Top 5 securityproblemen van webwinkels (en hoe je deze kan fixen)

E-commercebedrijven hebben altijd al te maken gehad met beveiligingsrisico’s. Het is nu eenmaal een feit dat cybercriminelen misbruik proberen te maken van kwetsbaarheden om toegang te krijgen tot de financiële en persoonsgegevens van hun klanten. Webwinkels zijn zo’n aantrekkelijk doelwit dat online retailers in 2020 te maken kregen met een toename met 50% van het aantal cyberaanvallen. Het niet verhelpen van beveiligingslekken kan e-commercebedrijven en hun klanten duur komen te staan. Het kan het vertrouwen van klanten schenden, het bedrijfsresultaat schaden en voor juridische problemen zorgen.

Sommige securityproblemen komen vaak voor in webwinkels. Beyond Identity zet op een rijtje welke dit zijn, hoe cybercriminelen er gebruik van maken, en het allerbelangrijkste: hoe kan je je onderneming daartegen beschermen?

1. Botnetaanvallen

Cybercriminelen zetten regelmatig botnets in. Zo zien ze dat de webserver van een webwinkel wel gebruikmaakt van SSL-encryptie, maar geen HTTPS heeft geactiveerd. In dat geval kunnen cybercriminelen een botnet van duizenden computers in het leven roepen en die opdracht geven om de webwinkel aan te vallen.

Botnets maken misbruik van kwetsbaarheden om toegang tot je systeem te krijgen. Vervolgens kunnen ze op afstand je prijzen wijzigen, DDoS-aanvallen uitvoeren en nog veel meer.

Dit kun je als volgt voorkomen:

• Wees beducht op mislukte aanmeldingen: Een ander teken van een botaanval is een plotselinge opleving van het aantal mislukte aanmeldingspogingen. Botnetwerken worden vaak gebruikt voor ‘credential stuffing-aanvallen’, waarover later meer.
• Hou je dataverkeer in het oog: Monitor het internetverkeer zowel op de herkomst als het volume. Een plotselinge piek in het verkeer vanuit een bepaalde locatie kan erop wijzen dat je webwinkel wordt aangevallen.

2. Credential stuffing

Credential stuffing omvat het gebruik van gelekte combinaties van gebruikersnamen en wachtwoorden om onbevoegde toegang te krijgen tot systemen die aanmeldingsgegevens hergebruiken of zwakke authenticatiemethoden hanteren.

Dit type aanval wijst op een groot probleem met wachtwoorden. Volgens schattingen zijn gelekte wachtwoorden namelijk de oorzaak van 81% van alle datalekken. Zelfs als organisaties beveiligingsmaatregelen treffen worden alfanumerieke wachtwoorden toch nog vaak gestolen door middel van phishing en keystroke logging (het vastleggen van toetsaanslagen).

Dit kun je als volgt voorkomen:

• Stap af van het gebruik van wachtwoorden: De reden waarom credential stuffing zo goed werkt, is dat wachtwoorden inherent onveilig zijn. Zelfs de meest complexe wachtwoorden kunnen vroeg of laat worden geraden of gekraakt. Het is daarom een goed idee om over te stappen op wachtwoordloze authenticatie.
• Monitor mislukte aanmeldingspogingen: Ook als je best practices voor zero trust toegang hanteert, kan het geen kwaad om je logbestanden in de gaten te houden. Als je een plotselinge stijging in het aantal mislukte aanmeldingspogingen bemerkt, kan dat een teken zijn dat cybercriminelen gelekte aanmeldingsgegevens tegen je proberen te gebruiken.
• Maak gebruik van wachtwoordloze multi-factorauthenticatie (MFA): Traditionele MFA biedt ontoereikende bescherming. Met wachtwoordloze MFA kun je klantengegevens veilig houden door af te stappen van zwakke authenticatiefactoren zoals sms-berichten en eenmalige codes.

3. Phishing

Cybercriminelen kunnen klanten van webwinkels phishing-mails toezenden die er net zo uitzien als die van het e-commercebedrijf. Zo kunnen zij een e-mail sturen met een advertentie die er bonafide uitziet, maar links bevat naar een nagebootste versie van de webwinkel waarmee cybercriminelen klantengegevens buit kunnen maken. Zodra klanten op zo’n link klikken, zijn zij uitgeleverd aan cybercriminelen. En daar komen zij wellicht pas achter als het te laat is. Hoewel het nabootsen van je e-mails iets is dat buiten je directe controle valt, kun je wel maatregelen treffen om te voorkomen dat cybercriminelen je klanten om de tuin leiden. Zo kun je preventieve tips zoals de onderstaande aan je klanten sturen.

