खुदरा विक्रेता साइबर खतरों में वृद्धि का प्रबंधन कितनी अच्छी तरह कर सकते हैं, यह महामारी के बाद की दुनिया में उनकी संभावनाओं के लिए महत्वपूर्ण हो सकता है
यह शायद ही आश्चर्य की बात है कि खुदरा क्षेत्र सबसे अधिक बार में से एक है विश्व स्तर पर लक्षित, अकेले अमेरिका में खुदरा बिक्री के साथ प्रक्षेपित 5.2 में 2022 ट्रिलियन डॉलर के शीर्ष पर पहुंचने के लिए। साइबर अपराधियों के लिए उपभोक्ताओं का पैसा और डेटा वर्षों से एक बड़ा संभावित पुरस्कार रहा है, और महामारी से प्रेरित डिजिटल निवेश और ऑनलाइन दुकानदारों में वृद्धि ने खुदरा को और अधिक आकर्षक संभावना बना दिया है। हैकर्स होंगे। दुर्भावनापूर्ण अंदरूनी सूत्रों, लापरवाह कर्मचारियों और नेटवर्क, एंडपॉइंट्स और पॉइंट ऑफ़ सेल (पीओएस) उपकरणों में गलत तरीके से कॉन्फ़िगर किए गए या कमजोर सॉफ़्टवेयर ने कॉर्पोरेट का दायरा बढ़ा दिया है। हमले की सतह पिछले कुछ वर्षों में।
इस संदर्भ में, साइबर सुरक्षा ग्राहकों के व्यक्तिगत और वित्तीय डेटा की सुरक्षा में महत्वपूर्ण भूमिका निभाती है, रैंसमवेयर को दूर रखना और ब्रांड प्रतिष्ठा को बनाए रखना। अंतत: यह अवसर को जब्त करने का एक साधन है - ग्राहक जुड़ाव को बढ़ाने और व्यवसाय बढ़ाने का अवसर।
जैसा कि ईएसईटी की एक नई रिपोर्ट बहुतायत से स्पष्ट करती है, महामारी का पहले से ही इस क्षेत्र पर व्यापक प्रभाव पड़ा है। खुदरा विक्रेता ऑनलाइन खतरों में वृद्धि को कितनी अच्छी तरह प्रबंधित कर सकते हैं, यह महामारी के बाद की दुनिया में उनकी दीर्घकालिक सफलता को परिभाषित कर सकता है।
दांव पर क्या है?
COVID-19 ने खुदरा संगठनों को बैक ऑफिस से पीओएस टर्मिनल में बदलने में मदद की है। इसने उन्हें नए साइबर-जोखिमों से भी अवगत कराया है। मास रिमोट वर्किंग मेड टूल्स जैसे माइक्रोसॉफ्ट एक्सचेंज और कसीया संचार और आईटी प्रबंधन के लिए अधिक लोकप्रिय। उनका विधिवत शोषण किया गया सामूहिक रूप से डेटा चोरी और जबरन वसूली के लिए।
अधिक व्यापक रूप से, खुदरा विक्रेताओं को उनके आईटी बुनियादी ढांचे में कई बिंदुओं पर उजागर किया जाता है, जिसमें ग्राहक डेटाबेस, पीओएस टर्मिनल, मार्केटिंग ऑटोमेशन, वेब सर्च ऑप्टिमाइजेशन टूल और भुगतान प्रसंस्करण प्लेटफॉर्म और सेवाएं शामिल हैं। हमने फ़िशिंग से लेकर रैंसमवेयर, मैन-इन-द-मिडल अटैक से लेकर सिम स्वैपिंग और स्पूफ्ड मोबाइल ऐप तक सब कुछ देखा है। वास्तव में, COVID-थीम वाले हमलों में अधिक व्यापक रूप से उपयोग की जाने वाली रणनीति, तकनीक और प्रक्रियाएं (TTP) खुदरा ग्राहकों और व्यवसायों के खिलाफ लक्षित अभियानों में मौजूद हैं।
पीओएस से ई-कॉमर्स तक
पीओएस परंपरागत रूप से डेटा-भूखे हमलावरों के लिए नंबर एक लक्ष्य था - विशेष रूप से लाखों खातों के हाई-प्रोफाइल उल्लंघनों में लक्ष्य और होम डिपो कई साल पहले। आज भी यहां एक खतरा है, जैसा कि हमने इसकी खोज के साथ देखा था मोडपाइप पीओएस मैलवेयर और कुछ खुदरा विक्रेताओं के पीओएस सिस्टम पर कसिया आपूर्ति श्रृंखला के हमलों का प्रभाव। हालाँकि, व्यापक रूप से अपनाया गया ईएमवी कार्ड - जिसे चुराए गए पीओएस डेटा का उपयोग करके आसानी से क्लोन नहीं किया जा सकता है - और ऐप्पल पे जैसे नए सिस्टम ऑनलाइन अधिक दुर्भावनापूर्ण गतिविधि को मजबूर करना शुरू कर रहे हैं।
उस सामान्य प्रवृत्ति को COVID-19 के आगमन के साथ एक बड़ा धक्का दिया गया था, जिसमें ऑनलाइन से कुल खुदरा बिक्री का प्रतिशत बढ़ रहा था 16 में 19-2020%. आज कुछ विशिष्ट ई-कॉमर्स खतरों का एक स्नैपशॉट यहां दिया गया है:
- मैजकार्ट-स्टाइल डिजिटल कार्ड स्किमिंग मैलवेयर ऑनलाइन खुदरा विक्रेताओं के लिए एक बड़ा जोखिम बन गया है। एक गिरोह से समझौता कुछ ही दिनों में 2,800 से अधिक डिजिटल स्टोर। एक और स्किमिंग अभियान के परिणामस्वरूप a ब्रिटिश एयरवेज पर £20 मिलियन का जुर्माना.
