Van wasmachines tot kleren: voor de meeste shoppers is internet het primaire kanaal geworden voor het aanschaffen van nieuwe producten en diensten. De populariteit van de e-commercesector heeft echter ook een keerzijde. Doordat er veel geld en waardevolle informatie in omgaat is de e-commercesector ook zeer geliefd onder cybercriminelen. In dit artikel zoomen we in op cyberbedreigingen die kunnen spelen binnen de e-commercewereld én hoe je je daartegen beschermt.
Bedreigingen
Spam
Spam ken je misschien van e-mails, maar spam kan ook terecht komen in je webshopomgeving. Hackers kunnen bijvoorbeeld scripts schrijven waar zij spam mee versturen via een contactformulier.
Er hoeft maar één medewerker op een geïnfecteerde link te klikken voordat de cybercrimineel te werk kan gaan. Meestal is spam zeer afwijkend van een normaal bericht, omdat het bijvoorbeeld in slecht Engels is geschreven of omdat de contactaanvraag niets te maken heeft met jouw webshop.
Phishing
Bij phishing worden mails gestuurd die lijken alsof ze van en officiële bron komen. Vaak is dat niet het geval en heeft een cybercrimineel een mail vervalst. In de mail zit vervolgens een geïnfecteerde link die malware installeert op de computer van degene die het aanklikte. Vanuit die computer kan de cybercrimineel verder in zijn zoektocht naar het buit maken van waardevolle informatie.
Een kwaadwillende kan bijvoorbeeld mails die lijken op mails vanuit jouw webshop met daarin bijvoorbeeld kortingscodes. Vaak zijn dit soort mails te herkennen aan een slechte schrijfstijl, afwijkende huisstijl, onherkenbare url’s (niet op klikken!) en een niet bekende afzender.
DDoS-aanvallen
DDoS-aanvallen zijn erop gericht om webshops offline te krijgen. Een DDoS-aanval wordt gegenereerd door heel veel pakketjes te versturen naar een server. Een server is namelijk ingericht om pakketjes te ontvangen. Die pakketjes ontcijfert de server en serveert ze vervolgens zodat je de website kunt zien in je browser. Bij een DDoS-aanval worden er meer pakketjes gestuurd dan een server aankan. Die pakketjes worden verstuurd door duizenden geïnfecteerde apparaten. Dat kunnen laptops zijn of andere aan internet verbonden apparaten. Samen vormen die apparaten een zogenoemde botnet die duizenden, zo niet miljoenen pakketten tegelijk versturen. Grote kans dat de server niet zoveel verzoeken kan afhandelen, waardoor de server overstuur gaat en offline gaat.
Soms gaat het om een kwajongensstreek, een tiener die op de zolderkamer een botnet koopt waarmee je tijdelijk een website kunt DDoS’en. Maar soms is het ook een concurrent. Met name bij internationaal opererende webshops komt dit voor. Een paar minuten downtime kan al voor omzetverlies bij de ene webshop zorgen, waardoor de webshopbezoeker eerder naar een concurrerende webshop zal gaan.
Brute-force aanvallen
Een brute-force aanval is een aanval waarbij de hacker gebruikmaakt van software die verschillende combinaties van inlognamen en wachtwoorden probeert, net zolang tot de software de juist inloggegevens heeft. Met een brute-force kan een hacker dus toegang krijgen tot de (betaal)gegevens van je klanten of tot de beheerdersrechten van een van je medewerkers.
Het algoritme van de brute-force software kan vaak in korte tijd heel veel combinaties proberen. Hoe complexer je inloggegevens, hoe moeilijk het te kraken is. Al kunnen ook complexe inloggegevens gekraakt worden. Dit is sterk afhankelijk van hoeveel tijd de brute-force software heeft.
SQL-injecties
Bij een SQL-injectie wordt er code geïnjecteerd in de SQL databasesoftware (bijv. MySQL). Een kwaadwillende kan bijvoorbeeld een script inladen via een contactformulier in de webshop, waarmee deze persoon toegang verwerft tot de databasesoftware.
Vanuit daar kan de kwaadwillende bijvoorbeeld gebruikersnamen en wachtwoorden stelen of malware installeren (als de data niet versleuteld is) waarmee de webshop te saboteren is.
