Cyberdreigingen voor detailhandel en e-commerce
In de periode dat iedereen thuis zat, is er meer online geshopt. En de kans is groot dat dat voorlopig nog wel even zo zal blijven. Retailers doen er alles aan om hun webshop op orde te krijgen. Maar waar moeten ze rekening mee houden?
Veelvoorkomende bedreigingen voor retailers zijn onder meer POS-aanvallen, webapplicatie-aanvallen, bedreigingen van binnenuit en aanvallen op databases of andere interne systemen van een retailer.
POS- aanvallen tegen detailhandel
POS-aanvallen of ‘point-of-sale’-aanvallen zijn populair bij cybercriminelen. Het kassasysteem dat ze aanvallen bevat uiterst gevoelige gegevens: de kaartnummers en pincodes van de klanten van het bedrijf.
In één voorbeeld kreeg een grote retailer een malware-aanval op zijn kassasystemen. De malware heeft niet alleen de creditcardgegevens en pincodes gestolen van alle kaarten die op een geïnfecteerde computer zijn gebruikt, maar heeft zich ook verspreid naar andere apparaten in hetzelfde bedrijf. In de loop van de tijd zijn miljoenen POS-systemen van het bedrijf geïnfecteerd en is een enorme hoeveelheid creditcardgegevens gestolen voor doorverkoop aan andere criminelen.
De decembermaand is voor criminelen een goede tijd om gestolen creditcardnummers te gebruiken. Klanten geven veel geld uit, hebben veel aan hun hoofd en letten niet goed op. Overdonderd door kerstinkopen en andere voorbereidingen, merken ze misschien niet meteen wanneer hun kaart wordt misbruikt.
Webapplicatie-aanvallen tegen retailbedrijven
Volgens het Verizon 2019 Data Breach Investigations Report zijn POS-aanvallen niet langer het meest voorkomende type aanval op retailbedrijven. Die positie is ingenomen door aanvallen op webapplicaties.
Aanvallers proberen de online betalingsapplicatie van een bedrijf te kraken en vervolgens schadelijke code te installeren die is ontworpen om de creditcardgegevens van de klant te stelen wanneer ze deze invoeren. Bedrijven die onvoldoende aandacht besteden aan cybersecurity zijn het meest gericht op dit type aanval, omdat criminelen actief op zoek zijn naar kwetsbare systemen. Na het internet te hebben gescand op bekende kwetsbaarheden in webapplicaties, zal de aanvaller zich richten op elk bedrijf dat kwetsbaar is bevonden, en vervolgens het beveiligingslek gebruiken om toegang te krijgen tot het bedrijfssysteem en de code te installeren. De gestolen creditcardgegevens worden vervolgens verkocht aan andere criminelen.
Er zijn hele groepen cybercriminelen die zich met dit type misdaad bezighouden, waaronder het bekende syndicaat Magecart. Magecart staat erom bekend niet alleen betalingssystemen rechtstreeks te infecteren, maar ook om meerdere sites tegelijk te infecteren door een supply chain-aanval uit te voeren. Een supply chain-aanval is gericht op de bedrijven die code aan andere websites leveren. Zodra Magecart erin slaagt deze code te corrumperen, kan het toegang krijgen tot elke website die de geïnfecteerde code gebruikt.
Creditcardgegevens van klanten zijn niet het enige type gegevens dat het stelen waard is. De punten of de persoonlijke informatie van beloningsprogramma’s voor klanten moeten volgens het DBI-rapport van Verizon ook worden gezien als potentiële criminele doelen.
Bedreigingen van binnenuit
Bedreigingen van binnenuit vormen, zoals altijd, een veelvoorkomende bedreiging voor retailbedrijven. Vooral gezien het hoge personeelsverloop en meerdere kwetsbare punten. Enige idee welke omvang de dreiging heeft? Stel je eens voor hoeveel winkels en distributiefaciliteiten een bepaald winkelbedrijf heeft. Stel je vervolgens alle mensen voor die op al die locaties werken. Voeg nu seizoensmedewerkers en derden toe die een bepaald aspect van de bedrijfsprocessen van het bedrijf afhandelen.
Een aanval van binnenuit is vaak belachelijk eenvoudig uit te voeren. Een werknemer kan bijvoorbeeld gevoelige klantgegevens naar een flashstation kopiëren en gewoon de deur uitlopen met de gegevens in zijn zak. In een door Deloitte beschreven insider-dreigingszaak verloor een grote detailhandelaar gedurende een periode van meerdere jaren acht miljoen stukjes data aan een enkele werknemer die deze eenvoudigweg naar een draagbaar apparaat kopieerde, mee naar huis nam en online verkocht aan criminelen.
Aanvallen op websites van winkelbedrijven
Het is altijd een grote zorg voor een winkelbedrijf om een cyberaanval te ondergaan, vooral als de aanval ervoor zorgt dat de website van het bedrijf offline gaat. Misgelopen orders en gefrustreerde klanten zijn een horrorscenario voor elk bedrijf.
Een veelvoorkomende aanvalsstrategie is de gedistribueerde denial-of-service-aanval. In een winkelcontext is dit een poging om een e-commerceplatform te overrompelen met allerlei soorten verkeer – inclusief nep-online bestellingen en vragen aan de klantenservice.
Een andere veel voorkomende aanval is het installeren van ransomware op het systeem van een winkelier om de bedrijfsgegevens te versleutelen. De aanvaller kan vervolgens losgeld eisen in ruil voor het decoderen van de gegevens.
