BlackFriday 2024 zbliża się wielkimi krokami!  29 listopada to data wyznaczona na ten dzień, w najczystszej tradycji północnoamerykańskiej, co będzie miało swoje echo w tzw. Cyberponiedziałku, bardziej skupionym na zakupach online.Według badania OCU, aż 76% użytkowników zainteresowanych będzie zakupem produktów i usług w słynny „Czarny Piątek”. Średni wydatek na kupującego wyniesie 200-300 euro. Szacuje się, że całkowity wolumen zakupów w tym dniu na całym świecie przekroczy kwotę 278 miliardów dolarów, co daje nam wyobrażenie o ekonomicznym i społecznym znaczeniu tego zjawiska.

Według firmy konsultingowej Rocket Digital, hiszpańscy sprzedawcy detaliczni liczą na osiągnięcie do 40% swoich rocznych obrotów w Black Friday 2024, a odsetek ten wzrasta do 60% w przypadku marek koncentrujących się wyłącznie na sprzedaży online. Jest to niewątpliwie doskonała okazja biznesowa dla wielu firm i potencjalne źródło oszczędności dla konsumentów w przededniu tak reprezentacyjnego okresu jak Święta Bożego Narodzenia.

68% hiszpańskich detalistów internetowych dokona w Czarny Piątek dodatkowych inwestycji w technologię, zwłaszcza w automatyzację (18%) i analitykę danych (18%), uznawaną za kluczowe dla ułatwienia skutecznego zarządzania dużą liczbą zamówień, prognozowania i dostosowywania strategii w czasie rzeczywistym. 

Gwałtowny wzrost liczby transakcji online w tak krótkim czasie zwiększył ryzyko potencjalnych cyberataków i oszustw, a Czarny Piątek może faktycznie okazać się bardzo czarnym piątkiem dla wielu konsumentów i firm, jeśli nie podejmą oni odpowiednich działań z punktu widzenia bezpieczeństwa informacji i zarządzania ciągłością działania.

Nie dalej jak w listopadzie 2023 r. w Hiszpanii odnotowano aż 45 000 cyberataków, które przyniosły straty ekonomiczne szacowane na ponad 20 mln euro. Jak dotąd, w listopadzie 2024 r. odnotowano 138% wzrost liczby domen zarejestrowanych z terminem Blackfriday. Obecnie przekłada się to na ponad 6 400 zarejestrowanymi domen, co może okazać się niepokojące, jeśli wśród nich znajdują się fałszywe witryny o złośliwych zamiarach...

Jakie istnieją jednak rodzaje zagrożeń, na które narażeni są konsumenci w te specyficzne dni? Nie wchodząc w szczegóły, poniżej wymieniamy niektóre z nich.

• Phishing: Cyberprzestępcy wysyłają pozornie legalne wiadomości e-mail, które przekierowują konsumentów na fałszywe strony internetowe w celu kradzieży ich danych osobowych. W dzisiejszych czasach bardzo często otrzymujemy wiadomości e-mail z rzekomymi ofertami handlowymi i atrakcyjnymi rabatami, które zachęcają nas do „kliknięcia” złośliwych linków i/lub pobrania potencjalnie niebezpiecznych treści.

• Typosquatting: Tworzone są fałszywe strony lub aplikacje, które naśladują prawdziwe, wykorzystując drobne literówki w nazwach adresów URL lub aplikacji, aby oszukać użytkownika. W obliczu „wiru” publikowanych w tym okresie ofert handlowych i powszechnego „niepokoju” związanego z chęcią zdobycia pożądanego artykułu, stosunkowo łatwo jest wpaść na „sklonowaną witrynę", która doskonale naśladuje stronę internetową naszej ulubionej marki.

• Malvertising: Za pośrednictwem reklam online atakujący rozpowszechniają złośliwe oprogramowanie lub przekierowują do fałszywych witryn. Ponownie, łatwość „zalewania” naszego wyszukiwania wszelkiego rodzaju reklamami może doprowadzić nas do kliknięcia problematycznych linków.

• Smishing i Vishing: Te warianty phishingu działają odpowiednio poprzez wysyłanie fałszywych wiadomości tekstowych i wykonywanie fałszywych połączeń telefonicznych. Atakujący podszywają się pod banki lub zaufanych usługodawców w celu uzyskania poufnych informacji. Często zdarza się również, że przestępcy próbują podszyć się pod operatora logistycznego odpowiedzialnego za doręczenie nam produktu, i próbują uzyskać nasze informacje bankowe i/lub dane osobowe. Wykorzystanie sztucznej inteligencji przez atakujących może sprawić, że rozmowy telefoniczne będą wysoce wiarygodne, a może nawet z powodzeniem naśladować głos znajomych, aby wprowadzić rozmówcę w niebezpieczny dla niego stan zaufania.