Cross-site scripting
Bij een XSS-aanval wordt code geïnjecteerd aan de client-side kant van een website (in tegenstelling tot een SQL-injectie, wat plaatsvindt aan de server-side).
Met cross-site scripting kan een kwaadwillende een sessie overnemen van een webshopbezoeker en daarmee ook toegang krijgen tot de gegevens van deze bezoeker. Als de bezoeker tevens ook een beheerder is van de website betekent het dat de kwaadwillende ook toegang kan krijgen tot de controlepanelen van de webshop.
Cross-site scripting (XSS) komt met name voor bij webapplicaties, maar ook webshops kunnen hier serieuze last van krijgen.
Oplossingen
Gebruik een HTTPS-verbinding
Wanneer je met dynamische content te maken hebt is het verstandig om altijd het HTTPS-protocol te gebruiken. Het HTTPS-protocol beschermt de gegevens die je webshopbezoekers achterlaten in formulieren. De ‘S’ in HTTPS staat voor Secure.
De meeste browsers geven meldingen als de website geen HTTPS-verbinding heeft. Soms worden websites zelfs volledig geblokkeerd.
Het inschakelen van HTTPS zorgt trouwens ook voor een betere positie in de zoekmachine. Maak je dus nog geen gebruik van HTTPS, dan is dat een belangrijke eerste stap om mee te beginnen.
Gebruik van SSL-certificaten
HTTPS en SSL-certificaten gaan hand in hand. Een SSL-certficaat herkennen de meeste mensen aan het ‘groene slotje’ in de browserbalk. Een SSL-certificaat kun je het best zien als een bewijs dat bezoekersverkeer versleuteld wordt.
Een SSL-certificaat is niet altijd een garantie dat je veilig kunt surfen. Een kwaadwillende kan bijvoorbeeld ook een gratis SSL-certificaat nabootsen en zo de versleutelde informatie op een eigen server opslaan. Als webbezoeker moet je dus scherp blijven.
Wil je als webshop een extra veilig gevoel geven aan je webbezoeker, dan kun je het best voor een Extended Validation SSL-certificaat gaan. Bij deze certificaatvorm zien je bezoekers door wie het certifcaat is uitgegeven (Certificate Authority) en aan welk bedrijf (de naam van jouw webshop).
Wil je trouwens meer leren over de technische verschillen tussen HTTPS, SSL en TLS. Dan raden we deze uitleg aan.
Scherp inlogbeleid
Het risico op geautomatiseerde aanvullen kun je vermijden met een scherp inlogbeleid voor je medewerkers én je bezoekers. In het CMS van je webshop kun je bijvoorbeeld instellen dat je een time-out krijgt na bijvoorbeeld drie keer het verkeerde wachtwoord.
Een andere methode is om sterke wachtwoorden te gebruiken en vooral ook unieke wachtwoorden. Een sterk wachtwoord bestaat uit ten minste 8 tekens, hoofdletters en kleine letters, cijfers én speciale tekens.
Ook is het te adviseren om standaard inlognamen zoals ‘admin’ te wijzigen naar iets anders. Bij brute-force software heeft de hacker dan namelijk al 50% van de inloggegevens te pakken.
Maak 2FA of MFA mogelijk voor klanten
Een aanvulling op een scherp inlogbeleid is dat je het mogelijk maakt voor webshopbezoekers om ook tweetrapsverificatie (2FA) of multifactorauthenticatie (MFA) in te stellen. Stel je 2FA of MFA in dan hebben je webshopbezoekers altijd een tweede apparaat nodig voor toegang tot de applicatie. Hiermee bewijs je namelijk echt dat je bent wie je zegt (authenticatie).
Het grote verschil tussen 2FA en MFA is het aantal authenticaties. Met 2FA heb je alleen een smartphone nodig. Op de smartphone staat een applicatie die aan automatische code genereert. Als je inlogt moet je naast je gebruikersnaam en wachtwoord die code invullen, en voila.
Bij MFA heb je vaak nog een aanvullend gegeven om in te loggen. Dat kan bijvoorbeeld een biometrische gegeven zijn, zoals je vingerafdruk. Deze extra stap maakt het inloggen voor je medewerkers en webshopbezoekers nog eenvoudiger.
