Hacking og netthandel: Slik beskytter du nettbutikken din mot svindlere

Kortsvindel er et kjent problem.

Ikke bare for nettbutikker, som hver eneste dag mister omsetning til onde svindlere, men også for forbrukere som risikerer å få stjålet sine kortopplysninger, personnumre og andre sensitive data.

I dag må - og skal - sikkerhet være en topprioritet hos nettbaserte virksomheter.

Som nettbutikkeier har du kanskje hørt om sikkerhetsstandarden PCI DSS (Payment Card Industry Data Security Standard), og hvor viktig det er at virksomheten din overholder sikkerhetskravene i standarden.

Selv om PCI DSS er super for beskyttelsen av kortdata, er det fortsatt mye mer du kan gjøre for å beskytte nettbutikken din mot hackere og svindlere.

Vi har samlet en liste med ting du kan (og bør) gjøre for å beskytte både forretningen og kundene dine. Så hent deg en kopp kaffe og sett i gang.

 

1. Overhold PCI-reglene

Dette sier seg selv. Det er tross alt en grunn til at PCI DSS finnes: Nemlig for å beskytte virksomheter og forbrukere mot kortsvindel. PCI-reglene er ufravikelige, og så  lenge du håndterer kortopplysninger, er du forpliktet til å overholde dem.

Har du noen spørsmål rundt PCI, må du veldig gjerne ta kontakt med oss.

2. Unngå lagring av sensitiv data

For å tydeliggjøre: Kortopplysninger, utløpsdato osv, er konfidensiell informasjon som du ikke får lov til å lagre. Det er det du betaler betalingsleverandøren din for å gjøre.

Først og fremst er det imot PCI-reglene å samle og lagre kortopplysninger. Og la meg gjøre det klinkende klart: Brudd på disse reglene kan det bli ekstremt dyrt for forretningen din. Du risikerer nemlig noen heftige bøter om du stikker så mye som en tå over streken. Ikke gjør det.

Det er også en gang slik, at om du ikke har noe å stjele, blir du et lite attraktivt mål for tyver. Lagring av sensitive data og personopplysninger kan være en uimotståelig fristelse for hackere. Dermed gjør du både deg selv og kundene dine en tjeneste med å la være å ta risikoen.

3. Sørg for at netthandelsplattformen din er oppdatert

PrestaShop, Magento, WordPress – uansett hvilken netthandelsplattform du velger, så sørg for å holde den oppdatert. Oppdater systemet ditt innen 24 timer fra nye versjoner utgis. Utgått software er en av de vanligste sårbarheter hackere utnytter for å få adgang til nettverket ditt. Ikke gjør det lett for dem.

4. Bruk sterke passord

Hvis kundene dine har mulighet for å lage en konto på nettsiden din (og det er det ganske mange fordeler med, dersom du gjør det riktig), er det noen krav du må stille til passordene deres.

Husk at passord skal inneholde:

  • Minst 8 karakterer

  • Både bokstaver og tall

  • Både store og små bokstaver

  • Symboler/tegn

Her er et tips til hvordan du får alle ovenstående kriterier med:

Lag kodesetninger i stedet for kodeord.

Det er nemlig vanskeligere å knekke en setning som “Katten satt på b0rdet og sm1lte!” enn kun ett ord.

Jeg er også nødt til å kommentere et råd jeg ofte hører i forbindelse med passord: Nemlig at man skal bytte passord ofte.

Det er nemlig slik, at vitenskapet ikke er heeelt enig her. Faktisk tyder undersøkelser på at detå endre kode eller passord ofte,  ikke forbedrer sikkerheten.

I stedet for å kreve at brukerne dine skal endre kode ofte, bør du fokusere på å heller kreve sterke kodesetninger fra starten av.

5. Vær oppmerksom rundt mistenkelig atferd

Dette kan gjøres på mange ulike måter. Hvordan du velger å gjøre det, er helt opp til deg.

De fleste ePSP’er tilbyr antisvindel-overvåkningstjenester som kan gjøre dette for deg. Det er riktignok ikke gratis, men spør deg selv: Er sikkerhet virkelig der du vil fokusere på innsparing?

Alternativt kan du velge å se gjennom alle bestillingene dine manuelt for å holde utkikk etter mistenkelig atferd. Har du en helt ny forretning, kan dette gjerne være en løsning du vil gå for i første omgang. I så fall er det dette du skal holde øye med:

  • Matcher leveringsadressen med IP-adressen?

  • Matcher leveringsadressen med fakturaadressen?

  • Stemmer telefonnummer og leveringsadresse overens?

  • Er kortet utstedt i samme land som leveringsadressen?

  • Er det flere ordre fra samme IP-adresse?

  • Er det flere ordree fra samme IP-adresse med forskjellige leveringsadresser?

  • Er ordrebeløpet usedvanlig høyt?

  • Er produktsammensetningen uvanlig?

  • Er ordren gjennomført om natten – og er det uvanlig for nettbutikken din?

En god tommelfingerregel er: Hvis det er noe som helst uvanlig ved bestillingen, bør alarmklokkene gå av.

Skulle dette skje, er det viktig at du ringer kunden og ber han eller hun bekrefte identiteten sin og at kjøpet er gjort med kundens eget kort. Det er veldig viktig at nettopp du ringer kunden, og ikke omvendt. Oppringernummeret kan nemlig skjules, slik at svindlere kan utgi seg for å være noen andre.

Er du fortsatt ikke sikker?

Be kunden om å gjøre en bankoverføring. Dette vil en svindler aldri gå med på, ettersom pengene i så fall vil gå tapt.

