İnternetin evrimi ve onunla birlikte e-ticaretin uluslararası düzeyleri, Kara Cuma’nın çok geçmeden dünya çapındaki tatil şenlikleri öncesinde kış alışverişlerinin resmi olmayan başlangıcı haline gelmesi anlamına geldi. 2000’li yılların başında Şükran Günü’nden sonraki Pazartesi günü düzenlenen Siber Pazartesi, insanları kara Cuma mağaza içi yoğunlukların ardından çevrimiçi alışveriş yapmaya teşvik etmek için hayata geçirildi.
Dijital e-ticaret ve geleneksel perakende birlikte, tatil alışverişi çılgınlığını evrensel düzeyde teşvik ediyor.
DHL’e göre:
-
Dünya genelinde alışveriş yapanların %75’i Kara Cuma ve Siber Pazartesi döneminde alışveriş yapıyor.
-
%71’i indirimlerin ve tasarrufların kendilerini harcamaya motive ettiğini söylüyor.
-
Elektronik ürünler en çok satın alınan ürünler arasında yer alıyor ve alışveriş yapanların %37’si bunları indirim sırasında satın alıyor.
-
Z Kuşağı ve Y Kuşağı, Kara Cuma Alışverişini en aktif yapanlar arasında yer alıyor ve yalnızca %8’i hiç alışveriş yapmıyor.
Ve küçük alımlardan bahsetmiyoruz. ABD’de ortalama tüketicinin Kara Cuma’da 340 Dolar ve Siber Pazartesi’de 300 Dolar daha harcayın.
Bu, tehdit aktörleri için cazip bir fırsat sunuyor ve her web sitesinde yer alan çok sayıda teklif nedeniyle fiyat manipülasyonu girişimleri artıyor.
Fiyatların manipüle edilmesinin birçok yolu vardır. Bu blogda, her biri ortak bir temel temayı gösteren üç tür fiyat manipülasyonunu inceliyoruz: Tehdit aktörlerinin yılın bu zamanında giderek daha fazla istismar ettiği yetersiz doğrulama. Fiyat manipülasyonuna izin veren güvenlik açıkları mali kayıplara, dolandırıcılığa ve markanın itibarının zedelenmesine neden olabilir; bu nedenle güvenli ödeme çok önemlidir.
“Bir Intigriti araştırmacısı birkaç ay önce e-Ticaret sitemizde kritik bir hata buldu. Noel döneminde satışları kaybetmemek için bu hatayı düzeltip düzeltebildiğimiz için çok minnettardık.”-MuseLab’lar
Kupon dolandırıcılığı her şekil ve boyutta olabilir. Sahte QR kodlarından, meşru sağlayıcıları taklit eden sahte kupon sitelerinden, sahte yazdırılabilir kuponlara kadar, sıfırdan sahte kuponlar oluşturmanın birçok yolu vardır.
Peki meşru sitelerdeki meşru kuponlar saldırıya uğrayıp değiştirildiğinde ne olur?
Kupon sağlayıcı tarafından doğru şekilde ayarlanmadığında kullanıcıyı ve şirketi savunmasız bırakır. Örneğin, kuponlar güvenli olmayan bir şekilde uygulandığında, kötü niyetli aktörlerin süresi dolmuş kodları kullanmasına, aynı kodu birden çok kez uygulamasına ve hatta yanlış uygulama mantığını kötüye kullanarak yeni kodlar oluşturmasına olanak tanıyabilir.
Bir tehdit aktörü, güvenli olmayan ödeme duvarlarını aşarak ve hatta mantık hataları yoluyla bir ürünün fiyatını değiştirerek doğrulama unsurlarının eksikliğinden de yararlanabilir (bu konuya daha sonra değineceğiz).
Savunmasız doğrulama sistemlerinin etkisi nedir?
Büyük ölçekli bir tehdit veya yüksek değerli kuponlar önemli mali kayıplara yol açabilir. Ancak bu sadece finansal etki değil; pazarlama ölçümleri de bozulacak, bu da ekiplerin yanlış verilere dayanarak optimizasyon yapacağı anlamına geliyor.
Kuponların geri çekilmesi veya tamamen iptal edilmesi durumunda da itibar aynı şekilde zarar görebilir. Kullanıcılar ayrıca herhangi bir geri çekme işlemini siber güvenlik önlemlerinin doğrudan eksikliği olarak görebilir ve bu nedenle şirketin kişisel verileri saklaması/kullanması konusunda endişe duyabilir.
Yanlış kayıt tutulması ve doğum günlerinin doğrulanamaması, GDPR uyumluluğu açısından yasal risklere ve düzenleyici para cezalarına da neden olabilir.
Uzun ve kısa vadeli düzeltmeler nelerdir?
Doğrulamayı geliştirmek için eylemler gerçekleştirilebilir.
Hızlı düzeltmeler için:
-
Düzenleme bekleme süresini etkinleştirin. Kullanıcının, kişisel ayrıntılarda talep edilen herhangi bir değişiklik için bir neden sunması ve başka bir düzenleme yapılıncaya kadar 30 gün gibi bir süre belirlemesi gerektiğinden emin olun.
-
Ayarları, doğum tarihi veya diğer kişisel bilgilere dayalı olarak değil, her yıl hesap kimliği başına bir kupon sağlanacak şekilde değiştirin.
-
Yeni hesapları veya yeni satın alma geçmişine sahip hesapları, ödeme yöntemlerini paylaşan hesap kümelerini veya aynı IP’de birden fazla değişikliği arayarak şu anda gerçekleşen istismarı tespit edin.
