Hacking og e-handel: Sådan beskytter du din webshop mod svindlere

Online svindel er et kendt problem.

Ikke kun for online virksomheder, der hver eneste dag mister omsætning til ondsindede svindlere, men også for forbrugere, som risikerer at få stjålet deres kortoplysninger, personnumre og andre personfølsomme data.

I dag må og skal sikkerhed være en topprioritet hos online forretninger.

Som webshopejer har du sikkert hørt om sikkerhedsstandarden PCI DSS (Payment Card Industry Data Security Standard), og hvor vigtigt det er, at din virksomhed overholder reglerne i standarden.

Selvom PCI DSS sikrer beskyttelsen af kortdata, er der stadig meget mere, du kan gøre for at beskytte din webshop mod hackere og svindlere.

Vi har samlet en liste med tips til at beskytte din forretning og dine kunder – hent en kop kaffe, og sæt i gang.

1. Overhold PCI-reglerne

Det burde være overflødigt at nævne. Der er en grund til, at PCI DSS findes: For at beskytte virksomheder og forbrugere mod kortsvindel. PCI-reglerne er ufravigelige, når du håndterer kortoplysninger, og du er forpligtet til at overholde dem. 

Hvis du er i tvivl om noget angående PCI, er du meget velkommen til at kontakte os.

2. Gem ikke følsomme data

For nu at skære det ud i pap: Kortoplysninger, udløbsdato, osv. er fortrolige oplysninger, og du må ikke gemme denne information. Det er det, du betaler din betalingsudbyder for at gøre.

Først og fremmest er det imod PCI-reglerne at samle og gemme betalingskortoplysninger. Og lad mig bare gøre det helt klart: Overtræder du deres regler, kan det blive ekstremt dyrt for din forretning, da de sender nogle heftige byder din vej, hvis du træder ved siden af. Lad være med det.

Derudover: Hvis du ikke har noget, der er værd at stjæle, er du mindre attraktiv for hackere. Følsomme data og personoplysninger på dine kunder kan være en uimodståelig fristelse for hackere. Gør dig selv og dine kunder en tjeneste og lad være med at løbe den risiko.
 

3. Sørg for at dit e-handelssystem er opdateret

PrestaShop, Magento, WordPress – uanset hvilket e-handelssystem du vælger, så sørg for at holde det opdateret. Opdatér dit system inden for 24 timer, når der udgives nye versioner. Forældet software er én af de mest almindelige sårbarheder, som hackere kan udnytte til at få adgang til dit netværk. Lad være med at gøre det let for dem.

4. Bruge stærke kodeord

Hvis dine kunder kan lave en konto på dit website (og det er der en del fordele ved, hvis du gør det rigtigt), skal du opstille nogle krav til deres adgangskoder.

Husk, at adgangskoder skal indeholde:

  • Mindst 8 karakterer

  • Både bogstaver og tal

  • Både store og små bogstaver

  • Symboler/tegn.

Her er et tip til at få alle ovenstående kriterier med:

Lav kodesætninger i stedet for kodeord.

Det er sværere at bryde en sætning som ’Katten sad på b0rdet og sm1lede!’ end et enkelt ord.

Jeg er også nødt til at kommentere på et råd, jeg ofte hører i forbindelse med kodeord: Nemlig at man skal skifte adgangskoder ofte.

Det er nemlig sådan, at videnskaben ikke heeelt er enig her. Faktisk er der undersøgelser, som tyder på, at det ikke forbedrer sikkerheden at skifte kode ofte. 

I stedet for at kræve, at dine brugere ændrer kode ofte, skal du i stedet kræve stærke kodesætninger.

5. Hold øje med mistænkelig adfærd

Du kan gøre det her på mange forskellige måder. Hvordan du vælger at gøre, er helt op til dig.

De fleste ePSP’er tilbyder et sikkerhedsprodukt, som kan hjælpe dig med dette. Det koster selvfølgelig noget, men spørgsmålet er, om sikkerhed er stedet, du vil spare?

Du kan også kigge alle dine ordrer igennem manuelt for at holde øje med mistænkelig adfærd. Har du en ny forretning, kan det meget vel være løsningen, du vælger.

Hvis du gør, så hold øje med følgende:

  • Matcher leveringsadressen og IP-adressen?

  • Matcher leveringsadressen og faktureringsadressen?

  • Stemmer telefonnummer og leveringsadresse overens?

  • Er kortet udstedt i samme land som leveringsadressen?

  • Er der flere ordrer fra samme IP-adresse?

  • Er der flere ordrer fra samme IP-adresse med forskellige leveringsadresser?

  • Er ordrebeløbet usædvanlig højt?

  • Er produktsammensætningen usædvanlig?

  • Er ordren gennemført om natten – og er det usædvanligt for din webshop?

Her er en god tommelfingerregel: Er der noget som helst usædvanligt ved ordren, skal dine alarmklokker bimle.

Hvis du støder på noget usædvanligt, så ring til kunden og bed kunden bekræfte sin identitet, og at købet er foretaget med kundens eget kort. Det er vigtigt, at du ringer til kunden og ikke omvendt – opkaldsnummeret kan sløres, så svindlere kan give sig ud for at være en anden. Er du stadig ikke tryg, så bed kunden om at lave en bankoverførsel. Det vil en svindler aldrig gå med til, da pengene i så fald er tabt.

