روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛   بر اساس داده‌های مؤسسه Juniper Research، گردش مالی جهانی تجارت الکترونیک در سال ۲۰۲۴ از ۷ تریلیون دلار فراتر رفت و انتظار می‌رود طی پنج سال آینده ۱.۵ برابر رشد کند. اما توجه مجرمان سایبری به این حوزه با سرعت بیشتری در حال افزایش است. سال گذشته، زیان‌های ناشی از کلاهبرداری از ۴۴ میلیارد دلار عبور کرد و پیش‌بینی می‌شود طی پنج سال آینده به ۱۰۷ میلیارد دلار برسد.

هر پلت فرم آنلاین — بدون توجه به اندازه یا حوزه فعالیت — می‌تواند هدف حملات قرار گیرد؛ چه بازار محتوای دیجیتال باشد، چه فروشگاه سخت‌افزار، آژانس مسافرتی یا حتی وب‌سایت یک پارک آبی. اگر امکان پرداخت، برنامه وفاداری یا ایجاد حساب کاربری را فراهم کرده باشید، مطمئن باشید که کلاهبرداران در کمین هستند. اما کدام شیوه‌های حمله رایج‌ترند، چه خساراتی به همراه دارند و چگونه می‌توان جلوی آن‌ها را گرفت؟ با ما همراه باشید.

سرقت حساب کاربری
با استفاده از ابزارهای سرقت اطلاعات و افشای پایگاه‌های داده مختلف، مهاجمان به میلیاردها ترکیب ایمیل و گذرواژه دسترسی دارند که در سایت‌های گوناگون مورد استفاده قرار گرفته‌اند. آن‌ها این ترکیب‌ها را در سایت‌های دیگر امتحان می‌کنند، چرا که بسیاری از کاربران از یک گذرواژه برای چندین سرویس استفاده می‌کنند. این روش حمله به نام «استافینگ اطلاعات کاربری» شناخته می‌شود. اگر موفق باشد، مهاجم می‌تواند با استفاده از کارت بانکی متصل به حساب قربانی سفارش ثبت کند یا امتیازهای وفاداری او را خرج کند. همچنین ممکن است از این حساب‌ها برای انجام پرداخت‌های جعلی با کارت‌های اعتباری دیگر استفاده شود.

آزمایش کارت‌های سرقتی
مشابه با داده‌های ورود به حساب‌ها، مهاجمان ممکن است فهرستی از اطلاعات کارت‌های اعتباری سرقت‌شده را که با بدافزار جمع‌آوری شده‌اند در اختیار داشته باشند. آن‌ها برای بررسی اعتبار این کارت‌ها و اینکه آیا هنوز می‌توان با آن‌ها پرداخت آنلاین انجام داد یا نه، از فروشگاه‌های آنلاین استفاده می‌کنند. این «خریدهای آزمایشی» معمولاً با مبالغ بسیار کم انجام می‌شود. کارت‌هایی که هنوز فعال‌اند، سپس به مجرمان دیگر فروخته می‌شوند تا موجودی آن‌ها به روش‌های مختلف تخلیه شود. از دیدگاه فروشگاه، این حملات به صورت خرید تعداد زیادی کالای ارزان‌قیمت توسط یک کاربر، و تلاش‌های مکرر برای پرداخت با کارت‌های مختلف دیده می‌شود. حتی فروشگاه‌های کوچک ممکن است با صدها سبد خرید نیمه‌کاره مواجه شوند. در نهایت، درگاه پرداخت ممکن است به دلیل تعداد بالای تراکنش ناموفق، فروشگاه را مسدود کند.

کلاهبرداری مشتریان
در برخی موارد، مشتری واقعی خریدی را انجام می‌دهد، اما بعداً به بانک اطلاع می‌دهد که چنین تراکنشی انجام نداده و درخواست بازپرداخت می‌کند. این اقدام می‌تواند نوعی کلاهبرداری عمدی باشد یا نتیجه استفاده ناخواسته اعضای خانواده از کارت یکدیگر — برای مثال، فرزندی که بدون اجازه از کارت والدین استفاده کرده است. اگرچه چنین مواردی معمولاً کوچک هستند، اما می‌توانند آسیب‌زا باشند — به‌ویژه اگر فروشگاه در جوامع اینترنتی به عنوان سایتی که به‌راحتی پول را پس می‌دهد شناخته شود.

