Ритейл под ударом: как защитить бизнес от кибератак

Активы в зоне риска

В минувшем году в результате деятельности хакеров утекли персональные данные из клиентских баз Rendez-Vous, у СДЭК отмечен масштабный сбой в логистике и доступности сервисов. А сеть магазинов «Верный» несколько дней не могла принимать оплату безналичным способом.

Если свести в единый список зоны риска в розничной торговле и ее онлайн-сегменте, то к сферам особого интереса злоумышленников можно отнести:

• веб-сервисы для взаимодействия с клиентами;

• личные кабинеты в интернет-магазинах;

• логистика и системы автоматизации складского учета;

• базы данных клиентов, бухгалтерии, хозяйственной деятельности, системы статистики и аналитики;

• внутренняя сетевая инфраструктура;

• терминалы оплаты и кассы.

Рассмотрим, наиболее характерные угрозы для ритейла.

Фрод в системе лояльности

В результате мошенничества с программами лояльности злоумышленники крадут персональные данные покупателей, бонусные баллы, ломают аккаунты пользователей, искажают бизнес-показатели и срывают маркетинговые кампании. Если у перступника есть информация об уязвимости в системе промокодов, то он может запустить применение одного и того же кода, уменьшая стоимость заказа вплоть до нуля. Такого же результата можно добиться применением нескольких промокодов одновременно.

Существуют и различные мошеннические схемы получения бонусных баллов. В декабре 2024 года органы правопорядка раскрыли пару злоумышленников. Преступники подготовили более полутора тысяч SIM-карт и зарегистрировали на них фейковые аккаунты покупателей и продавцов на популярных маркетплейсах. Затем мошенники делали заказы в своих же магазинах и отменяли их, при этом с фейковых аккаунтов покупателей появлялась возможность написать отзыв. За эти отзывы через систему лояльности маркетплейсов начислялись баллы, которые злоумышленники конвертировали в реальные деньги, причем им удалось заработать 65,6 млн баллов и вывести 18 млн рублей.

Еще один пример мошенничества – применение кассиром карты лояльности, оформленной на подставное лицо, либо своей личной. В этом случае при оформлении заказа сотрудник пользуется заготовленной картой для накопления бонусов, а не картой клиента.

От подобных схем защищают системы класса Data Base Firewall (DBF), которые могут отслеживать и блокировать действия, похожие на мошеннические, нелегитимные запросы к базам данных, а также определять нетипичное поведение профилей. Например, обнаружить мошенничество кассиров поможет профилирование и выявление аномально большого количества операций по карте или от конкретного пользователя системы (кассира).

Атаки на цепочки поставок

Ритейлеры взаимодействуют с большим числом контрагентов и поставщиков, а значит возрастает риск взлома тех компаний, с которыми они сотрудничают. Через уязвимую систему защиты поставщика можно как получить доступ к ресурсам, доступным подрядчику, так и проникнуть во внутреннюю инфраструктуру компании, например, с помощью фишингового письма от партнера.

В 2023 году хакеры атаковали сайты, работающие на устаревшей версии системы управления контентом веб-проекта (CMS) «1С-Битрикс». Эта система использовалась на сайтах многих книжных магазинов и сервисов, и злоумышленники смогли похитить список адресов электронной почты клиентов «Читай-города», логинов покупателей «Буквоеда», телефонные номера и адреса электронной почты пользователей сервиса Book24.

Избежать этого поможет многоуровневая защита. Технологии профилирования в системах защиты баз данных DBF предотвратят доступ через скомпрометированные учетные записи подрядчика, аудит поможет выявить устаревшие учетные записи или попытки повысить привилегии, а система сетевого обнаружения и реагирования (NDR, Network Detection and Response) обеспечит защиту сети.

Кроме того, ритейлеры нередко передают данные клиентов в третьи руки, например, для маркетинговых исследований, когда требуется проанализировать поведение пользователей, для прогнозирования спроса и улучшения качества обслуживания. Причем базы данных для таких работ должны передаваться со всем составом и структурой, чтобы подрядчики могли выполнить свою задачу. Однако, если отдавать реальные данные, это может привести к утечке информации. Чтобы избежать компрометации данных, в таких случаях применяются системы маскирования. Это ИТ-решение, которое подменяет реальную информацию (ФИО, номер паспорта, телефон, ИНН и другую) случайно сгенерированными аналогами. При этом сохраняется структура и формат данных, что позволяет подрядчикам полноценно работать с базой.

Утечка учетных записей, платежных сведений и другой важной информации

В зависимости от доступных внутри личного кабинета функций, взлом учетных записей пользователей может дать возможность злоумышленникам покупать товары с привязанной банковской карты, тратить бонусы, переводить средства фейковым продавцам (если речь о маркетплейсе), и многое другое. Еще один вид активности злоумышленников – установка на устройства пользователей вредоносных программ, которые перехватывают данные менеджеров паролей, кошельков, отслеживают активность на экране гаджета, геолокацию и другую конфиденциальную информацию.

Например, в результате взлома аккаунтов пользователей маркетплейса eBay злоумышленники получили доступ к учетным записям сотрудников компании, что позволило им украсть базу данных с логинами, хешированными паролями и другой личной информацией около 145 миллионов пользователей. Впоследствии многие из этих учетных записей были взломаны через подбор паролей или фишинговые атаки. Это привело к несанкционированным действиям от имени пользователей, включая мошеннические продажи и кражу денег.

