Günümüzde her tür işletme için bireysel ve kurumsal müşterilere ulaşmanın en önemli araçlarından biri e-ticaret. Pek çok avantajı barındıran e-ticaretin sağladığı avantaj ve dezavantajlar hakkında daha önce bir makale yayımlamıştık. Bu dosya yazımızda ise e-ticaretle satış yaparken dikkat etmeniz gereken tehditler ve tehlikeleri anlatıyoruz.

Dijital dünya fırsatlar kadar, kötü niyetli kişilerin hazırladığı tuzaklar da barındırıyor. Konu ticaret olduğunda elbette siber korsanların ağzı sulanıyor. İşletmeniz için e-ticaret yatırımı yaparken, teknik ve teknik olmayan tehditlerle karşı bazı önlemler almanız gerekiyor.

Siber suçlular tarafından hazırlanan teknik tehditler çoğunlukla sadece e-ticaret sitenizin güvenliğini değil, şirketinizin tüm sistemlerinin güvenliğini tehdit eder. Teknik tehditlerde amaç sadece bilgileri ele geçirmek ve kullanmak olmayabilir.

Bazen e-ticaret sitenizin üzerinde çalıştığı internet sunucunuzun durdurulması, sistemlerinize virüs bulaştırılması, sistemlerinizin robot sistemlerin kontrolüne geçmesi gibi amaçlarla saldırılar düzenlenebilir. Teknik saldırı olarak gerçekleştirilen ve müşterileri en çok tedirgin eden tehditlerden biri kredi kartı ve kişisel bilgilerinin çalınmasıdır.

Günümüzde sistemler için en yaygın ve zarar verici iki tehdit bulunmaktadır:

1- Dağınık hizmet aksatma (distributed denial of service): Sistemlerinize üçüncü kişiler tarafından sessizce yerleştirilen casus yazılımlar, sisteminizi illegal bir saldırı için kullanılacak bir araca dönüştürebilir. Bu casus yazılımları yüklemenin bir yolu da sosyal mühendislik olarak adlandırılıyor ve bu yazılımlarla yapılan saldırılar dağınık hizmet aksatma saldırıları olarak isimlendiriliyor.

2- Zararlı kod (malicious code): İnternet dünyasında milyonların hayatını etkileyen bu kodlar virüsler ve bilgisayar kurtlarıdır.

Dijital altyapınızı sağlam tutun

Alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek durumunda kaldıkları kredi kartı, adres, kimlik numarası vb. bilgilerin internet üzerinden iletilirken üçüncü şahısların eline geçmesi riski, e-ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu olarak öne çıkıyor.

Müşterilerinizin internet üzerinden sizin sisteminize girdiği her türlü bilginin güvenliği sizin sorumluluğunuzda. Müşterilerinizin e-ticaret sitenizden alışveriş yapmak için verdikleri kredi kartı bilgisi bunların içinde en önemlisi.

Sadece kredi kartı değil, müşterilerinizin sistemde kayıtlı şifreleri, kişisel bilgileri vb. bilgiler de elektronik transferler (kredi kartı bilgilerinin şirket sistemi ile banka sistemi arasında transferi, müşteri şifresinin müşteri bilgisayarı ile şirket sistemi arasında transferi) sırasında başkalarının eline geçmemesi için korunmalı. Bilgilerin güvenliğini sağlamak için SSL (Secure Socket Layer) güvenlik protokolü kullanılıyor.

Güvenlik sertifikası alın

SSL protokolü; kart sahibi, şirket ve banka arasındaki veri akışı sırasında bilgilerin şifrelenerek aktarılmasını sağlıyor. Böylelikle bilgiler bir başkasının eline geçse bile şifreli olduğu için çözülebilmesi (yani kullanılabilmesi) önleniyor. Kart bilgilerinin gizliliği ve alışverişin güvenliği sağlanmış oluyor.

SSL sertifikaları bu konuda uzman e-ticaret güvenlik şirketleri tarafından satılıyor. Daha fazla bilgi için www.globalsign.com.tr, www.verisign.com, www.thawte.com adreslerini ziyaret edebilirsiniz.

Dağınık hizmet aksatma ve zararlı kod da dikkat edilmesi gereken teknik tehditler arasında yer alıyor. Sistemlerinizin robot sistemlere dönüşmesini engellemek, virüsler ve bilgisayar kurtlarından korunmasını sağlamanın yolu olarak güvenlik duvarı (firewall) kullanımı öne çıkıyor.

Güvenlik duvarı; şirketin bilgisayar ağını dış ağlardan özellikle de internetten ayıran yazılım ve donanım olarak tanımlanabilir. Şirketin iç bilgisayar sistemlerini dışarıdan gelen güvenlik saldırılarına karşı koruya bu duvar, sadece şirkete dışarıdan gelen tehditleri değil, şirket içerisinden olabilecek; şirkete özel dosyaların e-mail yoluyla dışarıya gönderilmesi gibi tehditleri de engelliyor.

