Ecommerce veiligheid

‘Webwinkels onvoldoende beschermd tegen online bestelfraude’

Uit een onderzoek van de Consumentenbond blijkt dat klanten van populaire webwinkels in Nederland niet goed genoeg beschermd zijn tegen online bestelfraude. De Consumentenbond deed onderzoek naar de 30 populairste webwinkels en zag dat 5 webwinkels onvoldoende maatregelen nemen.

Het grootste risico is de combinatie van zwakke wachtwoorden met de achteraf betalen optie. Cybercriminelen kunnen met software de zwakke wachtwoorden kraken, of simpelweg raden.

Als de crimineel eenmaal in het account zit, kan de cybercrimineel de klantgegevens aanpassen. Het wordt dan mogelijk om de adresgegevens te wijzigen én om betaalgegevens in stand te houden. De consument betaalt dan wel voor het product, maar ontvangt deze niet.

Online bestelfraude adviezen

Hoewel het niet bekend is hoe vaak dit voorkomt, bestempelt de Consumentenbond de huidige beveiligingsmaatregelen tegen online bestelfraude als onvoldoende. Zij hebben de vijf betreffende webwinkels benaderd met een aantal beveiligingstips. Zij adviseren bijvoorbeeld een strenger wachtwoordbeleid en tweetrapsauthenticatie voor achteraf betalen.

Cybercriminaliteit binnen e-commerce

Bestelfraude is niet de enige vorm van cybercriminaliteit die plaatsvindt bij webshops. Denk ook aan de volgende drie bedreigingen:

1. Distributed Denial of Service aanvallen

De zogenoemde DDoS-aanval is erop gericht om de webshop offline te halen. Er worden heel veel verzoeken naar de server gestuurd zodat deze overbelast raakt. Een DDoS-aanval is een vorm van cybercriminaliteit en zorgt ervoor dat je niets kunt verkopen, tot je webshop weer online is.

Een DDoS-aanval is te detecteren en mitigeren met anti-DDoS-software, zoals het Advanced Security Platform van True.

2. Brute-force aanvallen

Een brute-force aanval is een aanval waarbij de cybercrimineel (zwakke) wachtwoorden kraakt met software. Dit is ook wat de Consumentenbond naar suggereert in hun persbericht.

De impact van een brute-force aanval wordt kleiner als je een strak wachtwoordbeleid voor alle inlogdiensten van je webshop hanteert.

3. SQL-injecties

Bij een SQL-injectie wordt er code geïnjecteerd in de SQL databasesoftware (bijv. MySQL). Een kwaadwillende kan bijvoorbeeld een script inladen via een contactformulier in de webshop, waarmee deze persoon toegang verwerft tot de databasesoftware.

Voor het detecteren van SQL-injecties en bescherming ertegen is speciale website security software te installeren op de server, zoals het Advanced Security Platform van True.

Lees ook: 'Online security bij e-commercebedrijven'

Security Audits

Een kwetsbare beveiliging komt niet alleen voor bij de grootste webshops van Nederland. Ook in kleinere webshopomgevingen zit het gevaar vaak in een klein hoekje. Soms is het iets wat je bestaande ontwikkelaars over het hoofd zien. Niet uit onwil, maar simpelweg omdat ze eroverheen kijken.

In zulke gevallen is het verstandig om een externe partij met frisse ogen naar de applicatie te laten kijken. Bij True voeren wij regelmatig security audits uit. Een security audit is een onderzoek die uitgevoerd wordt door een van onze ethische hackers. Deze persoon onderzoekt de webshopapplicatie naar veelvoorkomende securityrisico’s en probeert daarmee securityrisico’s bloot te leggen.

Na afloop van het onderzoek ontvangt de webshopeigenaar een rapport met daarop alle securityrisico’s en wat de impact van het risico is. Ben je geïnteresseerd in zo’n security audit en hoe het kan beschermen tegen online bestelfraude? Laat het ons weten.

Ecommerce veiligheid
Kilian Drewel
Product Marketeer Cloud & Infra

schrijf je in voor de nieuwsbrief

Ontvang de nieuwste blogs van True elke twee weken in je mail

Security - 08.03.2021

We zijn afgelopen jaar regelmatig opgeschrikt door geruchtmakende cyberincidenten. Denk aan de SolarWinds-hack, waarbij aanvallers malware toevoegden aan de officiële Orion-software van dit bedrijf. Een kwetsbare versie van deze monitoringssoftware is door maar liefst 18.000 klanten geïnstalleerd, waaronder veel overheidsorganisaties en multinationals. Ook diverse omvangrijke ransomware-uitbraken passeerden de revue, zoals bij de gemeente Hof van […]

Development - 14.12.2020

Full stack development is een populair onderwerp. Zo struikel je over de vacatures waarin een full stack developer wordt gevraagd. Dit is iemand die kennis heeft over alle aspecten van softwareontwikkeling, inclusief de onderliggende infrastructuur. Denk hierbij aan de netwerkcomponenten, de benodigde rekenkracht en eventuele databases, maar ook aan de beveiliging hiervan. Maar kan dat […]

Security - 03.06.2020

Onlangs werd Sr. Security Engineer Eddie Bijnen van True geïnterviewd door Information Security Magazine over het Advanced Security Platform van True. Hieronder kun je het volledige artikel lezen. Bekijk ook onze dienst voor website security. Veel bedrijven vertrouwen voor hun dagelijkse bedrijfsvoering op websites, webapplicaties en databases. Een cyberaanval kan de beschikbaarheid echter in gevaar […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief