CIBERSEGURIDAD

Por qué 2020 será una Navidad excelente para los ciberdelincuentes y qué pueden hacer los minoristas al respecto

Puede haber tenido un impacto negativo en la economía del Reino Unido, pero COVID-19 no parece haber disminuido el entusiasmo por las compras navideñas. Más del 70 por ciento de los consumidores tienen la intención de gastar al menos tanto en regalos este año como en el pasado. Pero, si bien esto puede ser una buena noticia para los minoristas en conflicto, es una noticia aún mejor para los ciberdelincuentes oportunistas. Con las medidas de bloqueo que obligan a los consumidores en línea, el comercio electrónico nunca ha sido tan popular: el gasto en línea en el Black Friday fue hasta un 22 por ciento el año pasado. Por lo tanto, esta podría ser la mejor Navidad para los criminales.

El skimming web, en particular, va en aumento. La práctica, que implica atacar plataformas de comercio electrónico para robar los detalles de pago de los clientes, aumentó en un 26 por ciento durante el primer encierro en marzo. Con la mayor parte del país en medidas de bloqueo de Nivel Dos y Tres durante diciembre, es probable que veamos aumentar su uso nuevamente. Por lo tanto, es vital que los minoristas hagan todo lo posible para prevenir este tipo de ataques y proteger sus ganancias y su reputación en estos tiempos difíciles.

Experiencia inquietante

Al ocurrir en la etapa de pago de un sitio minorista, el skimming web brinda a los delincuentes acceso a los detalles de la tarjeta de crédito de un cliente, así como a su nombre, dirección, correo electrónico y, a menudo, su fecha de nacimiento. Una vez recuperados, estos datos de enorme valor se venden generalmente en la web oscura, desde donde a menudo pueden estar sujetos a más ataques y, potencialmente, pérdidas financieras.

Se llevó a cabo un ataque de skimming web dirigido contra marca de hogar Tupperware y sus sitios web asociados a principios de este año. El sitio oficial Tupperware.com, que disfruta de un promedio de alrededor de un millón de visitas mensuales, se vio comprometido en marzo cuando un código malicioso, oculto dentro de un archivo de imagen, activó un formulario de pago fraudulento durante el proceso de pago del cual los delincuentes pudieron cobrar el crédito. datos de la tarjeta de clientes involuntarios.

Tan pronto como recibió la alerta del compromiso, Tupperware identificó y eliminó el código malicioso. Sin embargo, como una marca de alto perfil con mucho tráfico en su sitio web, Tupperware, lamentablemente, llegó demasiado tarde para evitar que muchos de los detalles de la tarjeta de crédito de sus clientes fueran «desnatados».

Remediando el problema

Tupperware reaccionó lo más rápido que pudo. Desafortunadamente, incluso cuando se actúa rápido, identificar el skimming web puede ser un desafío. A diferencia de otros tipos de robo cibernético, a menudo hay pocas señales visibles, si es que hay alguna, de que el código malicioso se haya inyectado en un sitio web.

Independientemente, solucionar el problema y garantizar la seguridad de los datos de sus clientes requiere que los minoristas eliminen el código malicioso del sitio comprometido en el momento en que se identifica. Deben trabajar con socios de seguridad y de TI para revisar los registros a fin de encontrar el punto de entrada y, en consecuencia, revelar cuánto tiempo los delincuentes tuvieron acceso al sitio.

La amenaza se considera tan grave que el British Retail Consortium (BRC) publicó recientemente una guía oficial para ayudar a sus miembros a evitar ser víctimas de tales ataques. Desarrollado en conjunto con el Centro Nacional de Seguridad Cibernética (NCSC), el «Kit de herramientas de ciberresiliencia para minoristas» destaca la gama de amenazas que enfrenta el sector minorista, destacando las medidas de protección que los minoristas deben implementar y recomendando acciones sobre cómo prevenir, mitigar y recuperarse de cualquier infracción que pueda ocurrir.

Según su director técnico, Ian Levy, el NCSC quiere «mantener seguros los datos, la identidad y la privacidad de los compradores, y garantizar que el sector minorista esté bien equipado para enfrentar los desafíos cibernéticos asociados con un mundo cada vez más digital».

Minimizar riesgos

Honestamente, no hay forma de evitar por completo el skimming web. Sin embargo, existen pasos que los minoristas pueden implementar para minimizar el riesgo de que ocurran tales ataques.

Más que nada, es importante reforzar las medidas de seguridad diarias. Los minoristas deben trabajar con socios de seguridad y de TI, aplicando parches donde sea necesario para garantizar que cualquier vulnerabilidad potencial esté protegida. Se deben implementar requisitos de control de acceso más estrictos en el backend de un sitio. Actualizar contraseñas y agregar autenticación de dos factores, por ejemplo, ayudará a proteger un sitio y la información de sus usuarios.

La subcontratación del manejo de transacciones financieras a un tercero más grande y confiable también ayudará a reducir el estrés y el tiempo perdido en la administración de riesgos de seguridad. Si bien puede ser más costoso que administrar las cosas internamente, la seguridad garantizada de que la información financiera de los clientes está en buenas manos supera con creces el costo de una posible violación de datos.

Por último, garantizar la legitimidad de un sitio contribuirá en gran medida a ofrecer tranquilidad a los clientes. Los errores ortográficos y gramaticales suelen ser un regalo para las estafas en línea. Si un minorista se asegura de que toda su copia web está libre de tales errores, es más probable que sus clientes vean su sitio como creíble y, por lo tanto, seguro de usar.

Para los minoristas en línea y sus clientes, esta será una Navidad como ninguna otra. Pero lo mismo ocurre con los malos actores también. Nunca ha sido más importante prestar atención a la seguridad de la información de pago de los clientes. Con las medidas establecidas para prevenir y mitigar el skimming web y otros ataques, los minoristas pueden ayudar a cancelar la Navidad para los ciberdelincuentes.

Por Chris Boyd, analista principal de inteligencia de malware y Malwarebytes

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar