Возможности сети Интернет дали всплеск электронной торговле. В развитых странах электронная торговля была логичным эволюционным продолжением торговли по каталогам по почте и заказам товаров по телефону, но для россиян, практически пропустивших такой вид обслуживания, это была настоящая революция. И не только для покупателей: традиционные продавцы с помощью электронных платежей и экспресс-доставки товаров смогли существенно сократить транзакционные расходы, а небольшие производители и локальные магазинчики получили доступ к покупателям напрямую.
Проблема в том, что большинство инструментов защиты — пассивные, они не блокируют атаки, а лишь информируют об аномалиях и делегируют решение о блокировании атак операторам
Однако вместе с новыми возможностями появились и новые риски — Интернет далеко не безопасное место, доступ к вашему магазину может получить любой пользователь Всемирной сети, и у некоторых из таких пользователей намерения могут оказаться недобрыми. В этой статье мы рассмотрим угрозы, с которыми сталкиваются электронные магазины, и обсудим способы их решения.
Традиционно наиболее опасной угрозой для электронных магазинов считаются атаки на отказ в обслуживании — атакующие «заваливают» сервис большим количеством запросов, которые он не в состоянии обработать, после чего легальные пользователи не имеют возможности воспользоваться атакуемым сервисом. Сокращенно такие атаки называют DoS/ DDoS-атаками (Denial of Service / Distributed Denial of Service). Отличие вторых от первых в том, что в них атаки ведутся не с одного источника, который достаточно легко определить и блокировать трафик с него, а с огромного количества источников. Так, в последней крупной атаке, названной Mirai, атаки на американские сервисы осуществлялись с сотен тысяч зараженных видеокамер и других подключенных к Всемирной сети устройств.
Обеспокоенность владельцев магазинов DoS/ DDoS-атаками понятна: электронная коммерция — сверхконкурентная индустрия, здесь конкуренты находятся буквально на расстоянии клика мышкой или тычка пальцем в экран смартфона. Если потенциальный клиент не получит обслуживания там и тогда, где и когда он посчитает нужным, он немедленно найдет товар в другом магазине. Из-за этого владельцы электронных магазинов оказываются даже в худшей ситуации, чем другие веб-сервисы. Банк, например, во время DoS/DDoS-атаки просто испытает переток запросов онлайн-клиентов в колл-центр и отделения, при этом абсолютное большинство из них останутся клиентами банка, а вот покупки, совершенные пользователями Сети в других магазинах, пока ваш сервис был недоступен, можно смело списывать как недополученную прибыль. Поэтому часто за прекращение атаки злоумышленники требуют деньги, поскольку магазину выгоднее им заплатить, чем терять деньги на клиентах, которые не могут попасть на сервис и совершить покупку.