חברת F5 מזהירה צרכנים וקמעונאים מעליה בהונאות מסחר אלקטרוני ופשעי סייבר בחגיגת הקניות של Black Friday/Cyber Monday המתקיימת בסוף השבוע הקרוב.
על פי דוח הגנת היישומים של F5 Labs לשנת 2021 (F5 Labs’ 2021 Application Protection) במהלך השנה, יותר ממחצית הפרצות למידע בתחום הקמעונאות בארה"ב מיוחסות למתקפות של Formjacking. במהלך התקפות אלו פושעי הסייבר מחדירים סקריפט זדוני לאתר מסחר אלקטרוני ובאמצעותו הם שואבים מידע אודות כרטיסי אשראי לעגלת קניות און-ליין. מעבר לכך, נמשכת המגמה של גניבת זהויות במהלך תקופה זו. למעלה ממיליון אישורי הזדהות גנובים מדווחים מדי יום.
אתרי המסחר המחתרתיים מאפשרים לפושעי הסייבר לסחור בבוטים זדוניים והתקפות ידניות, שחושפים משתמשים ועסקים להונאות, דבר שהוביל לעלייה של 65% בניסיונות הונאה מוצלחים מ-2019 ל-2020.
איתי אמויאל, מנהל המגזר הפיננסי בישראל, יוון וקפריסין בחברת F5 אמר כי:"במהלך סוף השבוע הקרוב של חגיגות הקניות מספר התקפות הסייבר בתחום הקמעונאות מגיע לשיאו. מדובר באחד המועדים האהובים על פושעי סייבר, המנצלים את ההזדמנות לתקוף צרכנים במגוון טכניקות. יש לזכור כי התקפות אלו הופכות יותר ויותר פשוטות בזכות אתרי הסחר המחתרתיים. קמעונאים נדרשים להגן על הלקוחות שלהם ולהבטיח כי האפליקציות שלהם מוגנות מפני ההתקפות השכיחות המתפשטות בכל האתרים והאפליקציות בתקופה זאת."
חמש התקפות הסייבר המובילות שיש להתגונן מפניהן בסוף השבוע הקרוב (Black Friday יום שישי 26.11 עד Cyber Monday יום שני 29.11) ובהמשך תקופת החגים:
ככל שמתקרבים ל-Black Friday/Cyber Monday ולחגי הכריסטמס, צרכנים וקמעונאים נדרשים להיות מודעים לאיומים הבאים:
- השתלטות על חשבון
תוקפים בודקים מספר רב של אישורים שנגנבו (כלומר, שמות משתמש וסיסמאות שנפרצו מאתר אחר) בהתחברות לחשבונות ביישומים ואתרים להשגת רווח כספי. באחד האתרים שנבדקו, נוכל בודד יצר חשבון כל שלוש שניות במשך שבוע.
- פיצוח כרטיס מתנה
מדובר בסוג של מתקפת brute force, במהלכה תוקפים בודקים מיליוני וריאציות של מספרי כרטיסי מתנה באפליקציה כדי לזהות מספרי כרטיסים בעלי ערך. באפליקציית האינטרנט של כרטיסי המתנה של אחד ממותגי היוקרה שנבדקו, 98.5% מכלל התעבורה כלל לא הייתה אנושית, אלא נעשתה על ידי בוטים.
- Content Scraping
התקפה זו כוללת שימוש בכלים אוטומטיים לאיסוף כמויות גדולות של נתונים מאפליקציה כדי לעשות שימוש חוזר או למכור נתונים אלה במקום אחר. באחד האתרים שנבדקו, התקפה זו היוותה 25% מכלל תעבורת החיפוש.
- אגירת מלאי
מדובר ברכישת סחורות או שירותים על ידי ניצול לרעה של האפליקציה באופן שמשתמש רגיל לא יכול לבצע באופן ידני, דבר שפוגע באמון הלקוחות.
- הונאת כרטיסים
התקפה זו כוללת שימוש לרעה אוטומטי בדפי תשלום כדי לזהות ערכים חסרים של כרטיסי אשראי כמו תאריך תפוגה או קוד אבטחה של הכרטיס.