Цифрова трансформація прискорилася протягом останніх кількох років, а також загрози безпеці. З більшою кількістю співробітників, які працюють віддалено, більшою кількістю клієнтів, які купують через мобільні та соціальні канали, і більшою кількістю роздрібних торговців, які розширюють свої ланцюжки поставок, щоб зберігати запаси на складі, злочинці мають більше, ніж будь-коли, способів переслідувати бізнес електронної комерції.
Тим часом навчання з питань безпеки може не встигати. Настав час переглянути програму підвищення обізнаності вашої організації та відкоригувати поточні загрози. Ось як роздрібні продавці можуть оновити свої навчальні курси та практики, щоб відповідати прогресу цифрової трансформації.
Різке зростання шахрайства з доставкою
Хоча зрозуміло, що більшість роздрібних торговців зосереджуються на шахрайстві на етапі оплати клієнта, шахрайство з доставкою також слід враховувати. Насправді шахрайство з транспортуванням є найшвидше зростаючим видом шахрайства в усьому світі, згідно з TransUnion “Глобальні тенденції цифрового шахрайства у 2022 році” звіт. Згідно зі звітом, з 780 по 2020 рік шахрайство з транспортуванням зросло на 2021% і на 1,541% з 2019 по 2021 рік. Шахрайство з доставкою може призвести до повернення платежів, втрати запасів і пошкодження бренду так само, як шахрайство з відсутністю картки (CNP) і шахрайство з захопленням облікового запису (ATO).
«Шахрайство з доставкою» — це загальний термін, який охоплює кілька тактик, які злочинці використовують для використання процесу доставки в електронній комерції. Різні підходи можуть бути націлені на різні сфери вашого бізнесу, тому важливо розширити рівень обізнаності про шахрайство з доставкою у вашій організації, а не лише навчати свою команду з шахрайства цій загрозі.
Наприклад, ваші відділи обслуговування клієнтів і виконання робіт повинні знати, як працюють шахрайства зі зміною маршруту посилок. Шахраї розміщують замовлення з викраденими платіжними даними або викраденими обліковими записами клієнтів і використовують справжню адресу доставки жертви, щоб замовлення не було позначено як підозріле. Після схвалення замовлення шахраї звертаються до служби підтримки клієнтів і вимагають змінити адресу доставки, стверджуючи, що зробили помилку.
Хоча виконання такого запиту може здатися хорошим обслуговуванням клієнтів, воно може наражати вашу компанію на шахрайство. Одним із рішень, яке може задовольнити законні запити клієнтів, уникаючи шахрайства, є скасування початкової транзакції та повторне виконання її з оновленою адресою доставки. Якщо його схвалено, клієнти отримають свої покупки за потрібною адресою. Якщо ні, ваша компанія уникла випадку шахрайства з доставкою.
Розширення ланцюгів постачання, більше ризиків атак електронною поштою
Інші ризики безпеці не обов’язково виникають через ваш веб-сайт або програму для покупок, але вони можуть поставити під загрозу ваш бренд, бізнес-операції та ваших клієнтів. Яскравим прикладом є фішингові атаки електронної пошти, кількість яких зросла на 53.9% з 2019 по 2021 рік, згідно зі звітом TransUnion.
Однією з причин нинішнього сплеску фішингу електронної пошти є швидке розширення ланцюгів постачання з початку пандемії, оскільки роздрібні торговці встановлювали нові зв’язки, щоб уникнути вичерпання запасів і збоїв. Іншим є зростання залежності від електронної пошти для взаємодії з клієнтами з початку 2020 року: онлайн-взаємодії зараз становлять 61% усіх взаємодій клієнтів із компаніями, згідно з «Salesforce».Стан підключеного клієнта” звіт. Додавання більшої кількості контактів до екосистеми електронної пошти та більший обсяг трафіку електронної пошти надає злочинцям більше можливостей для здійснення атак електронною поштою.
Підмножиною зламу корпоративної електронної пошти (BEC) є компрометація електронної пошти постачальника, і це зростає проблема. У схемі компрометації електронної пошти постачальника зловмисники видають себе за довірених третіх осіб, таких як постачальники та продавці, щоб оманою змусити працівників сплатити шахрайські рахунки, ввести облікові дані для входу або надати конфіденційні дані. За словами а звітом від фірми безпеки електронної пошти Ненормально, більше половини всіх атак BEC зараз видають себе за третіх осіб. Тому всі співробітники повинні знати, що коли електронні листи від надійних відправників, зокрема постачальників і постачальників, містять запити, які здаються незвичайними, вони повинні позначати ці повідомлення, щоб команда безпеки перевірила їх, перш ніж відповідати.
Зловмисники використовують віддалену та гібридну робочу силу
Програми-вимагачі та інші форми зловмисного програмного забезпечення є постійною проблемою для роздрібних торговців, особливо зловмисне програмне забезпечення, яке викрадає платіжні дані клієнтів. Verizon "Звіт про розслідування порушень даних за 2022 рік» виявили, що індустрія роздрібної торгівлі постраждала від зловмисного програмного забезпечення «захоплення даних додатків» у сім разів більше, ніж інші галузі. Ці Атаки в стилі Magecart може миттєво очищати дані під час їх введення, залишаючись непоміченими, доки не почнуть надходити скарги на шахрайство. Щоб запобігти цьому, кожен, хто працює з вашим веб-сайтом, повинен знати про потенціал цього типу зловмисного програмного забезпечення та процеси сканування, видалення та виправлення.
Ще однією можливою можливістю для зловмисників є перехід роздрібних торговців до віддаленої або гібридної робочої сили. Оскільки співробітники все частіше входять у систему віддалено — і частіше з особистих, а не корпоративних пристроїв — шахраї скористалися можливістю створювати реалістичні електронні листи із запитами на вхід, які можуть виглядати так, ніби надходять із хмарних служб вашої компанії, таких як Google Drive або Microsoft SharePoint. Усі співробітники та керівники повинні знати про ризик, який можуть становити несподівані або дещо незвичайні повідомлення із запитом на вхід. Подібно до незвичайних повідомлень постачальників, перед відповіддю на них слід повідомити групу безпеки для перевірки.
Ці тенденції показують, чому важливо, щоб знання безпеки було процесом, а не одноразовим обговоренням. Цього року ваші співробітники повинні знати про шахрайство з доставкою, компрометацію електронної пошти постачальника та фішингові атаки облікових даних, які видають себе за постачальників ресурсів компанії. Наступного року, швидше за все, буде щось інше. Регулярно обговорюючи ці проблеми безпеки та заохочуючи мислення щодо безпеки даних, ви можете зменшити ризик сучасних загроз і створити культуру безпеки, яка принесе користь вашій компанії в довгостроковій перспективі.