Dit kun je als volgt voorkomen:

• Licht klanten voor: Vertel je gebruikers dat ze nooit persoonsgegevens via de e-mail moeten sturen, voorzichtig moeten zijn met het ongevraagde mails en links in e-mailberichten moeten inspecteren alvorens erop te klikken. · Pas risicogebaseerde authenticatie toe: Risicogebaseerde authenticatie vraagt gebruikers om aanvullende authenticatie als de bescherming van klanten om een sterker bewijs van hun identiteit vraagt.

4. Fraude door kaping van gebruikersaccounts

Cybercriminelen kunnen misbruik maken van kwetsbaarheden om de accounts van klanten van webwinkels over te nemen. Als gebruikersnamen en wachtwoorden in de vorm van platte tekst worden opgeslagen in plaats van een hash of te worden versleuteld geeft dat cybercriminelen vrij spel. Zelfs gehashte wachtwoorden zijn niet voldoende, omdat gebruikers er berucht om staan dat ze voor verschillende accounts hetzelfde wachtwoord gebruiken. Bovendien bieden cybercriminelen gestolen aanmeldingsgegevens op het dark web te koop aan. Als dat gebeurt kunnen cybercriminelen deze aanmeldingsgegevens gebruiken om de account van klanten over te nemen. Vervolgens kunnen ze bijvoorbeeld het e-mailadres voor het account wijzigen, zodat alle correspondentie vanaf dat moment naar hen wordt verzonden.

Dit kun je als volgt voorkomen:

• Beperk het aantal aanmeldingspogingen: Dit kan cybercriminelen ervan weerhouden om alle mogelijke combinaties van gebruikersnamen en wachtwoorden uit te proberen om toegang te krijgen tot je webserver. Beperk het aantal aanmeldingspogingen tot drie of vijf om brute force-aanvallen te voorkomen.
• Wees beducht op verdacht gedrag: Cybercriminelen kunnen opvallen door afwijkende activiteiten, zoals het aanbrengen van wijzigingen van klantenaccounts en kort daarop aankopen doen. Zorg voor een systeem dat monitort op verdacht gedrag en onbevoegde online transacties.
• Pas wachtwoordloze authenticatie toe voor klanten: Het afstappen van wachtwoorden voorkomt dat cybercriminelen veel gebruikte en makkelijk raadbare wachtwoorden gebruiken voor brute force-aanvallen op accounts. Met wachtwoordloze authenticatie voor klantenaccounts voorkom je in één klap alle op wachtwoorden gebaseerde aanvallen.

5. Brute force-aanvallen

Bij een brute-force aanval zal de cybercrimineel systematisch wachtwoorden en encryptiesleutels uitproberen totdat er één blijkt te werken. Deze aanvalsmethode kan worden gebruikt voor alle soorten wachtwoorden en encryptiesleutels, plus voor enkele andere toepassingen zoals het vinden van verborgen webpagina’s.

Dit kun je als volgt voorkomen:

• Blokkeer accounts na te veel mislukte aanmeldingspogingen: Zie je al een patroon? Dit is waarschijnlijk een van de eerste maatregelen die je zou moeten treffen als je dat nog niet hebt gedaan. Dit is een eenvoudige manier om succesvolle brute force-aanvallen en andersoortige aanvallen te voorkomen.
• Monitor verdachte aanmeldingen: Meldt een gebruiker zich aan vanaf een locatie die ver is afgelegen van diens normale locatie, of vanaf een onbekend apparaat? Het bewaken van dit soort variabelen maakt het mogelijk om vast te stellen of de gebruiker wel is wie die zegt te zijn en brute force-aanvallen in de kiem te smoren.
• Maak gebruik van wachtwoordloze authenticatie: Dit maakt een einde van het probleem van makkelijk raadbare wachtwoorden.

Hoe eerder kwetsbaarheden worden geïdentificeerd, des eenvoudiger het is om ze op te lossen. Het valt zonder meer aan te raden om je webserver aan stresstests te onderwerpen. En het kan al een even goed idee zijn om een hackingexpert in te huren om je webwinkel te inspecteren op veel voorkomende kwetsbaarheden.