Chuyển đổi kỹ thuật số đã tăng tốc trong vài năm qua và do đó cũng có những mối đe dọa về bảo mật. Với nhiều nhân viên làm việc từ xa hơn, nhiều khách hàng mua hàng qua các kênh di động và mạng xã hội hơn, cũng như nhiều nhà bán lẻ mở rộng chuỗi cung ứng của họ để giữ hàng trong kho, bọn tội phạm có nhiều cách hơn bao giờ hết để truy lùng các doanh nghiệp thương mại điện tử.
Trong khi đó, việc đào tạo nâng cao nhận thức về an ninh có thể không theo kịp. Đây là thời điểm tốt để xem lại chương trình nâng cao nhận thức của tổ chức bạn và điều chỉnh phản ánh bối cảnh mối đe dọa hiện tại. Đây là cách các nhà bán lẻ có thể cập nhật hoạt động đào tạo và thực hành nâng cao nhận thức để phù hợp với tiến trình chuyển đổi kỹ thuật số của họ.
Sự gia tăng đáng kể về gian lận vận chuyển
Mặc dù hầu hết các nhà bán lẻ đều tập trung vào gian lận ở giai đoạn thanh toán trong hành trình của khách hàng, nhưng gian lận vận chuyển cũng cần được xem xét. Trên thực tế, gian lận vận chuyển là loại gian lận phát triển nhanh nhất trên toàn thế giới, theo TransUnion “Xu hướng lừa đảo kỹ thuật số toàn cầu năm 2022" báo cáo. Theo báo cáo, gian lận vận chuyển đã tăng 780% từ năm 2020 đến năm 2021 và tăng 1,541% từ năm 2019 đến năm 2021. Gian lận vận chuyển có thể dẫn đến yêu cầu bồi hoàn, mất hàng tồn kho và hư hỏng thương hiệu giống như gian lận không có thẻ (CNP) và chiếm đoạt tài khoản (ATO).
“Gian lận vận chuyển” là một thuật ngữ bao trùm một số chiến thuật mà bọn tội phạm sử dụng để khai thác quy trình vận chuyển thương mại điện tử. Các phương pháp tiếp cận khác nhau có thể nhắm mục tiêu vào các lĩnh vực khác nhau trong doanh nghiệp của bạn, vì vậy điều quan trọng là phải mở rộng nhận thức về gian lận vận chuyển trong toàn tổ chức thay vì chỉ đào tạo nhóm chống gian lận của bạn về mối đe dọa này.
Ví dụ: nhóm dịch vụ khách hàng và thực hiện đơn hàng của bạn phải biết cách thức hoạt động của các trò lừa đảo định tuyến lại gói hàng. Kẻ lừa đảo đặt hàng với dữ liệu thanh toán bị đánh cắp hoặc tài khoản khách hàng bị chiếm đoạt và sử dụng địa chỉ giao hàng thực của nạn nhân để đơn hàng không bị gắn cờ là đáng ngờ. Sau khi đơn hàng được phê duyệt, những kẻ lừa đảo liên hệ với bộ phận dịch vụ khách hàng và yêu cầu thay đổi địa chỉ giao hàng với lý do họ đã nhầm lẫn.
Mặc dù việc tôn trọng yêu cầu như vậy có vẻ giống như một dịch vụ khách hàng tốt nhưng nó có thể khiến công ty của bạn bị lừa đảo. Một giải pháp có thể đáp ứng các yêu cầu hợp pháp của khách hàng đồng thời tránh gian lận là hủy giao dịch ban đầu và thực hiện lại giao dịch đó với địa chỉ giao hàng được cập nhật. Nếu được chấp thuận, khách hàng sẽ nhận được giao dịch mua hàng của họ đến đúng địa chỉ. Nếu không, công ty của bạn đã tránh được trường hợp gian lận vận chuyển.
Mở rộng chuỗi cung ứng, rủi ro tấn công email nhiều hơn
Các rủi ro bảo mật khác không nhất thiết xuất hiện thông qua trang web hoặc ứng dụng mua sắm của bạn, nhưng chúng có thể gây nguy hiểm cho thương hiệu, hoạt động kinh doanh và khách hàng của bạn. Một ví dụ điển hình là các cuộc tấn công lừa đảo qua email, tỷ lệ tấn công các doanh nghiệp thương mại điện tử tăng 53.9% từ năm 2019 đến năm 2021, theo báo cáo của TransUnion.