Güvenlik duvarları, şirket içindeki sistem ve dışarıdaki sistemler arasındaki trafiği izleyerek yetkilendirilmemiş kullanımları ve şüpheli dialogları da inceliyor. Güvenlik duvarındaki gerekli ayarlar, şirketin belirlediği protokoller dahilinde, BT uzmanı yetkililer tarafından yapılıyor.

Teknik olmayan tehditler

E-ticarette tehditlerin büyük bölümünün teknik olduğu düşüncesi oldukça yaygın ve bu sebepten teknik olmayan tehditlere karşı yeterince önlem alınmıyor. Sosyal mühendislik olarak da adlandırılan bu tür tehditler insanların iyi niyetinden yararlanma, sıkıntı yaratacak bir durumdan kurtulma ya da korkularını kullanma şeklinde ortaya çıkabiliyor.

Örneğin, e-mail adresinize şirketin teknik ekibi tarafından gönderilmiş görüntüsü ile gelen ve sistemde fark edilen bir açığı kapatmak üzere bilgisayarınıza yüklemeniz gereken bir program içeren e-posta aslında tehdidin kendisi olabilir.

Verilen bir görevi yerine getirme kaygısıyla, bu programı bilgisayarınıza yüklediğiniz anda dışarıdan kişilerin şirket sistemine girmesine izin veriyor olabilirsiniz. Ya da telefonda tanımadığınız, genel müdürünüzün sekreteri olduğunu iddia eden ve sistemle ilgili bilgiler isteyen nazik bir insan sisteminize tehdit olabilir.

Kendisi teknik olmayan, ancak önlemi teknik olarak alınan bir tehdit de kimlik doğrulama konusunda karşımıza çıkıyor. E-ticarette alıcı ve satıcı birbirlerini görmeden iş yaptığı için birbirlerinin kimliklerinden emin olamaz. Bu durum da müşteri için e-ticaret sitesinin gerçek bir site olup olmadığı konusunda, e-perakendeci için ise ödemeyi yapan kişinin gerçekten kart sahibi olup olmadığı konusunda kimlik sorunu yaratıyor.

Teknik olmayan tehditlerden korunmak

İnsan faktöründen kaynaklanan pek çok açık, sosyal mühendislik teklikleriyle kötü niyetli biçimde kullanabiliyor. Elbette tedbirini de insanın alması şart. Sosyal mühendislikten korunmak için yapılması gerekenleri şöyle sıralayabiliriz:

• Sistem güvenliği konusunda personeliniz eğitilmeli
• Güvenliğe ilişkin şirket politikaları oluşturulmalı ve bundan tüm çalışanlar haberdar edilmeli
• Şirket içinde sistemlere ilişkin yetkilendirme yapılmalı, hangi kaynaklara kimlerin erişim yetkisi olduğu belirlenmeli
• Hangi bilgilerin dışarıya açık, hangilerinin ise şirket içerisinde kalması gerektiği tüm personel tarafından bilinmeli ve anlaşılmalı
• Şirket personeli sosyal mühendislik riskine karşı zaman zaman test edilmeli
• Sistem giriş şifreleri hiçbir koşulda bir başkası ile paylaşılmamalı

Sadece e-ticarette değil, güvenlik gerektiren her uygulamada kimlik doğrulama önemli yere sahip. Karşılıklı güvenin sağlanması ve kimliklerin doğrulanması, bir takım uygulamalara ihtiyaç doğuruyor. Öncelikle, müşterilerinizin sitenizin başkaları tarafından görsel olarak kopyalanmış bir site olmadığından emin olmaları için dijital sertifika alması şart. Dijital sertifika güvenlik konusunda uzman ve e-ticaret sitesinin kimliğini doğrulayan aracılar tarafından sağlanıyor. www.globalsign.com.tr, www.verisign.com, www.thawte.com bu aracılardan bazıları olarak sıralabilir.

Adres çubuğunda üstte çıkan kilit işareti, sitenin kimliği doğrulanan gerçek site olduğunun işareti olarak görülebilir. Bu işarete tıkladığınız zaman sitenin kimlik bilgilerini ve hangi aracı tarafından bu bilgilerin doğrulandığını görebilirsiniz. İnternet siteniz üzerinden ticaret yapıyorsanız dijital sertifikanız mutlaka olmalı.

E-perakendecinin ödemeyi yapanın gerçekten kart sahibi olduğundan emin olması için ise 3D Secure kullanılıyor. Bu sistemde elektronik ödeme işlemi gerçekleşirken, banka tarafından bir kereye mahsus üretilen ve kart sahibinin çoğunlukla cep telefonuna gönderilen, ödeme şifresi soruluyor. Bu sayede kart sahibi ile ödemeyi yapan kişinin aynı kişi olduğu doğrulanıyor.