Dijital dönüşüm son birkaç yılda hızlandı ve güvenlik tehditleri de beraberinde geldi. Daha fazla çalışanın uzaktan çalışması, daha fazla müşterinin mobil ve sosyal kanallar aracılığıyla satın alması ve daha fazla perakendecinin stoklarını stokta tutmak için tedarik zincirlerini genişletmesi nedeniyle suçluların e-ticaret işletmelerini takip etmek için her zamankinden daha fazla yolu var.
Bu arada, güvenlik farkındalığı eğitimleri de buna ayak uyduramayabilir. Kuruluşunuzun farkındalık programını gözden geçirmenin ve mevcut tehdit ortamını yansıtacak şekilde ayarlamalar yapmanın tam zamanı. Perakendecilerin farkındalık eğitimlerini ve uygulamalarını dijital dönüşüm ilerlemelerine uyacak şekilde nasıl güncelleyebileceklerini burada bulabilirsiniz.
Nakliye Dolandırıcılığında Dramatik Bir Artış
Çoğu perakendeci anlaşılır bir şekilde müşteri yolculuğunun ödeme aşamasında dolandırıcılığa odaklanırken, nakliye dolandırıcılığı da dikkate alınmalıdır. Aslında, TransUnion'un raporuna göre nakliye dolandırıcılığı, dünya çapında en hızlı büyüyen dolandırıcılık türü.2022 Küresel Dijital Dolandırıcılık Trendleri" rapor. Rapora göre nakliye dolandırıcılığı 780'den 2020'e %2021, 1,541'dan 2019'e ise %2021 arttı. Gönderim dolandırıcılığı, kartsız (CNP) ve hesap ele geçirme (ATO) dolandırıcılığında olduğu gibi ters ibrazlara, envanter kayıplarına ve markanın zarar görmesine yol açabilir.
"Gönderim dolandırıcılığı", suçluların e-ticaret gönderim sürecinden yararlanmak için kullandıkları çeşitli taktikleri kapsayan bir şemsiye terimdir. Farklı yaklaşımlar işletmenizin farklı alanlarını hedefleyebilir; bu nedenle, yalnızca dolandırıcılık ekibinizi bu tehdit konusunda eğitmek yerine, nakliye dolandırıcılığı konusundaki farkındalığı kuruluşunuzun tamamına yaymanız önemlidir.
Örneğin, müşteri hizmetleri ve sipariş karşılama ekipleriniz paket yeniden yönlendirme dolandırıcılıklarının nasıl işlediğinin farkında olmalıdır. Dolandırıcılar, çalınan ödeme verileriyle veya ele geçirilen müşteri hesaplarıyla sipariş verir ve siparişin şüpheli olarak işaretlenmemesi için kurbanın gerçek teslimat adresini kullanır. Sipariş onaylandıktan sonra dolandırıcılar müşteri hizmetlerine ulaşarak hata yaptıklarını iddia ederek teslimat adresi değişikliği talebinde bulunuyorlar.
Böyle bir talebin yerine getirilmesi iyi bir müşteri hizmeti gibi görünse de şirketinizi dolandırıcılığa maruz bırakabilir. Dolandırıcılığı önlerken meşru müşteri isteklerini karşılayabilecek bir çözüm, orijinal işlemi iptal etmek ve güncellenmiş teslimat adresiyle yeniden çalıştırmaktır. Onaylanması durumunda müşteriler satın alma işlemlerinin doğru adrese yönlendirilmesini sağlar. Değilse, şirketiniz bir nakliye dolandırıcılığı vakasından kaçınmıştır.
Tedarik Zincirlerini Genişletmek, Daha Fazla E-posta Saldırısı Riski
Diğer güvenlik risklerinin mutlaka web siteniz veya alışveriş uygulamanız aracılığıyla gelmesi gerekmez, ancak markanızı, iş operasyonlarınızı ve müşterilerinizi tehlikeye atabilirler. TransUnion raporuna göre e-ticaret işletmelerine karşı 53.9'dan 2019'e kadar %2021 oranında artan e-posta kimlik avı saldırıları bunun en önemli örneğidir.
