電子商取引決済セキュリティの現状

投稿 2年前 by ロブ・ビンズ

パンデミックが発生したとき、e コマースは急成長しました。

人々がロックダウンされ、することがほとんどないため、オンラインで購入することが唯一の逃げ道のように思えました。世界のeコマース市場は 26.7兆ドル. 顧客の習慣も変化していました。ある調査では、回答者の60％同意したコロナテクノロジーとの関係が変化しました。

しかし、急上昇したのは売上だけではありません。そして、eコマース業界のビジネスだけではありません。忙しいけど詐欺師も同様です。

2020年から2021年までのたったXNUMX年で、 e コマース詐欺が 18% 増加: 17.5 億ドルから 20 億ドルに。同様に急成長している eコマース詐欺防止市場-期待される 70億ドルに達すると予想されている 2025年以降この「仕事」の人気はますます高まっているのは明らかです。

結論は？ e コマース詐欺は、目をつぶるわけにはいきません。結局のところ、それはあなたの利益だけでなく、あなたのブランドイメージに対する脅威でもあります。 Web サイトで安全に支払いができると顧客が感じない場合、顧客はあなたを信頼しません。消費者の信頼を失うと、取り戻すのは非常に困難です。

以下では、最も一般的なeコマース詐欺から始めて、支払いセキュリティの現状を詳しく説明します。また、顧客、ウェブサイト、そして最終的にはあなたの結論。読み進めてください!

最も一般的な e コマース詐欺の種類

e コマースの世界が拡大し、進化するにつれて、その悪役も同様に進化します。ここ数年はそれだけではありません数詐欺の取引と盗まれたものの総価値商品–その上昇しました。それは type e コマース詐欺についても。

ファーミングやアカウント乗っ取りから「フレンドリー」な詐欺や「サイレント」な詐欺（言うまでもなくまっすぐ個人情報の盗難など、詐欺の手口はますます巧妙かつ多様化しています。いくつか見てみましょう。

ファーミング

ファーミングとは、詐欺師がウェブユーザーを（本人の知らないうちに、または本人の同意なしに）不正なウェブサイトにリダイレクトするタイプの電子商取引詐欺です。このウェブサイトは、顧客がアクセスしようとしていたウェブサイトのように見えますが、キーが違いは完全に偽物です。

オリジナルのウェブサイトを模倣するためだけに設計された偽のウェブサイトが存在する理由は1つあります。のみ–にユーザーを騙して個人情報やクレジットカード情報を入力させます。詐欺師はこれらの情報を使って個人の金銭を盗んだり、さらに悪いことに、彼らの身元。

チャージバック詐欺

「友好的な詐欺」とも呼ばれるチャージバック詐欺は、顧客がチャージバックシステムを悪用して不正に払い戻しを請求しようとすることです。

チャージバックは、クレジットカード（当時は新しい消費者はカード支払いに異議を申し立て、銀行が主張を認めた後に払い戻しを請求できる。

休暇でサントリーニ島に行く予定で、空港でカードが盗まれたとしましょう。ギリシャに着くまでに、泥棒があなたのカードで 700 ドルの不正購入を行っていることに気付きました。この状況では、(かなり正当に) チャージバックを要求できます。

問題？合法的でないとき。悪意を持って、または「無邪気に」 (顧客が明細書のトランザクションまたは定期的な請求サイクルを忘れている) かどうかにかかわらず、詐欺師はチャージバックプロセスを利用して、完全に有効な購入に対して返金を請求することができます。

最悪なのは、チャージバックの請求が銀行によって承認されると、銀行はあなたからお金（そして手間の割に手数料も！）を返還するよう要求することです。詐欺師にすでに失ったお金にチャージバックを加えると、あまりにも現実的脅威。

個人情報の盗難

個人情報窃盗は、このテーマを扱った人気映画（リプリーなど）のおかげで、最も周知電子商取引詐欺の種類。しかし、だからといって危険性が減るわけではありません。

ここでは、詐欺師が他人の身元を偽って想定しています。名前、個人情報、および書類を使用してクレジットカードを開き、大通りを叩きます。

被害者への影響以外に、オンラインビジネスにとってこれが悪いニュースである理由は何ですか? 結局のところ、あなたはまだ売っています…そうですか？

間違いです。先ほどのサントリーニ島の例を少し思い出してください。個人情報を盗まれた人は、自分の名前で行われた不正な購入の数々にすぐに気付くでしょう。あなたも推測されたそれを上げるチャージバック。銀行がこれを支持すると、彼らはお金を請求するだろう戻る–からあなた。