خریدهای جعلی
با توجه به نوع فعالیت، موقعیت جغرافیایی و دیگر عوامل، مجرمان ممکن است با استفاده از کارت‌های اعتباری دزدیده‌شده اقدام به «نقد کردن» از طریق خرید کالا یا خدمات کنند. این روند می‌تواند باعث هجوم سفارش‌ها و در پی آن، انبوهی از اعتراض‌ها و لغو تراکنش‌ها شود. در برخی موارد شدید، حجم حملات خود به یک تهدید تبدیل می‌شود — یک فروشگاه با ۱۱۸٬۰۰۰ سفارش جعلی روبه‌رو شد، که مجرمان هر سه ثانیه یک بار سفارشی جعلی ثبت می‌کردند.

حملات به کارت‌های هدیه
اگر فروشگاه شما از کارت هدیه پشتیبانی می‌کند، ربات‌ها ممکن است با امتحان کردن هزاران شماره کارت و کد تأیید، سعی در شناسایی کارت‌های معتبر داشته باشند. این کارت‌ها پس از شناسایی، یا برای خرید استفاده می‌شوند یا در بازارهای غیررسمی به فروش می‌رسند.

سرقت امتیازهای وفاداری
در صورتی که سیستم وفاداری فروشگاه شما امکان خرید با امتیاز را بدون نیاز به احراز هویت اضافی (مانند کد پیامکی) فراهم کند، مهاجمان می‌توانند حساب‌هایی که به آن‌ها دسترسی یافته‌اند را به سرعت تخلیه کنند. در برخی موارد، آن‌ها صبر می‌کنند تا امتیاز بیشتری در حساب قربانی جمع شود. این سناریو معمولاً در فروشگاه‌هایی که کالاهای گران‌قیمت می‌فروشند و مشتریان وفادار زیادی دارند رخ می‌دهد.

ربودن محصولات خاص و محدود
اگر فروشگاه شما بلیت کنسرت‌های پرفروش یا کفش‌های محدود و کمیاب عرضه می‌کند، باید منتظر حملات «اسکالپرها» باشید. ربات‌های اسکالپر می‌توانند تمامی موجودی این محصولات را در عرض چند دقیقه خریداری کنند و باعث نارضایتی شدید مشتریان واقعی شوند. بازار سیاه فعالی برای ربات‌هایی که برای پلت‌فرم‌های رایج مانند Shopify طراحی شده‌اند، وجود دارد.

ایجاد انبوه حساب‌های کاربری
برای اجرای موفقیت‌آمیز روش‌های کلاهبرداری ذکرشده، مهاجمان معمولاً صدها یا هزاران حساب کاربری در فروشگاه شما ایجاد می‌کنند. این اقدام هزینه‌های عملیاتی شما را افزایش می‌دهد — برای مثال، از طریق ارسال پیامک خوش‌آمدگویی یا فعال‌سازی کمپین‌های ایمیلی خودکار.

زیان‌های مستقیم و غیرمستقیم برای کسب‌وکار

حتی اگر شما یا مشتریانتان متحمل ضرر مالی مستقیم یا از دست دادن کالا نشوید، هریک از این روش‌های کلاهبرداری می‌توانند مشکلات و هزینه‌های زیادی به همراه داشته باشند:

هزینه‌های تراکنش‌های جعلی و پرداخت‌های ناموفق مکرر
بسته به شرایط و توافق با درگاه پرداخت، ممکن است مجبور به پرداخت کارمزد تراکنش، جریمه‌های بازپرداخت و هزینه‌های دیگر شوید. همچنین احتمال دارد از سقف مجاز تراکنش عبور کرده و موقتاً دسترسی‌تان به درگاه پرداخت قطع شود — که عملاً فعالیت فروشگاه را مختل می‌کند.

هزینه تبلیغات و تحلیل‌های مخدوش‌شده
ربات‌ها اغلب از طریق لینک‌های ارجاعی، تبلیغات کلیکی و سایر کانال‌های تبلیغات آنلاین وارد سایت می‌شوند. این یعنی بخشی از بودجه تبلیغاتی‌تان صرف جذب کاربران جعلی می‌شود. حتی اگر این ربات‌ها مستقیماً بودجه شما را مصرف نکنند، فعالیتشان الگوریتم‌های پلتفرم‌های تبلیغاتی را مختل کرده و باعث جذب ترافیک کم‌کیفیت به سایت می‌شود.

