ここ数年でデジタル トランスフォーメーションが加速し、セキュリティの脅威も加速しています。 リモートで働く従業員が増え、モバイルやソーシャル チャネルを通じて購入する顧客が増え、在庫を維持するためにサプライ チェーンを拡大する小売業者が増えているため、犯罪者が e コマース ビジネスを狙う方法はかつてないほど増えています。
その間、セキュリティ意識向上トレーニングが追いついていない可能性があります。 組織の意識向上プログラムを見直し、現在の脅威の状況を反映して調整する良い機会です。 小売業者がデジタル トランスフォーメーションの進捗状況に合わせて意識向上トレーニングと実践を更新する方法を次に示します。
配送詐欺の劇的な増加
当然のことながら、ほとんどの小売業者はカスタマー ジャーニーの支払い段階での不正行為に焦点を当てていますが、配送詐欺も考慮する必要があります。 実際、TransUnion の「2022 年の世界的なデジタル詐欺の傾向" 報告。 レポートによると、配送詐欺は 780 年から 2020 年にかけて 2021% 増加し、1,541 年から 2019 年にかけて 2021% 増加しました。 配送詐欺は、カードを提示しない (CNP) 詐欺やアカウント乗っ取り (ATO) 詐欺と同様に、チャージバック、在庫の損失、ブランドの損傷につながる可能性があります。
「配送詐欺」は、犯罪者が電子商取引の配送プロセスを悪用するために使用するいくつかの戦術を網羅する包括的な用語です。 さまざまなアプローチがビジネスのさまざまな分野を対象とする可能性があるため、この脅威について詐欺チームをトレーニングするだけでなく、組織全体に配送詐欺の認識を広めることが重要です。
たとえば、カスタマー サービス チームとフルフィルメント チームは、荷物の経路変更詐欺がどのように行われるかを認識している必要があります。 詐欺師は、盗んだ支払いデータまたはハイジャックされた顧客アカウントで注文を出し、被害者の実際の配送先住所を使用して、注文に疑わしいフラグが立てられないようにします。 注文が承認された後、詐欺師は顧客サービスに連絡し、配送先住所の変更を要求し、間違いを犯したと主張します。
このような要求を尊重することは、優れた顧客サービスのように思えるかもしれませんが、あなたの会社を詐欺にさらす可能性があります. 詐欺を回避しながら正当な顧客の要求を満たすことができる XNUMX つのソリューションは、元のトランザクションをキャンセルし、更新された配送先住所で再度実行することです。 承認された場合、顧客は購入品を正しい住所に送ることができます。 そうでない場合、あなたの会社は配送詐欺のケースを回避しています。
サプライ チェーンの拡大、電子メール攻撃のリスクの増加
その他のセキュリティ リスクは、必ずしも Web サイトやショッピング アプリから入ってくるとは限りませんが、ブランド、事業運営、顧客を危険にさらす可能性があります。 TransUnion のレポートによると、代表的な例はメール フィッシング攻撃で、53.9 年から 2019 年にかけて e コマース ビジネスに対して 2021% 増加しました。
現在、電子メール フィッシングが急増している理由の 2020 つは、小売業者が在庫切れや混乱を避けるために新しい接続を確立したため、パンデミックが始まってからサプライ チェーンが急速に拡大したことです。 もう 61 つの理由は、XNUMX 年初頭以降、顧客とのやり取りで電子メールへの依存度が高まっていることです。Salesforce の「接続された顧客の状態" 報告。 電子メール エコシステムへの連絡先の追加と電子メール トラフィックの増加により、犯罪者は電子メール攻撃を仕掛ける機会が増えています。
ビジネス メール詐欺 (BEC) のサブセットは、ベンダー メール詐欺であり、増大する問題です。 ベンダーの電子メール侵害スキームでは、攻撃者がサプライヤーやベンダーなどの信頼できる第三者になりすまして、従業員をだまして不正な請求書の支払い、ログイン資格情報の入力、または独自のデータの共有をさせます。 によると レポート 電子メール セキュリティ会社 Abnormal によると、現在、すべての BEC 攻撃の半分以上が第三者になりすましている. その結果、サプライヤやベンダーを含む信頼できる送信者からの電子メールに異常と思われる要求が含まれている場合、すべての従業員は、セキュリティ チームが応答する前に確認できるように、それらのメッセージにフラグを立てる必要があることに注意する必要があります。
攻撃者は、リモートおよびハイブリッド ワークフォースのトレンドを悪用します
ランサムウェアやその他の形式のマルウェア、特に顧客の支払いデータを盗むマルウェアは、小売業者にとって長年の問題です。 ベライゾンの「2022データ漏洩/侵害調査レポート」は、小売業界が他の業界の XNUMX 倍の「アプリ データをキャプチャする」マルウェアのインスタンスに苦しんでいることを発見しました。 これらは 魔道士風の攻撃 入力されたデータを静かにスクレイピングし、詐欺の苦情が寄せられるまで検出されません。それらを防ぐには、Web サイトで作業するすべての人が、このタイプのマルウェアの可能性と、スキャン、削除、修復のプロセスを認識する必要があります。
マルウェア攻撃者にとってのもう XNUMX つの機会は、小売業者がリモートまたはハイブリッド ワークフォースに移行することです。 従業員がリモートでログインする頻度が高くなり、会社のデバイスではなく個人のデバイスからログインする頻度が高まるにつれて、詐欺師は、Google ドライブや Microsoft SharePoint などの会社のクラウド サービスから送信されたように見える、本物そっくりのログイン リクエスト メールを作成する機会をつかみました。 すべての従業員と役員は、予期しない、または少し変わったログイン要求メッセージがもたらす可能性があるリスクを認識しておく必要があります。 通常とは異なるベンダー メッセージと同様に、これらは返信する前に確認のためにセキュリティ チームに報告する必要があります。
これらの傾向は、セキュリティ意識を XNUMX 回限りの議論ではなくプロセスにすることが重要である理由を示しています。 今年は、配送詐欺、ベンダーの電子メール侵害、および会社のリソース プロバイダーを装ったクレデンシャル フィッシング攻撃に注意する必要があります。 来年は、おそらく別のものになるでしょう。 これらのセキュリティ問題について定期的に話し合い、データ安全の考え方を奨励することで、今日の脅威のリスクを軽減し、長期的に会社に利益をもたらすセキュリティの文化を構築できます。