- अधिक परिष्कृत कार्ड-चोरी करने वाला मैलवेयर में छिपा हुआ भी पाया गया है CSS फाइलें, सोशल मीडिया शेयरिंग आइकन, तथा फ़ेविकॉन मेटाडेटा सुरक्षा उपकरणों को पछाड़ने के लिए।
- आईआईएसटीलर मैलवेयर, ईएसईटी शोधकर्ताओं द्वारा खोजा गया, ग्राहक क्रेडिट कार्ड चुराने का एक विशेष रूप से परिष्कृत तरीका है। यह वेब सर्वरों से समझौता करता है, उपयोगकर्ताओं द्वारा वस्तुओं की जांच करने और भुगतान करने की प्रतीक्षा करता है। उपयोगकर्ता के अनुभव को प्रभावित किए बिना संबंधित क्रेडिट कार्ड की जानकारी को सहेजने के बाद, मैलवेयर वैध वेबसाइट ट्रैफ़िक में छुपाते हुए डेटा को हमलावरों तक पहुंचा देता है। इस उदाहरण में, HTTPS पैडलॉक भी उपयोगकर्ताओं के लिए कोई सुरक्षा नहीं है, क्योंकि IIStealer उनसे जानकारी लॉग करने से पहले सर्वर साइड पर डिक्रिप्ट किए जाने के अनुरोधों की प्रतीक्षा करता है।
- ई-कॉमर्स प्लगइन मैलवेयर जैसे कि 2020 का अभियान जिसने वर्डप्रेस प्लगइन में सुरक्षा बग का फायदा उठाया WooCommerce वेबसाइट के डेटाबेस तक पहुंच प्रदान करने के लिए।
ई-कॉमर्स सर्वर की सुरक्षा
खुदरा विक्रेताओं के लिए, ये जोखिम उद्योग डेटा सुरक्षा मानक PCI DSS के साथ-साथ GDPR और कैलिफ़ोर्नियाई CCPA जैसे कठोर डेटा सुरक्षा नियमों की उपस्थिति से बढ़ जाते हैं। गैर-अनुपालन के परिणामस्वरूप बड़ा जुर्माना और प्रतिष्ठित क्षति हो सकती है, जिससे ग्राहक मंथन हो सकता है - एक ऐसे उद्योग में एक गंभीर जोखिम जहां वफादारी मुश्किल से जीती जाती है लेकिन आसानी से खो जाती है।
इन चुनौतियों को हल करने के लिए कोई चांदी की गोलियां नहीं हैं। और सर्वोत्तम अभ्यास साइबर सुरक्षा में अंतिम उपयोगकर्ता से लेकर अंतिम बिंदु तक कई परतें होनी चाहिए। लेकिन उच्च स्तर पर, खुदरा आईटी सुरक्षा दल अपने बैक-एंड ई-कॉमर्स सर्वर को बेहतर ढंग से सुरक्षित करके इनमें से कुछ जोखिमों को कम करने में मदद कर सकते हैं। निम्नलिखित को धयान मे रखते हुए:
- व्यवस्थापकों के लिए सशक्त, अद्वितीय पासवर्ड वाले समर्पित खातों का उपयोग करें
- अतिरिक्त सुरक्षा के लिए सभी प्रशासनिक और अधिक विशेषाधिकार प्राप्त खातों पर बहुकारक प्रमाणीकरण (एमएफए) की आवश्यकता है
- सर्वर के ऑपरेटिंग सिस्टम और एप्लिकेशन को नियमित रूप से अपडेट करें, और ध्यान से विचार करें कि शोषण के जोखिम को कम करने के लिए कौन सी सेवाएं इंटरनेट के संपर्क में हैं
- एन्क्रिप्शन के साथ ग्राहक डेटा को आराम से सुरक्षित रखें, जो इसे चोरों के लिए बेकार बना देगा
- वेब एप्लिकेशन फ़ायरवॉल के साथ-साथ अपने सर्वर पर एक प्रतिष्ठित सुरक्षा समाधान का उपयोग करने पर विचार करें
- खतरों को रोकने, पता लगाने और प्रतिक्रिया देने के लिए मजबूत, बहु-स्तरित समापन बिंदु सुरक्षा तैनात करें
रिटेलर आईटी वातावरण बैक-एंड लॉजिस्टिक्स और सीआरएम से लेकर फ्रंट-एंड ई-कॉमर्स स्टोर और ईंट-और-मोर्टार स्टोर में पीओएस टर्मिनल तक सब कुछ फैलाता है। बुरे लोगों के लिए यह एक बड़ा लक्ष्य है। जैसे-जैसे ऑनलाइन व्यवसाय बढ़ता जा रहा है और डिजिटल रूप से रूपांतरित होता जा रहा है, प्रतिस्पर्धात्मक लाभ की कुंजी को तेजी से परिभाषित किया जाएगा कि जोखिम-आधारित साइबर सुरक्षा रणनीतियाँ कितनी अच्छी तरह से खड़ी हैं।