構成する全攻撃の71%、個人情報の盗難は、e コマース詐欺の最も一般的なタイプです。さらに、詐欺師も巧妙化しており、標的の個人のデバイス、IP アドレス、およびユーザーアカウントを使用して身元を偽装しているため、注意が必要な脅威となっています。

アカウントの乗っ取り

オンラインショッピングの途中で、すべてのお客様が「クレジットカード情報を保存する」というボックスにチェックを入れたことがあるでしょう。次回購入する際に1分ほど節約できるので、考えるまでもない、右？

そうです。そうでない限り、詐欺師は指がベタベタする顧客のログイン情報を入手します。そうなれば、窃盗犯は顧客の支払い情報に簡単にアクセスできます。つまり、配送先住所を変更して購入を開始するだけで済みます。

そして、彼らはいつですか？実際の顧客からのチャージバックを期待して、ビジネスをポケットから出してください。

マルウェアとランサムウェア

あなたのコンピュータはフリーズし続けますか？どこにでも広告が表示されますか? リンク先が間違っていたり、デスクトップやブラウザに新しいアイコンが表示されたりしていませんか?

もしそうなら、あなたのデバイスにマルウェア（mal = 悪い、ware = ソフトウェア…悪いソフトウェア）がうっかりインストールされた可能性があります。「マルウェア」という用語自体にも、さまざまな悪質なコードの種類が含まれており、それぞれが前よりも悪質になっています。これには、スパイウェア、トロイの木馬、ランサムウェアコードハッカーに「身代金」を支払ってシステムに戻るまで、システムからロックアウトされます。

e コマースストアの所有者にとっての問題は、自分のシステム上にあるか、顧客や管理者のシステム上にあるかに関係なく、マルウェアが機密データを盗む可能性があることです。これには、顧客の名前と住所の詳細、および支払い情報が含まれます。そのいずれかが侵害された場合、失うのは利益やデータだけではなく、信頼性にもなります。

さらに、マルウェア攻撃は、「サイレント」詐欺と呼ばれる新たな形態の e コマース詐欺への道を開きます。マルウェアを使用して多数のアカウントに不正にアクセスした後、詐欺師は数千、数百、数十、さらには XNUMX つを奪う代わりに、数セントだけを盗みます。大規模かつ定期的に行われるこれらの盗難は、合計で膨大な額の資金を盗む可能性があります。結局のところ、それほど「静か」ではありません！

顧客を保護する方法

電子商取引詐欺の主な種類を知ることは重要です。しかし、詐欺の悪影響からあなたと顧客を効果的に保護できることは、まったく別の問題です。

以下に、あなた、あなたの顧客ベース、そしてあなたのビジネスが、貪欲な詐欺師の手から逃れるためのヒントをまとめました。

顧客情報の保護

顧客を保護する最初の方法は? 最も重要な詳細を保護します。方法は次のとおりです。

ファイアウォール

着信 (および発信) トラフィックをフィルタリングおよび監視することにより、ファイアウォールは Web サイトのセキュリティを維持するのに役立ち、基本的に、ネットワークとインターネットの野生の西部との間の文字通りの壁として機能します。

このレンズを通して、ファイアウォールは、データシステムを保護するだけでなく、PCI コンプライアンスを維持するためにも不可欠です。 PCI DSS (Payments Card Industry Data Security Standards) は、クレジットカードやデビットカードを受け入れるすべての企業が従わなければならない一連の規制です。 PCI コンプライアンスは、機密データの処理を信頼できることを顧客、規制当局、およびより広い市場に示す一種の「承認の印」です。

オンラインで販売する場合 LightspeedによるEcwid、あなたのストアはすでに PCI DSS に準拠しています。 Ecwid by Lightspeed は、PCI DSS 認定のレベル 1 サービスプロバイダーです。これは、オンラインストアと支払いシステムの安全なデータ交換のための最高の国際標準です。

有効にする Two-Factor 認証（2FA）

2FA が実装されていることを確認してください。ビジネスのバックエンドプラットフォームやプロセスにアクセスしようとする人は、XNUMX つのデバイスからログインする必要があります。たとえば、あなたまたはチームメンバーの XNUMX 人がデスクトップコンピューターからログインしている場合、アクセスを取得するには、電話などの別のデバイスでも試行を確認する必要があります。

その他のバリエーションは次のとおりです。

XNUMXステップバリエーション（2SV）：一度ログインするには、電子メール、メッセージ、または電話でコードまたはパスワードを入力する必要があります。
多要素認証: 最高レベルのセキュリティを実現するために複数の認証形式を組み合わせたもの。

