Ecommerce veiligheid

‘Webwinkels onvoldoende beschermd tegen online bestelfraude’

Uit een onderzoek van de Consumentenbond blijkt dat klanten van populaire webwinkels in Nederland niet goed genoeg beschermd zijn tegen online bestelfraude. De Consumentenbond deed onderzoek naar de 30 populairste webwinkels en zag dat 5 webwinkels onvoldoende maatregelen nemen.

Het grootste risico is de combinatie van zwakke wachtwoorden met de achteraf betalen optie. Cybercriminelen kunnen met software de zwakke wachtwoorden kraken, of simpelweg raden.

Als de crimineel eenmaal in het account zit, kan de cybercrimineel de klantgegevens aanpassen. Het wordt dan mogelijk om de adresgegevens te wijzigen én om betaalgegevens in stand te houden. De consument betaalt dan wel voor het product, maar ontvangt deze niet.

Online bestelfraude adviezen

Hoewel het niet bekend is hoe vaak dit voorkomt, bestempelt de Consumentenbond de huidige beveiligingsmaatregelen tegen online bestelfraude als onvoldoende. Zij hebben de vijf betreffende webwinkels benaderd met een aantal beveiligingstips. Zij adviseren bijvoorbeeld een strenger wachtwoordbeleid en tweetrapsauthenticatie voor achteraf betalen.

Cybercriminaliteit binnen e-commerce

Bestelfraude is niet de enige vorm van cybercriminaliteit die plaatsvindt bij webshops. Denk ook aan de volgende drie bedreigingen:

1. Distributed Denial of Service aanvallen

De zogenoemde DDoS-aanval is erop gericht om de webshop offline te halen. Er worden heel veel verzoeken naar de server gestuurd zodat deze overbelast raakt. Een DDoS-aanval is een vorm van cybercriminaliteit en zorgt ervoor dat je niets kunt verkopen, tot je webshop weer online is.

Een DDoS-aanval is te detecteren en mitigeren met anti-DDoS-software, zoals het Advanced Security Platform van True.

2. Brute-force aanvallen

Een brute-force aanval is een aanval waarbij de cybercrimineel (zwakke) wachtwoorden kraakt met software. Dit is ook wat de Consumentenbond naar suggereert in hun persbericht.

De impact van een brute-force aanval wordt kleiner als je een strak wachtwoordbeleid voor alle inlogdiensten van je webshop hanteert.

3. SQL-injecties

Bij een SQL-injectie wordt er code geïnjecteerd in de SQL databasesoftware (bijv. MySQL). Een kwaadwillende kan bijvoorbeeld een script inladen via een contactformulier in de webshop, waarmee deze persoon toegang verwerft tot de databasesoftware.

Voor het detecteren van SQL-injecties en bescherming ertegen is speciale website security software te installeren op de server, zoals het Advanced Security Platform van True.

Lees ook: 'Online security bij e-commercebedrijven'

Security Audits

Een kwetsbare beveiliging komt niet alleen voor bij de grootste webshops van Nederland. Ook in kleinere webshopomgevingen zit het gevaar vaak in een klein hoekje. Soms is het iets wat je bestaande ontwikkelaars over het hoofd zien. Niet uit onwil, maar simpelweg omdat ze eroverheen kijken.

In zulke gevallen is het verstandig om een externe partij met frisse ogen naar de applicatie te laten kijken. Bij True voeren wij regelmatig security audits uit. Een security audit is een onderzoek die uitgevoerd wordt door een van onze ethische hackers. Deze persoon onderzoekt de webshopapplicatie naar veelvoorkomende securityrisico’s en probeert daarmee securityrisico’s bloot te leggen.

Na afloop van het onderzoek ontvangt de webshopeigenaar een rapport met daarop alle securityrisico’s en wat de impact van het risico is. Ben je geïnteresseerd in zo’n security audit en hoe het kan beschermen tegen online bestelfraude? Laat het ons weten.

Ecommerce veiligheid
Kilian Drewel
Techblogger

schrijf je in voor de nieuwsbrief

Ontvang de nieuwste blogs van True elke twee weken in je mail

Security - 03.06.2020

Onlangs werd Sr. Security Engineer Eddie Bijnen van True geïnterviewd door Information Security Magazine over het Advanced Security Platform van True. Hieronder kun je het volledige artikel lezen. Bekijk ook onze dienst voor website security. Veel bedrijven vertrouwen voor hun dagelijkse bedrijfsvoering op websites, webapplicaties en databases. Een cyberaanval kan de beschikbaarheid echter in gevaar […]

Security - 29.01.2020

Er is recentelijk een nieuwe kwetsbaarheid gevonden in de speculative execution functie van de Intel-processoren. De aanval is dit keer gericht op het lekken van data via Cache Evictions, waarmee een aanvaller in potentie zelf kan selecteren welke data er gelekt mogen worden. Dit in tegenstelling tot eerdere kwetsbaarheden MDS/RIDL, waar de aanvaller eerst moest […]

Managed hosting - 21.01.2020

Internetprotocollen TLS 1.0 en 1.1 zijn in maart dit jaar end-of-life. Populaire browsers Chrome, Safari, Edge, Internet Explorer en Firefox zullen dan de verouderde protocollen niet meer ondersteunen. Dit heeft mogelijk effect op de beschikbaarheid van websites en (verouderde) applicaties die gebruikmaken van de verouderde versies. In deze blogpost leggen we uit wat er aan […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.