Når du nå har sett nøye gjennom listen ovenfor, kan du spørre deg selv én gang til om du virkelig vil bruke tiden din på å foreta alle disse sjekkene manuelt, eller om det vil spare deg for verdifull tid å automatisere deler av prosessen.

Det er helt opp til deg.

Jeg vil imidlertid komme med en vennlig påminnelse:

Uansett om du bruker et sikkerhetsprodukt til å sjekke bestillingene dine, må du ikke undervurdere sunn fornuft når du trekker pengene og sender varen.

Det er som med så mye annet her i verden: Hvis noe høres for godt ut til å være sant, er det som regel det også.

6. Bruk kryptering

Når du sender sensitiv data mellom nettsiden din og kundens nettleser, skal kommunikasjonen være kryptert. Ikke bare for å beskytte forretningen og kundene dine, men også for å vise kundene dine at det er trygt å handle hos deg.

Bruk SSL (Secure Sockets Layer) eller enda bedre - TSL  (Transport Security Layer) for å beskytte all data fra kundene dine.. Med et Extended Validation SSL-sertifikat, kan du vise en grønn bar og et sikkerhedssertifikat i nettleserens adresselinje for å vise at hjemmesiden din er sikker.

Sørg for å få det gjort. Nå. Du kan finne SSL/TSL-sertifikater mange steder, og det er en rimelig investering i dine kunders trygghet.

Dessuten - hvorfor skulle du IKKE ville vise kundene dine at det er trygt å handle hos deg?

Hvis du vil ha en vurdering av hjemmesiden din fra et sikkerhetsperspektiv, så prøv dette verktøyet fra Qualy’s: www.ssllabs.com/ssltest

7. Bruk flere sikkerhetslag

Det er helt essensielt å ha en brannmur for å forhindre personer med onde hensikter i å få adgang til nettverket ditt. Men du bør ikke stoppe der.

Legg til flere sikkerhetslag på kontaktskjemaer, innloggingssider og søk for å unngå såkalte SQL injections og cross-site scripting (fancy ord for slemme ting).

VIl du ha noen forslag?

Her er et utvalg:

  • Begrens antallet innloggingsforsøk

  • Aktiver to-trinns verifisering

  • Skjul/omdøp innloggingssiden din

  • Still sikkerhetsspørsmål

  • Bruk CAPTCHA

Utvikleren din kan hjelpe deg med å implementere det ovenstående - og har helt sikkert flere triks i ermet.

8. Utdann dine ansatte

Det er menneskelig å feile. Derfor er det viktig at du gjør alt du kan for å minimere risikoen for menneskelige feil.

Tilby sikkerhetstrening til dine ansatte. De må lære seg at de aldri skal avsløre kundeopplysninger i e-post, chatmeldinger eller SMS, ettersom ingen av disse kanaler er sikre.

Det kan være en fordel å ha skrevet ned sikkerhetspolitikk og -prosedyrer for å sikre at dine ansatte alltid er oppdatert på internettsikkerhet og lovgivningen rundt kundedata.

9. Konstant overvåkning og skanning av hjemmesiden din

Du bør alltid overvåke hjemmesiden din. Alltid. Det finnes masse verktøy som kan hjelpe deg med å holde øye med malware (skadelig software), sikkerhetshull osv, og gi deg beskjed slik at du kan agere med det samme.

En annen god idé er å med jevne mellomrom skanne hele nettsiden din for uønsket software. Og, hvis du virkelig vil sette nettstedet ditt på prøve, så kan du vurdere å leie inn en konsulentvirksomhet til å lage penetrasjonstester av nettverket ditt.

10. Foreta hyppige sikkerhetskopier

Vi vet alle at det er viktig - men gjør vi det faktisk? Gjør du? Hvis du er en av de mange forretningseierne som enten overser dette eller satser på at webhotellet ditt tar backup på alt, vil jeg råde deg til å ta en grundig titt i speilet. Hva gjør du hvis serveren din bryter sammen, harddisken din tar kvelden eller du blir infisert av et virus slik at du mister all data?

Hvis du satser på at webhotellet ditt fikser biffen, så ta deg i det minste bryet med å sikre at de faktisk gjør det. Bare for å være på den sikre siden.

11. Hold deg oppdatert

Det burde være unødvendig å si, men la oss gjøre det likevel: Virksomheten din er ditt ansvar.

Du er ansvarlig for å holde deg oppdatert rundt sikkerhetsrisiko relatert til nettbutikken din. Det er nemlig ingen andre som gjør det for deg.

Her er noen idéer til hvordan du kan holde deg oppdatert:

  • Abonner på (og LES) nyheter fra CMS-leverandøren din, webhotellet, netthandelsplattformen osv.

  • Holdøye med sikkerhetsmeldinger fra kortnettverk

  • Meld deg inn i ulike netthandelsforum og -nettverk

Jeg håper at det ovenstående har gitt deg noen idéer til hva du kan gjøre for å beskytte nettsiden din mot hackere og andre ondsinnede luringer.

Alle vet at IT-sikkerhet er viktig, men det er lett å glemme i en travel hverdag. Sørg for å ha full kontroll over det.

Har du noen geniale idéer eller forslag som jeg har oversett?

Send oss gjerne en e-post, eller skriv til oss på Facebook eller Twitter.

Skrevet av: Heine Aaen Hansen

Markedsførings- og innholdsspesialist i Bambora. Bokentusiast, ordnerd og hjelpeløs pappa. Når han ikke skriver er han som regel opptatt med å lese.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.