Säkerhetsskolan för småföretagare, del 1: 7 säkerhetsrisker inom e-handel

Nu drar vi igång Säkerhetsskolan för småföretagare med Linus Särud från it-säkerhetsföretaget Detectify. En gång i månaden kommer vi att belysa olika aspekter av it-säkerhet och dela med oss av handfasta guider och tips.

Del 1 handlar om säkerhetsrisker inom e-handel. Oavsett om du väljer att använda ett färdigt CMS eller programmera din egen webbutik, använda egen server eller ett webbhotell, finns det en hel del saker att tänka på. Genom att vara medveten om några av de vanligaste säkerhetsriskerna inom e-handel har du större möjlighet att förhindra eventuella säkerhetsproblem, oavsett om du själv programmerar eller inte.

Säkerhetsrisk 1: Osäker inloggning

En osäker inloggning, t.ex. med ett svagt lösenord eller osäkert system, ökar risken för intrång i din webbutik. Detta kan påverka din försäljning negativt och på längre sikt även ditt rykte och relationen till dina kunder.

Använd tvåfaktrosautentisering

Den enskilt största åtgärden för öka säkerheten för inloggning är att aktivera och använda tvåfaktorsautentisering. Detta innebär att du, utöver användarnamn/lösenord, behöver ytterligare en bit information för att logga in (därmed två faktorer). Medan lösenordet är något du vet ska denna andra faktorn vara något som du har. Detta kan vara en extern enhet såsom en bankdosa, men består oftast av en app till mobilen eller ett SMS med en kod att uppge när du loggar in. Vilken lösning som är att rekommendera beror helt på vad som stöds av den plattform du använder dig av.

Undvik uppenbara användarnamn

Utöver tvåfaktorsautentisering är det fördelaktigt att undvika uppenbara användarnamn såsom ‘admin’ eller ditt företagsnamn på konton som har administrativa rättigheter. Lösenordet ska även vara unikt för din sida (får absolut inte användas på någon annan hemsida) och långt.

Logga alla administrativa åtgärder

Se slutligen till att logga alla administrativa åtgärder som utförs. Detta är till stor nytta för att spåra hur en hackare har gått tillväga efter en potentiell attack, men är lika viktig för att förhindra funktioner från att missbrukas av anställda.

Tips: Begränsa varje anställds konto till de rättigheter som denne kan behöva inom jobbet, men gör det med tillräcklig stor frikostighet så det inte riskerar att försämra arbetseffektiviteten. Även om du genomfört ovanstående åtgärder för att göra inloggningen säkrare bör du designa ditt system för att minimera skadan om en illasinnad hackare skulle komma över inloggningsuppgifter till ett adminkonto.

Säkerhetsrisk 2: Ouppdaterade plugins och plattformar

Sårbarheter i både plattformar som används för webbutiker (OpenCart, Magento, Prestashop, och många fler) samt i plugin till dessa hittas regelbundet, och vi ser ingen anledning till att det skulle upphöra den närmaste tiden. De flesta leverantörer är däremot snabba med att uppdatera sina verktyg när en sårbarhet har blivit publik. Det är därför viktigt att du ser till att använda den allra senaste versionen av både plugins och själva plattformen i sig.

Det lättaste sättet att se till att så är fallet är att aktivera auto-uppdateringar där det går. För övriga fall behöver du regelbundet manuellt gå igenom och se om det finns en nyare version tillgänglig för någon av de plattformar eller plugins du använder. Här kan det vara smart att välja en återkommande tidpunkt du kollar detta för att inte riskera att glömma bort det.

Tips: När auto-uppdateringar inte erbjuds kan du prenumerera på mail som informerar om när en ny version finns ute. På så sätt kan du försäkra dig om att du är snabb med att uppdatera manuellt.

Säkerhetsrisk 3: För enkla rabattkoder

Ponera att du skapar två olika rabattkoder: en som ger kunder 10% med intentionen att sprida den över internet och en som ger 50% och bara är tänkt för nära vänner. Låt oss också säga att den första heter mycketBilligt_10, medan den andra istället heter mycketBilligt_50. När det är formulerat så här bör problemet vara uppenbart; någon kan på ett mycket enkelt sätt kunna gissa sig till koden för halva priset. Många butiksägare hinner inte tänka igenom sina handlingar vilket gör att det här scenariot är väldigt vanligt, även om de flesta skulle se problemet om de tänker igenom det.

Tips: Generera inte kuponger eller presentkort enligt ett mönster som går att gissa. Se över existerande kuponger.

Säkerhetsrisk 4: För många (onödiga) plugins

Varje installerat plugin innebär ytterligare ett ställe som skulle kunna introducera nya sårbarheter. Genom att ha så få plugins installerade som möjligt minskar du den potentiella attackytan och systemet blir därmed säkrare.