هزینه‌های کمپین‌های بازاریابی و پروموشن‌هایی که مورد سوءاستفاده قرار می‌گیرند
کاربران واقعی ممکن است با ایجاد حساب‌های جدید، از مزایای ثبت‌نام اولیه سوءاستفاده کنند. کلاهبرداران نیز به دنبال راه‌هایی برای بهره‌برداری گسترده از این امتیازها هستند. در نتیجه، بودجه بازاریابی که برای جذب و حفظ مشتری اختصاص یافته، عملاً هدر می‌رود.

برنامه‌ریزی نادرست
سفارش‌های جعلی فراوان ممکن است به‌سختی از داده‌های تحلیلی جدا شوند — به‌ویژه اگر به ابزارهای پیش‌فرض پلت‌فرم فروشگاه اکتفا کرده باشید. در نتیجه، پیش‌بینی تقاضا و مدیریت موجودی دشوارتر می‌شود.

اتلاف وقت
مدیریت صدها سبد خرید رهاشده، هزاران حساب جعلی و تلاش‌های بی‌نتیجه برای پرداخت، زمان و انرژی کارکنان شما را می‌گیرد و موجب تأخیرهای عملیاتی و زیان‌های جانبی می‌شود.

نارضایتی مشتریان
بسته به نوع حمله، مشتریان ممکن است متحمل ضرر مستقیم (سرقت پول، تخلیه امتیاز، فعالیت مشکوک در حساب) یا مزاحمت‌های غیرمستقیم (کمبود کالا، شکست در پرداخت) شوند. در هر صورت، تیم‌های پشتیبانی و بازاریابی باید پاسخگو باشند — با ارائه تخفیف، غرامت و غیره. با این حال، بسیاری از مشتریان ممکن است برای همیشه فروشگاه را ترک کنند. جای تعجب نیست که طبق برخی برآوردها، در برابر هر ۱۰۰ دلار سفارش جعلی، کسب‌وکارها به‌طور متوسط بیش از دو برابر آن را در قالب هزینه‌های جانبی از دست می‌دهند.

راهکار امنیتی

دورانی که می‌شد با فیلتر کردن IP یا اضافه کردن کپچا در مرحله پرداخت جلوی ربات‌ها را گرفت، گذشته است. رشد فناوری هوش مصنوعی نه‌تنها بازاریابی و پشتیبانی مشتری را متحول کرده، بلکه نسل جدیدی از ربات‌های کلاهبردار را به وجود آورده که به‌راحتی از سد روش‌های امنیتی سنتی عبور می‌کنند. به همین دلیل، کسب‌وکارهای آنلاین — صرف‌نظر از اندازه — نیازمند راهکارهای امنیتی نسل جدید هستند که بتوانند هر نشست کاربری را از لحظه ورود به سایت تا مرحله پرداخت زیر نظر داشته باشند. این نوع حفاظت مداوم، در شناسایی به‌موقع رفتارهای غیرعادی مؤثر است؛ چه یک حساب کاربری در معرض خطر باشد، چه سوءاستفاده از API پرداخت، ایجاد انبوه حساب‌های جعلی یا تلاش برای دور زدن تدابیر امنیتی. یکی از راهکارهای پیشرو در این حوزه، Kaspersky Fraud Prevention است. این راهکار با تحلیل لحظه‌ای دستگاه کاربر، رفتار، محیط کاربری و فراداده‌ها، یک پروفایل از کاربر واقعی ایجاد کرده و به‌سرعت ناهنجاری‌ها را شناسایی می‌کند تا از حملات و کلاهبرداری جلوگیری شود. این سیستم به‌گونه‌ای طراحی شده که با استفاده از قوانین قابل تنظیم — بر پایه داده‌های فروشگاه شما و تحلیل‌های جهانی — بتواند به نیازهای خاص هر کسب‌وکار پاسخ دهد. همچنین نیازی به نصب نرم‌افزار در دستگاه کاربر ندارد و به‌سادگی در وب‌سایت یا اپلیکیشن موبایل شما قابل پیاده‌سازی است.

بسیاری از صاحبان فروشگاه‌های آنلاین گزارش داده‌اند که استفاده از تحلیل‌های پیشرفته ضدکلاهبرداری، تجربه کاربری را نیز بهبود داده است — چرا که کاربران واقعی کمتر با کپچا، احراز هویت پیامکی و سایر عوامل مزاحم مواجه می‌شوند. در نتیجه، کسب‌وکار شما با کاهش زیان‌های ناشی از کلاهبرداری، می‌تواند تمرکز بیشتری بر توسعه محصولات و خدمات داشته باشد.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.