Uzun vadeli destek için, hata ödül programları, araştırmacıların yalnızca kuponlarınız ve promosyonlarınız genelinde değil, şirketin tüm dijital ortamında herhangi bir giriş noktasını belirlemek için doğrulamanın eksik olduğu alanları arayabileceği anlamına gelir.
Döviz kuru işlevleri, e-ticaret şirketleri tarafından küresel kitlelere hitap etmek için kullanılır. Bunlar işin gerekli bir parçasıdır. Ancak kuruluşları para birimi karışıklığına karşı savunmasız kılan şey yine doğrulama eksikliğidir.
Doğrulama eksikliği olduğunda, bir tehdit aktörü, farklı bir para biriminde fiyatlandırılan çok daha yüksek değerli bir öğe için ücretlendirilirken, işlemi tek bir para biriminde küçük bir miktar ödeyecek şekilde manipüle etmek amacıyla döviz kuru işlevinden yararlanır.
‘Bir HTTP isteğini incelediğinizde, fiyat veya miktar parametresine dokunmadan para birimini USD’den örneğin INR veya JPY’ye değiştirip değiştiremeyeceğinizi kontrol edin. Sipariş ettiğiniz ürünün fiyatı 100 USD ise, bunun yerine 100 INR (1,10 USD’ye eşdeğer) ödersiniz.’ – Blackbird-AB
Yalnızca para birimi düzenlenemez, aynı zamanda tutarın parametresini değiştirmek için bir formül enjeksiyonu kullanılırsa, öğenin miktarı da aynı şekilde düzenlenebilir. Bu güvenlik açığından yılın herhangi bir noktasında yararlanılabilir. Ancak Kara Cuma veya Siber Pazartesi sırasındaki etki, pazarlık amaçlı alışverişlerin hızlı sınır ötesi işlemlere yol açmasıyla daha da artabilir.
Son kullanma tarihinin olmaması, bir veya iki yıl önce, özellikle Kara Cuma veya Siber Pazartesi için verilen sezonluk kuponların bu yıl saklanabileceği ve yeniden kullanılabileceği anlamına da gelebilir.
Para birimi karışıklığı nasıl belirlenir?
Kapsama dahil olması halinde, hata ödül programı, para birimi ve döviz kuru doğrulama sorunlarını tespit edebilir. Araştırmacılar bütünlük kontrolleri sağlayabilir, mantık sorunlarını ve yarış koşullarını belirleyebilir, API uç noktalarını görüntüleyebilir, ayrıca döviz kurları veya tokenlarda herhangi bir değişiklik yapabilir ve çok daha fazlasını yapabilir.
Makineler belirli sayıda pozitif ve negatif sayıyı saklayabilir. Bu erişim makineye bağlıdır. Bir tehdit aktörünün arka uç sistemdeki en yüksek sayıyı aşan bir sayı belirlemesi durumunda ve doğru doğrulama mevcut değilse, sayı negatif bir sayıya dönüştürülür veya sıfıra sıfırlanır ve böylece kullanıcının süreci atlaması sağlanır.
‘Ödeme sistemlerini test ederken, sipariş ettiğiniz ürünlerin fiyatını veya miktarını değiştirmeyi deneyin ve bunları aşırı yüksek bir sayıya ayarlayın. Herhangi bir doğrulama mevcut değilse, miktarınızı veya fiyatınızı negatif bir sayıya sıfırlayabilir veya basitçe 0’a ayarlayabilir, bu da ödeme sistemini tamamen atlamanıza olanak tanır.’ – E-ticarette fiyat manipülasyonu güvenlik açıkları
Tamsayı taşmaları, Kara Cuma veya Siber Pazartesi gibi satışların yoğun olduğu dönemlerde e-ticaret ve finansal sistemler için önemli bir risktir. Finansal etkinin yanı sıra sistem çökmelerine de neden olabilirler; bu da marka itibarını, müşteri bağlılığını ve pazarlama çabalarını daha da etkileyebilir.
Bu tür bir güvenlik açığına yönelik anında uyarı yoktur. Bu hataları bulmanın en iyi yolu, yayınlanmadan önce tüm işlemleri incelemek ve sürekli izleme için bir hata ödül platformu kullanmaktır.
Çoğu işletme için Kara Cuma ve Siber Pazartesi, yılın en kârlı zamanlarından biri olduğunu kanıtlıyor. Küresel bir güvenlik uzmanları topluluğunun hedef odaklı ve sürekli testleri, ortamınızda sizi, müşterilerinizi, çalışanlarınızı ve sistemlerinizi savunmasız bırakabilecek tüm boşlukları vurgulayabilir.
PTaaS, özellikle yeni ürünlerin gönderildiği Kara Cuma ve Siber Pazartesi gibi büyük etkinliklerden önce, kampanyalar veya yeni teklifler yayınlanmadan önce herhangi bir hatayı test etmek için kullanışlıdır. Güvenlik Açığı Açıklama Programı (VDP), etik bilgisayar korsanlarının dahili ekiplerin gözden kaçırabileceği güvenlik açıklarını göndermeleri için güvenli ve yasal bir çerçeve sunar. Hata ödül programları, işletmenizin kritik sistemleri için yüksek beceri gerektiren, sürekli gerçek dünya testlerini teşvik eder.
Daha fazla bilgi için Perakende sektöründeki kuruluşları nasıl desteklediğimize göz atın, bu Kara Cuma ve Siber Pazartesi satışlarını etkileyen güvenlik açıklarını görüntüleyin veya bu makalede tartışılan noktalardan herhangi biri hakkında daha fazla bilgi için bugün ekiple iletişime geçin.