Det är lätt hänt att du testar ett plugin, ändrar något som gör pluginet överflödigt, men sedan låter det ligga kvar. Se därför se till att gå igenom listan på installerade plugins och se om det vore möjligt att ta bort något.

Tips: Samma logik kan också appliceras på din generella IT-säkerhet. Genom att minimera antal installerade program, appar eller liknande höjer du din säkerhet markant.

Säkerhetsrisk 5: Din egen dator

Om någon får kontrollöver din dator spelar det ingen roll vilka åtgärder du har tagit för att öka säkerheten på din hemsida. En person som styr din dator har möjlighet att göra allt du kan göra från din dator, och kan helt sonika ta över sessionen när du loggar in oavsett om du använder tvåfaktorsautentisering (se tips 1) eller inte.

Grundläggande säkerhet uppnås genom att minimera installerade program till de nödvändiga. De som återstår bör därefter laddas ner från en trovärdig källa, och även här är det viktigt att hålla dem uppdaterade.

Som virusskydd bedöms det som medföljer senare versioner av Windows som tillräckligt, och att som privatperson/småföretagare själv installera ett virusskydd från tredje part kan ofta stjälpa snarare än hjälpa.

Tips: Glöm inte bort det sunda förnuftet. Tänk på vilka hemsidor du besöker, öppna inga filer från e-post du inte litar på och säkerställ att du är på rätt hemsida innan du anger inloggningsuppgifter i ett inloggningsfält. Listan på sunt förnuft fortsätter i all oändlighet, men det här är åtminstone en bra start.

Säkerhetsrisk 6: DDoS-attacker

Något som periodvis är populärt, men som varit i en liten svacka nyligen, är DDoS-attacker, det vill säga att driva så mycket trafik till en hemsida eller webbutik att den inte klarar av trycket och går ned. När webbutiken är nere kan de inte sälja något, och kunderna börjar leta efter alternativ vilket kan leda dem till en konkurrent. För att göra saken än värre så skadar också nedtid ditt rykte, så även när sidan är tillbaka online lever konsekvenserna kvar.

Att använda sig av väletablerade webbhotell som Loopia, är av stor fördel här. De har bra resurser och kunskap i att migrera en DDoS-attack och gör dig som e-handlare mycket mindre exponerad för denna säkerhetsrisk.

Tips: Undersök risken med DDoS redan nu. Att ta tag i problemet när en attack har påbörjats är försent, även om det kan gå att begränsa skadan även i ett sådant skede.

Säkerhetsrisk 7: Stulna betalkort

Även om denna attacktyp som går ut på att använda stulna betalkort för att skada en e-butiks rykte är mycket ovanlig så inträffar den tyvärr då och då, och den ekonomiska skadan kan ofta bli förödande.

I attacken kommer en illasinnad part över en stor mängd betalkort med vetskapen om att de är stulna och inom kort kommer rapporteras som så. De använder sedan dessa kort för att handla varor i din butik och så fort banken förstår vad som försiggår kommer en “chargeback”/återbetalning att göras från deras sida. Utöver det enorma arbete som går åt att administrera en sådan process medföljer även stora avgifter för e-handlaren. Har orden dessutom redan hunnit skickas iväg så butiksägaren ett stort jobb i att försöka återfå produkterna.

Vid betalning är det därför av stor vikt att säkerställa att kunden faktiskt använder sitt eget betalkort, men det är också viktigt att hela processen är smidig för legitima kunder. Att hitta balansen mellan detta är en utmaning i sig, men genom att vara medveten om säkerhetsproblemen som kan uppstå i e-handeln har du kommit en lång bit på väg.

Tips: Genom att använda sig av en välkänd och pålitlig betalningsleverantör kan du känna dig någorlunda säker på att dessa bitar hanteras på rätt sätt. Väljer du istället att använda dig en av uppstickare i branschen får du vara beredd att själv undersöka om tjänsten håller måttet.

Nästa månad…

…är vi tillbaka med del 2 av Säkerhetsskolan för småföretagare som kommer att handla om hur du undviker social engineering-bedrägerier. Finns det något särskilt du vill att vi ska ta upp eller som du undrar över? Maila dina önskemål eller frågor till linus@detectify.com.

Läs övriga delar av Säkerhetsskolan för småföretagare:

Inlägget är skrivet av Linus Särud (Twitter: @_zulln), 17, som redan som 13-åring började intressera sig för it-säkerhet. Han har bland annat hittat allvarliga säkerhetsbrister i Google’s system, skrivit om it-säkerhet för IDG Sverige och jobbar som Security Researcher på it-säkerhetsbolaget Detectify vid sidan av sin skolgång på gymnasiet. På Detectify ansvarar han både för att leda omfattande säkerhetsundersökningar, skriva artiklar och guida kunder i supporten.