• SIM swapping, gdzie atakujący duplikują kartę SIM w celu przechwycenia wiadomości uwierzytelniania dwuetapowego i uzyskania dostępu do kont bankowych lub aplikacji. Poprzez złośliwe aplikacje i reklamy na naszym smartfonie, cyberprzestępcom udaje się pobrać na nasze urządzenie programy, które pozwalają im skutecznie przejąć nad nim kontrolę.

• Fałszywe aplikacje i oszustwa promocyjne. W tych dniach cyberprzestępcy często uruchamiają aplikacje, które wydają się pochodzić z legalnych sklepów e-commerce, ale zawierają złośliwe oprogramowanie. Powszechne są również oszustwa polegające na atrakcyjnych promocjach, takich jak fałszywe kupony rabatowe i oferty typu „flash”, mające na celu zwabienie kupujących pod wpływem impulsu. Wykorzystanie technik inżynierii społecznej, wraz z poczuciem wyłączności dokonywanego zakupu i krótkim czasem trwania promocji sprawiają, że kupujący przestaje mieć się na baczności i nie przywiązuje aż tak dużej uwagi do weryfikacji strony, na której wchodzi w interakcję... a po zakupie zamówienie nigdy nie zostaje odebrane.

Co w tym kontekście możemy zrobić, aby się chronić? Oto kilka zaleceń, które mogą poprawić nasze doświadczenia zakupowe, aby były one bezpieczniejsze i bardziej niezawodne:

• Może się to wydawać oczywiste, ale należy uważać na oferty, które wydają się zbyt korzystne: należy sprawdzać autentyczność strony internetowej i starać się kupować tylko na renomowanych witrynach oraz unikać kompulsywnego robienia zakupów na stronach o wątpliwej proweniencji. Pierwszym krokiem jest najechanie kursorem na adres URL i sprawdzenie, czy łączymy się z witryną z ważnym certyfikatem SSL. Należy przyjrzeć się, czy adres url zaczyna się od "https://" lub "shttp://". Litera „S” oznacza, że adres internetowy został zaszyfrowany i zabezpieczony certyfikatem SSL. System ten nie jest jednak całkowicie niezawodny. Wykryto znaczny wzrost liczby złośliwych witryn korzystających z certyfikatów SSL. Zaleca się sprawdzenie polityki prywatności witryny, użycie narzędzia do sprawdzania bezpieczeństwa witryny, takiego jak Google Safe Browsing, lub przeprowadzenie wyszukiwania WHOIS, aby zweryfikować, kto jest właścicielem witryny. Należy również zwrócić uwagę na końcówki domen, z którymi się łączymy: być może twoja ulubiona witryna kończy się rozszerzeniem .es, a ty łączysz się z domeną o tej samej nazwie, ale kończącą się na .org, mającą na celu przechwycenie twoich danych osobowych. Wszystko dla twojego bezpieczeństwa!

• Uważaj na wiadomości phishingowe podszywające się pod zaufanych sprzedawców detalicznych. Upewnij się, że w adresie nadawcy nie ma nic nietypowego, że domena jest poprawna, że temat wiadomości e-mail jest faktycznie związany z zakupem, że nie jest to pozorny „błąd związany z przypadkowym przekierowaniem". Należy pamiętać, że zbieranie danych osobowych i bankowych za pośrednictwem wiadomości e-mail lub rozmowy telefonicznej nie wchodzi w zakres standardowego funkcjonowania żadnej instytucji. Zachowaj ostrożność, jeśli zauważysz tego typu próby pozyskania informacji!

• Używaj konkretnej karty do dokonywania zakupów online z gwarancją bezpiecznej transakcji dzięki modelom uwierzytelniania dwuskładnikowego i ogranicz swoją dzienną zdolność zakupową. Wyrób sobie nawyk sprawdzania opłat zarejestrowanych na tej karcie w tych i kolejnych dniach, aby wykryć wszelkie nieuzasadnione kwoty.

• Unikaj korzystania z publicznych sieci Wi-Fi podczas dokonywania zakupów. Sieci te są powszechnie dostępne dla użytkownika w dużych centrach handlowych i w licznych placówkach. Nie możemy jednak zagwarantować stuprocentowego bezpieczeństwa tych połączeń; jeśli koniecznie musisz je wykonać, korzystaj z przeglądarek z włączona funkcją VPN, aby chronić swoje informacje.

• Aktualizuj oprogramowanie na wszystkich urządzeniach, na których dokonujesz zakupu. Używaj ochrony antywirusowej we wszystkich z nich i ogranicz w przeglądarkach opcje śledzenia przeglądania przez osoby trzecie.

• Uważaj na fałszywe aplikacje: pobieraj tylko aplikacje pochodzące ze sklepu APP Store firmy Apple lub sklepu Google Play (Android).

• Używaj silnych, unikalnych haseł z uwierzytelnianiem dwuskładnikowym. Nie ma nic gorszego niż „tajemnica poliszynela”.

