Veertien tips om cybercriminelen de baas te zijn

Door Olaf van Veen
Business development manager bij True

Webshops zijn de hoofdtarget van cybercriminelen. Met name de financieel gerelateerde informatie die klanten achterlaten, is uitermate gewild bij hackers. Webshops lopen hierdoor hoge risico's op kosten en reputatieschade. Uit onderzoek komt echter naar voren dat webshops bar weinig doen om hun online winkel te beveiligen en te beschermen tegen ongewenste bezoekers. Wat zijn de favoriete manieren van hackers om aan gegevens te komen? En hoe beveilig je je webshop tegen acties van buitenaf? Managed hosting provider True geeft een aantal handige tips.

Hackers willen financiële informatie via webshops achterhalen
In september 2014 publiceerde Kaspersky Lab een onderzoek waarin naar voren kwam dat 48% van de webshops financieel gerelateerde informatie was kwijtgeraakt als gevolg van cybercriminele activiteiten. Een andere bevinding uit het onderzoek was dat het bedrijfssegment e-commerce niet staat te springen om gespecialiseerde antifraudemaatregelen in te zetten en te updaten ter bescherming van hun website. Vreemd, want de gevolgen van een hack kunnen voor een webshop en zijn klanten groot zijn. Gevoelige (klant)gegevens die op straat liggen, bankrekeningen die geplunderd worden, identiteitsfraude en phishingfraude kunnen het gevolg zijn van een hack.

Reputatieschade en hoge kosten
Online winkels ontvangen, verwerken en slaan gevoelige financiële gegevens van klanten op. Deze gegevens zijn zo gewild bij hackers dat het voor webshops noodzakelijk is om bescherming en beveiliging te bieden. Doe je dit niet dan kunnen de gevolgen van een hack flink in de papieren lopen. Volgens het onderzoek van Kaspersky Lab kost een incident door Network Intrusion/ hacking tussen de 65 duizend en 1,45 miljoen dollar, afhankelijk van de grootte van de e-commercepartij. Flinke bedragen die je als online ondernemer niet altijd kunt ophoesten. Daarnaast leidt het nieuws dat jouw webshop niet veilig is tot reputatieschade, waardoor klanten op zoek gaan naar alternatieven.

Hoe worden webshops gehackt?
Cybercriminelen zijn slim en blijven manieren ontwikkelen om te kunnen hacken. Een aantal bekende manieren om te hacken:

- SQL-injections: een hacker probeert via internet toegang te krijgen tot een SQL-gebaseerde database. Dit doet hij door vooraf te checken – via het uitvoeren van verschillende queries op een database - of een database van een website vatbaar is voor een SQL-injectie. Als de hacker een gaatje heeft gevonden, kan hij toegang krijgen tot de backend van de gehele database.
- XSS of cross-site scripting: een techniek waarbij hackers door een fout in de beveiliging van een webapplicatie schadelijke code op een website kunnen plaatsen. Het doel is om gebruikersdata, zoals logingegevens te bemachtigen. Vaak wordt XSS in combinatie met phishing ingezet, waarbij een gebruiker per e-mail wordt gevraagd om op een bepaalde link te klikken. Als die eindgebruiker klikt op de url kan de hacker zijn aanval uitvoeren en bijvoorbeeld de gewenste code op een website plaatsen.
- Aanval via cookies: hackers stelen via verschillende manieren de gegevens die zijn opgeslagen middels cookies. Dit gebeurt voornamelijk wanneer gegevens zonder validatie worden ingelezen op een database. Zonder validatie kunnen hackers de cookies eenvoudig aanpassen en toegang krijgen tot gegevens als gebruikersnaam, wachtwoord, adres- en bankgegevens.
- Verouderde CMS'en of webwinkelsoftware: software en CMS'en die niet up-to-date zijn, bieden hackers de kans om persoonsgegevens als het ware op te rapen. Dit komt doordat het bij oudere versies van een CMS of webwinkelsoftware niet mogelijk is om updates uit te voeren. En deze updates zijn juist nodig om beveiliging optimaal te houden. De kans op beveiligingslekken, waaronder SQL-lekken, is daardoor bij oude software enorm groot. Voor hackers wordt het zo heel eenvoudig om een databestand te stelen of een webwinkel plat te leggen.

Hoe beveilig je je webshop tegen acties van buitenaf?
Je kunt je als webshop goed beveiligen tegen hack-acties van buitenaf, maar een garantie heb je nooit. Veertien onderdelen die bijdragen aan een moeilijker te bereiken online winkel voor hackers op een rij:

- Update webwinkelsoftware/CMS: als er nieuwe updates zijn voor je webwinkelsoftware of het CMS dat je gebruikt, dien je deze meteen uit te voeren.
- Installeer SSL-certificaten (of de opvolger TLS): deze encryptieprotocollen zorgen ervoor dat data, zoals wachtwoorden, persoonsgegevens en betaalinformatie, tussen een website of webshop en een bezoeker onleesbaar is voor anderen.
- Maak gebruik van een anti-DDoS-dienst: een dienst die ervoor zorgt dat aanvallen op een server kunnen worden afgewend.
- Plaats een managed firewall: middels een firewall wordt toegang tot apparatuur gefilterd, waardoor ongewenste bezoekers niet kunnen toetreden.
- Update firewall: een managed firewall moet regelmatig worden geüpdatet, voorzien van de laatste beveiligingsupdates.
- Monitoring van de serveromgeving: een dienst die de bereikbaarheid van de servers monitort, waarbij wordt gekeken naar trends, patronen, prestaties, capaciteit en logs. Zo kan afwijkend gedrag in een vroeg stadium worden opgemerkt en aangepakt.
- Installeer antivirus-software: deze software zorgt ervoor dat computervirussen worden verwijderd. Daarnaast spoort deze software spyware, adware en Trojaanse paarden op en maakt ze onschadelijk.
- Regel back-ups in: maak een back-upstrategie zodat je, ook in geval van nood, over relevante back-ups beschikt en de continuïteit van je online activiteiten kunt blijven waarborgen.
- Redundante verbinding: voorkom uitval van je webshop door een redundante verbinding van en naar je server. Bij uitval van de ene verbinding neemt de andere verbinding het over.
- Kies voor betrouwbare hosting: check of de hostingpartij waar je je hosting afneemt zijn veiligheid goed op orde heeft. Bijvoorbeeld door te kijken of de directories van de servers goed zijn beveiligd. Een goede en betrouwbare hostingpartij regelt veel van de zaken die in dit lijstje staan, zoals updates, SSL-certificaten, anti-DDoS, managed firewall, monitoring en back-upstrategie.
- Contactformulieren met captchacode: gebruik voor formulieren op je webshop gebruik van een captchacode. Hiermee wordt voorkomen dat een bot online diensten overneemt.
- Maak gebruik van securityscans: de website wordt gescand op een aantal beveiligingsrisico's.
- Wachtwoorden klanten: laat klanten wachtwoorden aanmaken die bestaan uit meer dan 8 tekens, minimaal 1 vreemd teken en een hoofdletter.
- Klantgegevens: sla klantgegevens alleen met encryptie op in de database.