Một lý do dẫn đến sự gia tăng lừa đảo qua email hiện nay là sự mở rộng nhanh chóng của chuỗi cung ứng kể từ khi bắt đầu đại dịch, khi các nhà bán lẻ tạo ra các kết nối mới để tránh hết hàng và gián đoạn. Một vấn đề khác là sự phụ thuộc ngày càng tăng vào email để tương tác với khách hàng kể từ đầu năm 2020: Tương tác trực tuyến hiện chiếm 61% tổng số tương tác của khách hàng với các công ty, theo Salesforce's “Trạng thái của khách hàng được kết nối" báo cáo. Việc bổ sung thêm nhiều liên hệ hơn vào hệ sinh thái email và lưu lượng truy cập email cao hơn sẽ mang lại cho bọn tội phạm nhiều cơ hội hơn để thực hiện các cuộc tấn công qua email.
Một tập hợp con của xâm phạm email doanh nghiệp (BEC) là xâm phạm email của nhà cung cấp và đây là một vấn đề ngày càng gia tăng. Trong kế hoạch xâm phạm email của nhà cung cấp, kẻ tấn công mạo danh các bên thứ ba đáng tin cậy như nhà cung cấp và nhà cung cấp để lừa nhân viên thanh toán hóa đơn gian lận, nhập thông tin đăng nhập hoặc chia sẻ dữ liệu độc quyền. Theo một báo cáo từ công ty bảo mật email Abnormal, hơn một nửa số cuộc tấn công BEC hiện mạo danh bên thứ ba. Do đó, tất cả nhân viên cần lưu ý rằng khi email từ những người gửi đáng tin cậy, bao gồm cả nhà cung cấp và nhà cung cấp, chứa các yêu cầu có vẻ bất thường, họ nên gắn cờ những thư đó để nhóm bảo mật xem xét trước khi phản hồi.
Những kẻ tấn công khai thác xu hướng lực lượng lao động từ xa và kết hợp
Ransomware và các dạng phần mềm độc hại khác là vấn đề lâu năm đối với các nhà bán lẻ, đặc biệt là phần mềm độc hại đánh cắp dữ liệu thanh toán của khách hàng. “ của VerizonBáo cáo điều tra vi phạm dữ liệu năm 2022” nhận thấy rằng ngành bán lẻ phải chịu số trường hợp phần mềm độc hại “thu thập dữ liệu ứng dụng” nhiều gấp bảy lần so với ngành khác. Những cái này Tấn công kiểu Magecart có thể âm thầm quét dữ liệu khi dữ liệu được nhập, không bị phát hiện cho đến khi có khiếu nại gian lận. Để ngăn chặn chúng, mọi người làm việc với trang web của bạn cần nhận thức được khả năng xảy ra loại phần mềm độc hại này cũng như các quy trình quét, loại bỏ và khắc phục.
Một cơ hội ngày càng tăng khác cho những kẻ tấn công phần mềm độc hại là việc các nhà bán lẻ chuyển sang lực lượng lao động từ xa hoặc kết hợp. Khi nhân viên đăng nhập từ xa thường xuyên hơn — và thường xuyên hơn từ thiết bị cá nhân thay vì thiết bị của công ty — những kẻ lừa đảo đã tận dụng cơ hội để tạo các email yêu cầu đăng nhập trông giống thực tế có vẻ như đến từ các dịch vụ đám mây của công ty bạn, chẳng hạn như Google Drive hoặc Microsoft SharePoint. Tất cả nhân viên và giám đốc điều hành cần phải nhận thức được rủi ro mà các thông báo yêu cầu đăng nhập bất ngờ hoặc hơi bất thường có thể gây ra. Giống như các tin nhắn bất thường của nhà cung cấp, những tin nhắn này phải được báo cáo cho nhóm bảo mật để xem xét trước khi trả lời.
Những xu hướng này minh họa tại sao việc nâng cao nhận thức về bảo mật là một quá trình quan trọng hơn là một cuộc thảo luận một lần. Năm nay, nhân viên của bạn cần lưu ý đến gian lận vận chuyển, xâm phạm email của nhà cung cấp và các cuộc tấn công lừa đảo thông tin xác thực giả danh nhà cung cấp tài nguyên của công ty. Năm tới, nó có thể sẽ là một cái gì đó khác. Bằng cách thảo luận thường xuyên về các vấn đề bảo mật này và khuyến khích tư duy an toàn dữ liệu, bạn có thể giảm nguy cơ xảy ra các mối đe dọa ngày nay và tạo ra văn hóa bảo mật có lợi cho công ty của bạn về lâu dài.