Mevcut e-posta kimlik avı saldırılarının bir nedeni, perakendecilerin stokların tükenmesini ve aksamaları önlemek için yeni bağlantılar kurmasıyla, salgının başlangıcından bu yana tedarik zincirlerinin hızla genişlemesidir. Bir diğeri ise 2020'nin başlarından bu yana müşteri etkileşimlerinde e-postaya olan bağımlılığın artmasıdır: Salesforce'un "Bağlı Müşterinin Durumu" rapor. E-posta ekosistemine daha fazla kişinin eklenmesi ve daha yüksek e-posta trafiği hacmi, suçlulara e-posta saldırıları başlatmak için daha fazla fırsat sağlar.
İş e-postası gizliliğinin ihlalinin (BEC) bir alt kümesi, satıcı e-postasının ihlalidir ve bu giderek büyüyen bir sorundur. Satıcı e-postası uzlaşma planında saldırganlar, çalışanları sahte faturalar ödemeleri, oturum açma kimlik bilgilerini girmeleri veya özel verileri paylaşmaları için kandırmak amacıyla tedarikçiler ve satıcılar gibi güvenilir üçüncü tarafların kimliğine bürünür. Bir göre rapor E-posta güvenlik şirketi Abnormal'den yapılan açıklamaya göre, tüm BEC saldırılarının yarısından fazlası artık üçüncü tarafların kimliğine bürünüyor. Sonuç olarak, tüm çalışanların, tedarikçiler ve satıcılar da dahil olmak üzere güvenilir gönderenlerden gelen e-postalar olağandışı görünen talepler içerdiğinde, yanıt vermeden önce güvenlik ekibinin incelemesi için bu mesajları işaretlemeleri gerektiğinin farkında olmaları gerekir.
Saldırganlar Uzaktan ve Hibrit İşgücü Trendlerinden Yararlanıyor
Fidye yazılımları ve diğer kötü amaçlı yazılım türleri, özellikle müşteri ödeme verilerini çalan kötü amaçlı yazılımlar perakendeciler için kalıcı bir sorundur. Verizon'un “2022 Veri İhlali Araştırmaları Raporu”, perakende sektörünün diğer sektörlere göre yedi kat daha fazla “uygulama verilerini yakalama” kötü amaçlı yazılım örneğine maruz kaldığını tespit etti. Bunlar Magecart tarzı saldırılar Verileri girilirken sessizce sıyırabilir ve dolandırıcılık şikayetleri gelene kadar tespit edilmeden kalabilir. Bunları önlemek için, web sitenizde çalışan herkesin bu tür kötü amaçlı yazılım potansiyelinin ve tarama, kaldırma ve iyileştirme süreçlerinin farkında olması gerekir.
Kötü amaçlı yazılım saldırganları için büyüyen bir başka fırsat da perakendecilerin uzak veya hibrit iş gücüne yönelmesidir. Çalışanlar uzaktan ve şirket cihazları yerine kişisel cihazlardan daha sık oturum açtıkça dolandırıcılar, şirketinizin Google Drive veya Microsoft SharePoint gibi bulut hizmetlerinden geliyormuş gibi görünebilecek gerçekçi görünümlü oturum açma isteği e-postaları oluşturma fırsatını yakaladı. Tüm çalışanların ve yöneticilerin, beklenmedik veya biraz olağandışı oturum açma isteği mesajlarının oluşturabileceği risklerin farkında olması gerekir. Olağandışı satıcı mesajları gibi, bunlar da yanıtlanmadan önce incelenmek üzere güvenlik ekibine bildirilmelidir.
Bu eğilimler, güvenlik farkındalığının tek seferlik bir tartışma yerine bir süreç olmasının neden önemli olduğunu göstermektedir. Bu yıl, çalışanlarınızın nakliye dolandırıcılığı, satıcı e-postasının ele geçirilmesi ve şirket kaynak sağlayıcısı gibi görünen kimlik avı saldırılarına karşı dikkatli olması gerekiyor. Gelecek yıl muhtemelen başka bir şey olacak. Bu güvenlik sorunları hakkında düzenli tartışmalar yaparak ve veri güvenliği zihniyetini teşvik ederek günümüzün tehdit riskini azaltabilir ve şirketinize uzun vadede fayda sağlayacak bir güvenlik kültürü oluşturabilirsiniz.