Источником угрозы могут быть действия как самих пользователей, так и киберпреступников. Соответственно, и защита от взлома учетных записей лежит в двух плоскостях: пользовательской и инфраструктурной. С одной стороны, при использовании учетной записи должен стоять запрет на простые пароли, в идеале – правило на использование двухфакторной авторизации. С другой – методы обеспечения комплексной безопасности. Помимо базовой антивирусной защиты, нужна защита сети класса NDR: система обнаружения атак на периметре и внутри сети, с инструментами анализа сетевого трафика и реагирования на инциденты информационной безопасности. Для защиты сайтов, веб-приложений и сервисов от атак и уязвимостей применяются специализированные межсетевые экраны. Система управления инцидентами SIEM обеспечивает анализ в реальном времени ИБ-событий, которые система получает от сетевых устройств и приложений, и позволяет реагировать на них до нанесения компании существенного ущерба. Обогащение потоками данных из сервисов Threat Intelligence, которые содержат информацию о текущих угрозах, техниках и тактиках киберпреступников, повышает эффективность сетевых средств защиты и SIEM.

Кроме доступов к учетным записям злоумышленников интересуют и другие критичные сведения, например, персональные данные сотрудников и клиентов, платежная информация, любые сведения, относящиеся к коммерческой тайне, рекламные и маркетинговые стратегии. В октябре 2024 года киберпреступники выложили в даркнете на продажу базу с украденными персональными данными (ФИО покупателей, телефонные номера, e-mail, адреса по которым отправлялись заказы, и другие). Предположительно, информацию украли с маркетплейса «Ярмарка Мастеров». Тогда же в теневом интернете появилась клиентская база интернет-магазина MebHome.ru с уникальными e-mail, номерами телефонов, Ф.И.О., адресами для доставки мебели, датами оформления и содержимым заказов.

Чтобы обеспечить безопасность бизнеса, целесообразно использовать хотя бы один из механизмов: защиту баз данных/контроль критичных сведений (решения класса Database Activity Monitoring, DAM/Database Firewall, DBF) или защиту от утечек данных, DLP. Однако наибольшую эффективность покажет одновременное применение сразу нескольких мер.

DDoS-атаки

Согласно исследованию группы компаний «Гарда», половина российских компаний сталкиваются с атаками на отказ в обслуживании, причем атаки на ритейл часто усиливаются сезонно, в периоды распродаж и скидок. Так, эксперты регистрировали увеличение количество DDoS в конце августа-начале сентября (в преддверии нового учебного года) и на неделе распродаж 11/11.

При этом DDoS может быть и частью комплексной атаки. Например, пока служба информационной безопасности британского ритейлера Carphone Warehouse боролась с DDoS-атакой, хакеры взломали сеть и похитили личные данные 2,4 миллиона клиентов и информацию о 90 000 кредитных картах.

Для защиты каналов связи и онлайн-ресурсов используют системы Anti-DDoS, которые обнаруживают аномальный трафик и оперативно подавляют атаку. А для защиты от самых опасных векторов атак на веб-приложения (таких как боты для сбора контента, несанкционированный доступ к базам данных веб-сервера, подбор паролей и DDoS) применяют специализированные межсетевые экраны (WAF, Web Application Firwall).

Подмена данных

Ритейлеры продвигают свои товары и услуги через рекламные кампании и интеграции с партнерами, но этот инструмент также может использоваться злоумышленниками во вред. Например, мошенники во время рекламной компании могут подменять реальные параметры трафика (клики, установки) на фиктивные, искажать информацию о действиях пользователей, и незаконно получать вознаграждение. Так, двое мошенников подменяли куки-файлы, и благодаря этому смогли выманить 35 млн долларов у Amazon.

Подмена информации в базах данных – это нетипичное поведение, которое обнаруживается технологией профилирования пользователей в решениях класса DBF. А для защиты от подмены и искажения информации в веб-приложениях и трафике используется межсетевой экран (WAF).

Последствия инцидентов

Кибератаки и утечки данных могут привести к множеству негативных последствий для ритейла, включая как прямые финансовые потери, так и долгосрочные операционные риски. Наиболее ощутимые последствия:

• кража денежных средств со счетов компании;

• издержки по контрактам;

• судебные издержки;

• выплата штрафов за нарушения законодательства;

• затраты на выкуп вымогателям;

• снижение стоимости активов (например, акций);

• приостановка внутренних сервисов (коммуникация, отчетность, подтверждения процессов и др.);

• недополученная прибыть из-за остановки основного производственного процесса (например, потеря клиентов из-за недоступности веб-сервиса, приостановка перемещений на складах, и др.);

• недополученная прибыть из-за мошеннических махинаций с системами лояльности;

• затраты на восстановление (веб-сервиса, компьютерного оборудования, процессов).

Кроме финансовых потерь, существуют и другие риски:

• увеличение операционной нагрузки на работников;

• срыв маркетинговой кампании;

• снижение или утрата конкурентных преимуществ;

• репутационные потери;

• злоупотребление инфраструктурными ресурсами;

• иные операционные потери.

Ритейл остается одной из наиболее атакуемых хакерами отраслей, сталкиваясь с серьезными последствиями для бизнеса. Среди ключевых угроз ‒ DDoS-атаки, приводящие к недоступности сервисов и финансовым потерям; мошенничество с программами лояльности, кража данных и бонусных баллов; утечка учетных записей и платежной информации клиентов; атаки через цепочки поставок; подмена данных, влияющая на бизнес-показатели.

Читайте также:

Связанные одной микроцепью. Зачем банки и маркетплейсы массово создают собственные МФО?

Основываясь на опыте последних инцидентов, важно усиливать защиту критичных активов, внедрять современные технологии мониторинга и реагирования на киберугрозы, а также регулярно обучать сотрудников правилам кибербезопасности. Инвестиции в современные системы безопасности, защита данных и постоянный мониторинг инфраструктуры обеспечат устойчивость компании в условиях цифровых угроз.