Uit een onderzoek van de Consumentenbond blijkt dat klanten van populaire webwinkels in Nederland niet goed genoeg beschermd zijn tegen online bestelfraude. De Consumentenbond deed onderzoek naar de 30 populairste webwinkels en zag dat 5 webwinkels onvoldoende maatregelen nemen.
Het grootste risico is de combinatie van zwakke wachtwoorden met de achteraf betalen optie. Cybercriminelen kunnen met software de zwakke wachtwoorden kraken, of simpelweg raden.
Als de crimineel eenmaal in het account zit, kan de cybercrimineel de klantgegevens aanpassen. Het wordt dan mogelijk om de adresgegevens te wijzigen én om betaalgegevens in stand te houden. De consument betaalt dan wel voor het product, maar ontvangt deze niet.
Online bestelfraude adviezen
Hoewel het niet bekend is hoe vaak dit voorkomt, bestempelt de Consumentenbond de huidige beveiligingsmaatregelen tegen online bestelfraude als onvoldoende. Zij hebben de vijf betreffende webwinkels benaderd met een aantal beveiligingstips. Zij adviseren bijvoorbeeld een strenger wachtwoordbeleid en tweetrapsauthenticatie voor achteraf betalen.
Cybercriminaliteit binnen e-commerce
Bestelfraude is niet de enige vorm van cybercriminaliteit die plaatsvindt bij webshops. Denk ook aan de volgende drie bedreigingen:
1. Distributed Denial of Service aanvallen
De zogenoemde DDoS-aanval is erop gericht om de webshop offline te halen. Er worden heel veel verzoeken naar de server gestuurd zodat deze overbelast raakt. Een DDoS-aanval is een vorm van cybercriminaliteit en zorgt ervoor dat je niets kunt verkopen, tot je webshop weer online is.
Een DDoS-aanval is te detecteren en mitigeren met anti-DDoS-software, zoals het Advanced Security Platform van True.
2. Brute-force aanvallen
Een brute-force aanval is een aanval waarbij de cybercrimineel (zwakke) wachtwoorden kraakt met software. Dit is ook wat de Consumentenbond naar suggereert in hun persbericht.
De impact van een brute-force aanval wordt kleiner als je een strak wachtwoordbeleid voor alle inlogdiensten van je webshop hanteert.
3. SQL-injecties
Bij een SQL-injectie wordt er code geïnjecteerd in de SQL databasesoftware (bijv. MySQL). Een kwaadwillende kan bijvoorbeeld een script inladen via een contactformulier in de webshop, waarmee deze persoon toegang verwerft tot de databasesoftware.
Voor het detecteren van SQL-injecties en bescherming ertegen is speciale website security software te installeren op de server, zoals het Advanced Security Platform van True.
Lees ook: 'Online security bij e-commercebedrijven'
Security Audits
Een kwetsbare beveiliging komt niet alleen voor bij de grootste webshops van Nederland. Ook in kleinere webshopomgevingen zit het gevaar vaak in een klein hoekje. Soms is het iets wat je bestaande ontwikkelaars over het hoofd zien. Niet uit onwil, maar simpelweg omdat ze eroverheen kijken.
In zulke gevallen is het verstandig om een externe partij met frisse ogen naar de applicatie te laten kijken. Bij True voeren wij regelmatig security audits uit. Een security audit is een onderzoek die uitgevoerd wordt door een van onze ethische hackers. Deze persoon onderzoekt de webshopapplicatie naar veelvoorkomende securityrisico’s en probeert daarmee securityrisico’s bloot te leggen.
Na afloop van het onderzoek ontvangt de webshopeigenaar een rapport met daarop alle securityrisico’s en wat de impact van het risico is. Ben je geïnteresseerd in zo’n security audit en hoe het kan beschermen tegen online bestelfraude? Laat het ons weten.
