bereits bei der Eingabe stillschweigend auslesen und so lange unentdeckt bleiben, bis Betrugsbeschwerden eingehen. Um dies zu verhindern, muss sich jeder, der mit Ihrer Website arbeitet, des Potenzials für diese Art von Malware und der Prozesse zum Scannen, Entfernen und Beheben bewusst sein.
Eine weitere wachsende Chance für Malware-Angreifer ist die Umstellung der Einzelhändler auf Remote- oder Hybrid-Arbeitskräfte. Da sich Mitarbeiter immer häufiger aus der Ferne anmelden – und zwar immer häufiger von privaten Geräten als von Firmengeräten –, haben Betrüger die Gelegenheit genutzt, realistisch aussehende Anmeldeanfrage-E-Mails zu erstellen, die den Anschein erwecken können, als kämen sie von den Cloud-Diensten Ihres Unternehmens wie Google Drive oder Microsoft SharePoint. Alle Mitarbeiter und Führungskräfte müssen sich des Risikos bewusst sein, das unerwartete oder etwas ungewöhnliche Anmeldeanfragenachrichten darstellen können. Ebenso wie ungewöhnliche Anbieternachrichten sollten diese vor der Beantwortung dem Sicherheitsteam zur Überprüfung gemeldet werden.
Diese Trends verdeutlichen, warum es wichtig ist, dass Sicherheitsbewusstsein ein Prozess und keine einmalige Diskussion ist. In diesem Jahr müssen sich Ihre Mitarbeiter über Versandbetrug, Kompromittierung von E-Mail-Adressen von Anbietern und Anmeldedaten-Phishing-Angriffe im Klaren sein, die sich als Anbieter von Unternehmensressourcen ausgeben. Nächstes Jahr wird es wahrscheinlich etwas anderes sein. Durch regelmäßige Gespräche über diese Sicherheitsthemen und die Förderung einer datensicheren Denkweise können Sie das Risiko heutiger Bedrohungen verringern und eine Sicherheitskultur schaffen, von der Ihr Unternehmen langfristig profitiert.