Når du har kigget grundigt på listen ovenfor, så spørg dig selv, om du vil bruge din tid på at foretage alle disse tjek manuelt, eller du kunne spare noget tid ved at automatisere dele af processen.

Det er helt op til dig. Måske vil du gerne selv gå igennem alle ordrer, eller måske vil du hellere bruge din tid på noget andet.

En venlig påmindelse: 

Uanset om du bruger et sikkerhedsprodukt til at tjekke dine ordrer, må du ikke glemme din sunde fornuft, når du hæver dine penge og sender varen. Hvis noget lyder for godt til at være sandt, er det det oftest også.

6. Brug kryptering

Når du sender fortrolig data mellem dit website og kundens browser, skal kommunikationen være krypteret. Ikke kun for at beskytte din forretning og dine kunder, men også for at vise dine kunder, at det er sikkert at handle hos dig.

Brug TLS (Transport Layer Security) version 1.1 eller højere for at beskytte dine kunders data. Hvis du ikke bruger kryptering, eller hvis du bruger SSL (Secure Sockets Layer) eller tidlig TLS, bør du skifte til en moderne krypteringsprotokol. 

Sørg for at få det gjort. Nu. Du kan finde TLS-certifikater mange steder, og det er en billig investering i dine kunders tryghed.

Og hvorfor skulle IKKE lade dine kunder handle sikkert hos dig?

Hvis du vil have en vurdering af din hjemmeside fra et sikkerhedsperspektiv, så prøv dette værktøj fra Qualy’s: www.ssllabs.com/ssltest

7. Brug flere sikkerhedslag

Det er helt essentielt at have en firewall for at forhindre folk med onde hensigter i at få adgang til dit netværk. Men du skal ikke stoppe der.

Tilføj flere sikkerhedslag på kontaktformularer, loginsider og søgninger for at undgå SQL injection og cross-site scripting (fancy ord for slemme ting).

Mangler du ideer?

Her er nogle bud:

  • Begræns antallet af loginforsøg

  • Aktivér to-trins-verifikation

  • Skjul/omdøb din loginside

  • Stil sikkerhedsspørgsmål

  • Brug CAPTCHA 

Din udvikler kan hjælpe dig med at implementere ovenstående – og har sikkert flere tricks i ærmet.

8. Uddan dine ansatte

Det er menneskeligt at fejle. Derfor er det vigtigt, at du gør alt, hvad du kan, for at minimere risikoen for menneskelige fejl.

Tilbyd dine ansatte sikkerhedstræning. De bør vide, at de aldrig må afsløre kundeoplysninger i e-mails, chatbeskeder eller sms’er, da ingen af de kanaler er sikre. 

Det kan være en fordel at have nedskrevet sikkerhedspolitikker og –procedurer for at sikre, at dine ansatte altid er opdateret om god skik, når det gælder online sikkerhed og (især) lovgivningen angående kundedata.

9. Monitorér og scan din hjemmeside

Du bør altid overvåge din hjemmeside. Altid. Der findes masser af værktøjer, som kan hjælpe dig med at holde øje med malware (skadelig software), sikkerhedshuller, osv. og give dig en besked, så du kan handle på det med det samme. 

En anden god ide er med jævne mellemrum at scanne hele dit website for uønsket software. Og hvis du virkelig vil sætte dit website på prøve, så kan du overveje at hyre en konsulentvirksomhed til at lave penetrationstests af dit netværk.

10. Tag backup ofte

Vi ved alle sammen, at det er vigtigt, men får vi det gjort? Gør du? Hvis du er én af de mange forretningsejere, som enten negligerer dette eller satser på, at dit webhotel tager backup af alt, vil jeg råde dig til at tage et langt kig i spejlet. Hvad gør du, hvis din server bryder sammen, dit harddrive står af, eller du bliver inficeret af en virus – så du mister alle dine data? 

Hvis du satser på, at dit webhotel klarer ærterne, så gør dig i det mindste den ulejlighed at sikre dig, de rent faktisk gør det. Bare for at være på den sikre side.

11. Hold dig opdateret

Det burde være unødvendigt at sige, men lad os bare tage den: Din virksomhed er dit ansvar.

Du er ansvarlig for at holde dig opdateret om sikkerhedsrisici, som har med din webshop at gøre. Der er ingen andre, som gør det for dig.

Her er et par idéer til, hvordan du kan holde dig opdateret:

  • Abonnér på (og LÆS) nyheder fra din CMS-udbyder, webhotel, e-handelsplatform, osv.

  • Hold øje med sikkerhedsmeddelelser fra kortnetværk

  • Tilmeld dig diverse e-handelsfora og -netværk.

Jeg håber, ovenstående gav dig nogle ideer til, hvad du kan gøre for at beskytte dit website mod hackere og andre ondsindede typer.

Alle ved, at IT-sikkerhed er vigtigt, men ofte bliver det glemt i en travl hverdag. Sørg for at få styr på det.

Har du geniale ideer eller forslag, som jeg har overset?

Skriv endelig til os på mail, via Facebook eller Twitter.

Heine Aaen Hansen

Markedsføring og digitalt indhold ved Bambora. Bogorm, sprognørd og håbløs far.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.