Ecwid by Lightspeed を使用してオンラインで販売している事業主は、Google または Facebook アカウントを使用して Ecwid ストアにサインインできます。有効にする二要素認証これにより、Ecwid のログイン情報も保護されます。

他のチームメンバー (フルフィルメントスタッフやデザイナーなど) を Ecwid ストアに追加する場合は、Ecwid ログイン情報を共有しないでください。その代わり、個別のスタッフアカウントを作成するストア内のユーザーごとに。スタッフアカウントには個別のログインがあり、プロフィールページや請求ページにはアクセスできません。

安全な支払いゲートウェイを使用する

顧客に可能な限り最高レベルの支払いの安心を提供したい場合は、安全な支払いゲートウェイが必須です.

決済ゲートウェイは、小売業者がクレジットカードやデビットカードによる購入を受け付けるために使用する技術です。対面そしてオンラインでも利用できます。ただし、特に手数料や支払い時間に関しては、すべての決済ゲートウェイが同じというわけではありません。そのため、ビジネスの独自のニーズに合った適切なゲートウェイを選択するようにしてください。

Ecwid by Lightspeed は、数十の安全な支払いゲートウェイ. ビジネスと顧客の両方にとって便利な支払いシステムを選択できます。

もっと： eコマースストアの支払いシステムを選択する方法

アドバイスや情報を顧客と共有する

顧客を保護する最も簡単な方法の XNUMX つですか? 彼らに知らせる。

電子メール、テキスト、または Web サイトの専用セクションを介して、存在する詐欺と、それから身を守る方法を顧客に知らせてください。（そして、あなたがそれから彼らを守るのを手伝ってください！）

明確にレイアウトしてください:

あなたのビジネスが顧客にどのように挨拶するか (顧客が矛盾を見つけられるようにするため)
あなたのビジネスがどのように顧客に挨拶せず、何を要求しないか (つまり、ログインの詳細や、ログインするためのリンクをクリックすること)
顧客がアカウントの詳細を安全に保つための明確で実用的なヒント (企業が顧客アカウントを保持している場合)
何かが正しくないように見える場合、またはお客様から質問がある場合の連絡方法
導入しているセキュリティチェック (ある場合)
お客様が安全に詳細を更新する方法
詐欺メール (つまり、あなたのビジネスを装った詐欺師) を受け取った場合の対処方法と、詐欺的な通信を報告する方法

言うまでもなく、この種のコミュニケーションは不可欠です。信頼を高め、優れたユーザーエクスペリエンスを提供するだけでなく、顧客が e コマース詐欺の餌食になるリスクを軽減するのにも役立ちます。

また、この情報にできるだけアクセスできるようにすることも忘れないでください。顧客はメールを読んだり、ウェブサイトをよく読んだりしないかもしれません。したがって、このアドバイスを宣伝できるチャネルが多ければ多いほど良いのです。

サイトを最新の状態に保ち、定期的なセキュリティ監査を実施する

先ほど、私たちはより広いインターネットを一種の「ワイルドウェスト」、つまり盗賊と無法者がたくさんいる辺境の州に例えました。

さて、それは少し厳しい面があるかもしれませんが、そこにはたくさんの脅威があり、フィッシャー、ハッカー、詐欺師があなたのビジネスを狂わせることができる無数の方法があります:

DoS (サービス拒否) 攻撃: ハッカーは、ユーザーがサイトのサービスにアクセスするのを阻止しようとします。
DDoS (分散型サービス拒否) 攻撃: 加害者は直接攻撃するのではなく、サイトを「ゾンビ」として使用して、別のサイトに危害を加えます。 DDoS 攻撃では、追跡不可能な IP アドレスからのリクエストがサーバーに殺到し、サイトがクラッシュして、トラフィックと売上が停止します。
ブルートフォース攻撃: ここでは、ハッカーが何千もの異なるパスワードの組み合わせを使用して Web サイトにアクセスし、アクセスしようとします。
中間者 (MITM) 攻撃: 顧客が脆弱なネットワーク (公共の WiFi など) 経由でサイトにアクセスしている場合、ハッカーはトランザクションを「傍受」し、それを使用して機密データを抽出できます。
SQLインジェクションとクロスサイトスクリプト: これらの攻撃はサイトの脆弱性を悪用します。SQLインジェクションでは、ハッカーはフォームをターゲットにしてサイトのバックエンドにアクセスし、情報を破壊して盗みます。クロスサイトスクリプトを使用すると、ハッカーは悪意のあるコードスニペットを挿入し、訪問者の情報を盗みます。