Sommige cybercriminelen gebruiken e-mail om zich voor te doen als leverancier of zakenpartner van het bedrijf om frauduleuze facturen in te dienen voor niet-bestaande producten of diensten.
Bedrijven met een sterke cyberbeveiliging kunnen nog steeds kwetsbaar zijn voor aanvallen op hun leveranciers, die mogelijk een zwakkere verdediging of ongepatchte kwetsbaarheden hebben.
Cybercriminelen vallen ook graag bedrijfsdatabases aan die potentieel waardevolle klantgegevens bevatten. In sommige gevallen kunnen bedrijfsspionnen proberen intellectueel eigendom te verkrijgen dat een concurrent een waardevol voordeel zou kunnen geven ten opzichte van het beoogde bedrijf, zoals de locatieplannen voor nieuwe winkels.
Gevolgen van een datalek
De gevolgen van een succesvolle aanval kunnen groot zijn. De algemene verordening gegevensbescherming van de EU stelt de EU-autoriteiten in staat boetes op te leggen tot 4% van de jaarlijkse wereldwijde omzet van een bedrijf of 20 miljoen euro, naargelang wat het hoogst is. De ernst van deze regeling wordt geëvenaard door de omvang van het probleem. Wanneer een bedrijf bij een cyberaanval de persoonsgegevens van klanten verliest, worden die gegevens vaak online verkocht aan criminelen die deze uiteraard voor eigen gewin willen gebruiken.
In één door Deloitte onderzocht geval maakten aanvallers gebruik van de slechte beveiliging van het draadloze netwerk bij een detailhandelaar om zowel creditcardgegevens te onderscheppen als de niet-versleutelde klantendatabase van het bedrijf te doorbreken. In dit geval gebruikten de cybercriminelen verschillende aanvalstechnieken totdat ze er een vonden die werkte en wachtten vervolgens binnen het netwerk totdat ze de gegevens konden onderscheppen die ze nodig hadden om in de bedrijfsdatabase te komen. Het getroffen bedrijf leed een groot reputatieverlies en kreeg ook te maken met verkoopverliezen, boetes en een schikking.
Frequentie van cyberaanvallen op winkelbedrijven
Volgens onderzoek van F-Secure heeft meer dan tweederde van de winkelbedrijven (69,1%) cyberaanvallen op hun systemen gedetecteerd. Dit cijfer zou voldoende moeten zijn om elk detailhandelsbedrijf te overtuigen om de dreiging van een cyberaanval serieus te nemen. Maar volgens een rapport van Thales is het aantal inbreuken onder Amerikaanse detailhandelsbedrijven tussen 2017 en 2018 met meer dan 100% gestegen. Uit een rapport van Retail CIO Outlook bleek dat bijna een derde van alle detailhandelsbedrijven de afgelopen jaren schade heeft geleden als gevolg van cyberaanvallen.
Het Verizon 2019 DBI-rapport vermeldt 234 incidenten van inbreuken op retailbedrijven in 2019, met 139 bevestigde gevallen van openbaarmaking van gegevens. Aanvallen door webapplicaties en misbruik van bevoegdheden waren de twee belangrijkste aanvalscategorieën. 81% van de bedreigingsactoren was buiten de getroffen bedrijven en de motivatie was in 97% van de gevallen financieel. 64% van alle aangetaste gegevens was betalingsinformatie.
Nadenken over cybersecurity
Bedrijven die zichzelf willen beschermen tegen cyberaanvallen moeten ten minste de volgende strategieën implementeren:
- POS-systemen monitoren om te controleren op inbreuken
- Medewerkers informeren over cyberbeveiliging
- E-mailsystemen van bedrijven testen op malware
- Alle essentiële gegevens versleutelen
- Een back-up maken van essentiële gegevens
- Controle op aanvallen en ongebruikelijke netwerkactiviteiten
- Het opstellen van een reactieplan voor het geval er een inbreuk plaatsvindt
Retailbedrijven moeten veel voorzichtiger zijn met het bepalen van wie toegang krijgt tot bedrijfssystemen. De toegang moet worden beperkt op basis van de functie van de werknemer of aannemer en moet altijd worden gecontroleerd.
Cybercriminelen richten zich niet langer alleen op gegevens die zijn opgeslagen in het systeem van een bedrijf, maar vangen deze op wanneer ze worden ingevoerd in een online betalingsformulier. Het wordt retailers aangeraden om te overwegen om software voor het monitoren van bestandsintegriteit op hun betalingssites te gebruiken om zich te verdedigen tegen dit type aanval, terwijl ze ook alle patches bijhouden.
Uit eigen onderzoek van F-Secure blijkt dat meer dan 90% van de retailbedrijven zegt dat hun budget voor cyberveiligheid in de toekomst zal toenemen. Echter, minder dan 30% van de detailhandelbedrijven gebruikt momenteel oplossingen voor netwerkinbraakdetectie of geavanceerde bescherming tegen bedreigingen.
Toch worden ‘het voorkomen van datalekken’ en ‘het detecteren van aanvallen die andere beveiligingsmaatregelen mogelijk hebben omzeild’ door de overgrote meerderheid van de detailhandelsbedrijven als topprioriteiten aangemerkt.
Dit suggereert dat het implementeren van een EDR-oplossing of -dienst, zoals F-Secure Rapid Detection & Response, een van de meest effectieve stappen is die een retailbedrijf kan nemen om zichzelf tegen cyberaanvallen te beschermen.
Categorieën