Gebruik een wachtwoordmanager
Voor medewerkers die toegang hebben tot de systemen van je e-commercebedrijf is het gebruik van een wachtwoordmanager aan te raden. Een wachtwoordmanager beheert alle wachtwoorden voor je. Met een hoofdwachtwoord is de software te ontgrendelen waarna je toegang hebt tot al je andere inloggegevens.
Dat klinkt misschien een beetje gevaarlijk, maar het is veiliger dan voor elke website of applicatie dezelfde inloggegevens gebruiken. Een wachtwoordmanager wordt door veel security-experts aangeraden.
Kies een vertrouwde hostingprovider
De data van je webshop wordt opgeslagen op een server. Tegenwoordig hebben nog vrij weinig bedrijven een eigen serverruimte, maar huren zij een server bij een hostingprovider.
Er zijn echter grote verschillen tussen hostingproviders als het om informatiebeveiliging gaat. Belangrijk in het kiezen van een betrouwbare hostingprovider is dat je kunt zien hoe zij omgaan met hun informatiebeveiligingsprocessen. Hostingproviders kunnen zich hiervoor laten toetsen met een ISO-norm.
Zo heb je bijvoorbeeld ISO 9001 en ISO 27001, twee ISO-normeringen die gebruikt worden om de informatiebeveiligingsprocessen van een bedrijf te toetsen. In de toets kijkt een externe examinator hoe de beveiligingsprocessen van de hostingprovider zijn gerealiseerd.
Versleuteling van persoonsgegevens
Dit lijkt een open deur, maar nog altijd zijn datalekken mogelijk omdat persoonsgegevens niet versleuteld zijn opgeslagen. In veel databasesoftware is het mogelijk om versleuteling in te schakelen. Het is daarom te adviseren om dit in te schakelen. Sterker nog, volgens veel Europese richtlijnen is het zelfs een belangrijke verplichting.
Back-ups van je data
Het kan natuurlijk voorkomen dat je webshop ondanks alle goede intenties getroffen wordt door een kwaadwillende. Of dat je onverhoopt data verliest. Back-ups bieden hier een uitkomst.
Met back-ups zijn gegevens terug te winnen als er een calamiteit zich voordoet, zoals een hack. Er is hier speciale software voor.
Updaten, updaten, updaten
Net als je computer of smartphone is het aan te raden dat je alle software van je e-commercewebshop regelmatig update. In de verouderde versie van je CMS kunnen bijvoorbeeld bugs zitten die gemakkelijk door een kwaadwillende op afstand wordt gebruikt om de boel te saboteren. Updaten is daarom altijd het advies.
Heb je zelf de hostingomgeving in beheer? Dan is ook updaten van alle hostingssoftware een absolute must. Onder hostingsoftware verstaan we bijvoorbeeld het besturingssysteem (host), de virtualisatiesoftware (hypervisor), de webserversoftware, de databasesoftware en alle aanvullende softwarepakketten zoals caching.
Bij een managed hostingprovider hoef je dit niet meer zelf te doen. De managed hostingprovider neemt updates en patches dan volledig uit handen.
Train je personeel
Bij security is de mens vaak nog altijd de zwakste schakel. Daarom kan het lonen om je personeel te trainen op het herkennen van security-risico’s. Train ze bijvoorbeeld hoe ze een phishingmail kunnen herkennen.
Of hoe ze om moeten gaan met social engineering, een sluipmethode waarmee een hacker zich voordoet als een betrouwbare partij om zo belangrijke informatie te ontfutselen.
Monitor op verdachte activiteiten
Er zijn diverse softwarepakketten die kunnen helpen met de monitoring op verdachte activiteiten. Deze software houdt bijvoorbeeld in de gaten hoeveel inlogpogingen er zijn gedaan op het CMS of hoeveel verkeer er binnenkomt. Door afwijkingen hier te signaleren, kun je zien of je webshop getroffen wordt door kwaadwillenden.
Informeer je klanten
Naast het trainen van je personeel is het als webshopbedrijf ook chique om je klanten te informeren. Zeker als er sprake is geweest van een datalek, dan is het zelfs wettelijk gezien verplicht om je klanten op de hoogte te houden.