これらすべての攻撃モードが存在するという事実は? それは悪いニュースです。ただし、幸いなことに、これらのハッカーは日和見主義者です。彼らは、あなたのサイトのセキュリティと不正防止の設定の脆弱性を探しています。つまり、サイトを常に最新の状態に保ち、脆弱性を定期的に特定して理解し、プラグインすることで、ハッカーが Web サイトやビジネスを標的にするリスクを減らすことができます。

これを行うには、定期的なセキュリティ監査を実施してください。サイトのインフラストラクチャの抜け穴を評価し、ハッカーが悪用できるバックエンドとコード (拡張機能とテーマを含む) を調査します。確認：

あなたのパスワードは強力です
お使いのソフトウェアは最新です
あなたのサイトの SSL (Secure Sockets Layer) 証明書は最新です

SSL 証明書について言えば、Ecwid by Lightspeed を使用して e コマース Web サイトを作成した場合は、デフォルトで SSL 証明書が既に存在します。

Ecwid ストアを既存の Web サイトに追加した場合は、ストア用の無料の SSL 証明書が既にあります。ただし、ウェブサイトの残りの部分は別の問題です。機密情報を保護するには、SSL 証明書を購入する必要があります。その方法については、 Ecwidヘルプセンター.

Web サイトを保護するもう XNUMX つの方法は、オンラインストアのスタッフアカウントのリストを修正し、一緒に仕事をしていないスタッフメンバーを削除することです。このようにして、ハッカーがこれらの「バックチャネル」を利用してサイトにアクセスするのを防ぎます.

Web サイトを保護する重要な時期

では、どのような詐欺に注意すべきか、そしてウェブサイトを詐欺から守る方法について説明しましたので、いつ～でハッカーが最も活発になる年間を通じての重要な時期。

国民の休日

「連邦捜査局（FBI）とサイバーセキュリティ・インフラセキュリティ庁（CISA）は、休日や週末に発生する非常に影響力の大きいランサムウェア攻撃が増加していることを確認しています。週末– オフィスは通常閉じられた米国では、最近では2021年のXNUMX月XNUMX日の独立記念日にも同様の例が見られました。」 - 休日と週末のランサムウェア認識、2021。

クリスマス、イースター、戦没者追悼記念日、独立記念日日中我々一般人は家族と時間を過ごしたり、くつろいだりしているが、ハッカーたちはリラックスどころではない。

顧客側の注意力の低下やエンドユーザー企業側のスタッフやリソースが少ないということは、ハッキングが発生しやすい状況であることを意味します。

このような背景に対して、あなたのビジネスが巻き込まれないようにしてください。次の休日まで待ってからサイトのセキュリティを設定して成功させたり、長い母の日の週末のわずか数日前にサイトを監査するために慌てたりしないでください. 中国の古いことわざを覚えていますか？

木を植えるのに最適な時期は 20 年前でした。 XNUMX番目に良い時間は今日です。

週末

ハッカーは、企業が最も脆弱で閉鎖されているときに、その企業を標的にする傾向があります。

そのため、週末、特に祝日が含まれる長い週末は、ハッカーにとって絶好のチャンスです。とはいえ、それは残りの週に気を緩めるべきだという意味ではありません。ハッカーは、平均して、驚異的な 26,000日あたりXNUMX回となるので、警戒が必要です。

まとめ

e コマースの機会が進化するにつれて、その脅威も進化します。

非常に多くの恐ろしい統計があるため、指を耳に入れ、目をつぶって、「無知は至福」のアプローチを取りたいと思うのは簡単です.

しかし、この考え方では、こうした脅威がさらにエキサイティングな機会をもたらすことを考慮していません。

支払いプロセスをこれまで以上に安全、簡単、便利、一貫性のあるものにするため。ブランドを構築し、顧客ロイヤルティを生み出し、オーディエンスのプライバシーを尊重し、データの機密性を尊重していることを示すことで、オーディエンスとの信頼を高めます。そして、その過程で、e コマースビジネスの堅実で持続可能な成功の基盤を築きます。

著者について

Rob Binns は、オーストラリアのメルボルンを拠点とするフリーランスのコピーライター兼編集者です。eコマースやデジタルセキュリティに関するコンテンツを執筆していないときは、サッカーをしたり (または観戦したり)、本を読みながら冷たいビールを飲みながら日光浴をしたりしています。