• Uważaj na oszustwa na portalach społecznościowych. Często są one punktem wyjścia do przekierowania użytkownika na złośliwą stronę, która nakłania go do przeprowadzenia niechcianej transakcji.

• Przed kliknięciem kodu QR upewnij się, że jego istnienie ma sens i że pasuje on do wszystkiego, co znajduje się w jego otoczeniu.  Ta rada dotyczy zarówno stron internetowych, jak i placówek fizycznych. Upewnij się, że nie został on tam umieszczony przez osoby trzecie.

• Uważaj na „fałszywych doradców" , którzy mogą podejść do Ciebie w centrum handlowym lub sklepie, aby zachęcić Cię do uczestnictwa w programach lojalnościowych, skorzystania z rabatów last minute itp.: zwróć uwagę na ich identyfikatory oraz na to, czy faktycznie przynależą do danej placówki.

• Zachowaj ostrożność podczas korzystania z bankomatów w zatłoczonych centrach. Upewnij się, że nie zauważyłe(a)ś niczego nietypowego, żadnych dodatkowych lub usuniętych urządzeń ani żadnych śladów manipulacji w dowolnym punkcie.

• Jeśli nie złożyłe(a)ś zamówienia, po prostu nie musisz go otrzymać. Niektórzy przestępcy symulują dostawę zamówienia do Twojego miejsca zamieszkania pod pozorem dostarczenia przesyłki od znajomego w celu uzyskania Twoich danych osobowych lub dopuszczenia się oszustwa.

• ...i przede wszystkim ZACHOWAJ ROZSĄDEK. Nie pozwól, aby Twoja czujność opadła: nie ma czegoś takiego jak niesamowita oferta, której nikt inny nie widział, nie istnieją darmowe prezenty, a także nie zabraknie na stanie towarów, jeśli poświęcisz kilka dodatkowych minut na weryfikację wszystkich informacji, które zapewniają Ci bezpieczeństwo.

Z czym natomiast mierzą się obecnie sami sprzedawcy?

Jak wspomnieliśmy na początku niniejszego artykułu, BlackFriday to niesamowita okazja dla sprzedawców detalicznych do zwiększenia swoich obrotów pod koniec roku. Stanowi to jednak dla nich poważne wyzwanie w zakresie bezpieczeństwa informacji i ciągłości działania. Kluczowe aspekty, na które muszą oni zwrócić uwagę, to:

• Dostępność i zdolność przetwarzania. Wykładniczy wzrost liczby transakcji spowoduje znaczne zużycie mocy obliczeniowej i pamięci masowej systemów informatycznych. Menedżerowie IT powinni zwracać uwagę na planowanie pojemności swojej architektury i dysponować środkami zapasowymi, takimi jak rozwiązania chmurowe i infrastruktura, aby zwiększyć wydajność systemu i - w razie potrzeby - uruchomić mechanizmy awaryjne i wzrostowe.

• Wzmocnienie zdolności wykrywania cyberataków. Ataki typu odmowa usługi, ransomware, próby eksfiltracji poufnych informacji o klientach i transakcjach ulegną znacznemu wzrostowi. Możliwości zapewniane przez SOC/CERT, wykorzystanie rozszerzonych możliwości wykrywania zagrożeń i reagowania na nie XDR i innych rozwiązań z zakresu bezpieczeństwa są kluczowe dla przetrwania firmy. Ponadto, budowanie potencjału ludzkiego związanego z usługami bezpieczeństwa jest wysoce zalecane w przypadku zajścia destrukcyjnego incydentu cybernetycznego.

• Zapewnienie i weryfikacja cyklu życia oprogramowania. Należy zagwarantować w rzetelny sposób, że zmiany dokonane w systemach produkcyjnych nie wprowadzają luk w zabezpieczeniach, błędów konfiguracji, złośliwych komponentów stron trzecich i niepotrzebnie włączonych APIS lub portów połączeniowych. Szczególną uwagę należy zwrócić na integrację z oprogramowaniem innych firm i niezbędnymi bramkami płatniczymi, a także na interfejsy z operatorami logistycznymi, którzy są upoważnieni do dystrybucji naszych produktów. Jest to nie lada wyzwanie.

• Wykupienie cyberubezpieczenia może być zalecaną praktyką w zakresie radzenia sobie z ewentualnymi zobowiązaniami wynikającymi z cyberataku.

• Aktualizacja i wstępne szkolenie w ramach planu ciągłości działania i planu zarządzania kryzysowego. Jeśli coś pójdzie nie tak, firma musi dysponować wystarczającymi możliwościami technicznymi i zasobami ludzkimi, aby móc przywrócić swoją działalność w jak najkrótszym czasie, minimalizując jednocześnie straty ekonomiczne i reputacyjne. 

Życzymy Ci miłego BlackFriday i udanych łowów!!!!

Autor: Ángel García-Madrid Velázquez