Druga połowa sierpnia to okres, w którym sklepy wyprzedają letnie kolekcje, oferując zniżki na poziomie 70%. Coraz większa część tych zakupów odbywa się w Internecie. Szacowana wartość rynku e-commerce B2C, czyli skierowanego do klienta końcowego, to aż 154 mld zł. Rosnąca liczba transakcji online to jednak także więcej możliwości ataków ze strony cyberprzestępców – zwłaszcza, że atrakcyjne oferty usypiają czujność klientów. Coraz częściej jednak w czuwaniu nad bezpieczeństwem zakupów pomagają algorytmy sztucznej inteligencji.
Niemal dwie trzecie Polaków deklaruje, że kupiło coś przez Internet w ciągu ostatniego miesiąca. E-zakupy to nie tylko transfer pieniądza. Branża e-commerce charakteryzuje się też dużym natężeniem komunikacji między usługodawcą a klientem, a to kolejne punkty potencjalnego cyberataku. – Hakerzy mogą wykorzystać nie tylko sam moment zakupu czy przekierowania do bramki płatności. Każdy element komunikacji ze sklepem internetowym: potwierdzenie zamówienia, kolejna atrakcyjna oferta, dokumenty sprzedaży, mogą zostać wykorzystane przez cyberprzestępców. Atak może przybrać różne formy – od prostego wyłudzania danych logowania do sklepów po próby przechwycenia informacji umożliwiających uzyskanie dostępu do kont bankowych – podkreśla Michał Szymczyk, Senior Data Scientist w firmie WithSecure.
SI sprawdzi załączniki…
W przypadku zakupów online komunikacja odbywa się z reguły za pomocą poczty elektronicznej. Wykorzystywany obecnie protokół przesyłania e-maili został stworzony w latach 80. i nie ma wbudowanego mechanizmu, który pozwalałby ustalić, czy nadawcą jest faktycznie osoba widniejąca w nagłówku wiadomości. Atakujący często to wykorzystują. Podszywają się pod platformy zakupowe i nakłaniają użytkownika do kliknięcia w link, który prowadzi do fałszywej strony sklepu lub podstawionej bramki płatności. Czasami wiadomości zawierają załącznik ze złośliwym kodem służącym do wykradania poufnych informacji. – Jedną z bardziej znanych technik hakerów jest stosowanie podwójnych rozszerzeń w plikach dołączanych do e-maili, np. Faktura.pdf.exe. System operacyjny Windows często ukrywa w podglądzie wiadomości rozszerzenie pliku, więc użytkownik będzie widział ten plik jako faktura.pdf, a po kliknięciu może uruchomić złośliwy program, który zainfekuje jego komputer – tłumaczy Szymczyk.
Załączniki dodane do korespondencji lub przesłane do odbiorcy np. w formie linka mogą być analizowane przez specjalne algorytmy sztucznej inteligencji. W trakcie nauki takie modele „oglądają” setki tysięcy plików, zarówno złośliwych, jak i nieszkodliwych. Korzystając z tej wiedzy, algorytm może podjąć decyzję, czy dany plik jest niebezpieczny i poinformować o tym użytkownika. Metoda ta może być stosowana zarówno w pakiecie Office, jak i plikach zawierających programy komputerowe. Takie rozwiązania są dostępne na rynku. Skanowanie plików z zastosowaniem mechanizmów sztucznej inteligencji jest np. elementem platformy WithSecure dla klienta biznesowego.
…i wykryje nietypowe zachowanie klienta
Algorytmy sztucznej inteligencji mogą wykryć transakcje niepasujące do tych wcześniej zawartych przez danego klienta. Są też w stanie identyfikować potencjalnie fałszywych klientów lub sprzedawców, których zachowanie znacząco odbiega od reszty użytkowników platformy zakupowej. Do stworzenia takich narzędzi konieczna jest duża ilość danych przedstawiających „normalne” zachowania. Następnie algorytm uczy się identyfikować wzorce. Dzięki temu jest w stanie rozpoznać elementy które wykraczają poza normy, i rozpoznać anomalie.
Weryfikacja tożsamości użytkownika jest możliwa na podstawie jego zachowań w trakcie logowania. Algorytmy analizują np. prędkość z jaką wpisuje hasło, a także interakcje ze stroną internetową. W tym drugim przypadku sprawdzają np. ruchy myszką, prędkość przewijania stron czy szybkość wprowadzania teksu. Tak zgromadzone dane pozwalają stworzyć model, którego zadaniem jest wspomaganie identyfikacji użytkownika.
– Weryfikacja behawioralna, czyli bazująca na zachowaniach użytkownika, jest dzisiaj wykorzystywana głównie w sektorze bankowym. Biorąc pod uwagę szybki rozwój SI, możemy spodziewać się szerszego zastosowania tej metody również w branży e-commerce. Coraz więcej sklepów internetowych zdaje sobie sprawę, że bezpieczeństwo klientów musi być traktowane priorytetowo. Dzięki mądremu wykorzystaniu sztucznej inteligencji zakupy online mogą być bardziej bezpieczne – również w okresie wyprzedaży i wzmożonego ruchu na stronach sklepów – dodaje ekspert WithSecure.
Źródła:
Dekada_polskiego-e-commerce_Raport_e-Izby_2023 (eizba.pl)
Korzystanie z Internetu 2023. Raport z badań CBOS.