Terwijl online shoppers klikken, zijn het dieven die verzamelen

Door Danny Bradbury • 10 May 2023

E-commerce is booming, net als de cyberaanvallen waar retailers en klanten last van hebben. Naarmate de digitale e-commercetransacties groeien, is de race losgebarsten voor fintech-oplossingen die kunnen helpen de stroom van klantgegevens (en contant geld) naar online aanvallers op gang te brengen.

De e-commerce explodeerde tijdens de pandemie, toen iedereen gedwongen werd om vanuit huis te winkelen. Zelfs nu de noodtoestand is geluwd, blijven de online verkopen stijgen. E-marketeer voorspelt een groei van 4.2 biljoen dollar in de wereldwijde online verkopen in 2020 naar 7.4 biljoen dollar in 2025. De omzet uit e-commerce als percentage van de totale detailhandelsomzet zal ook groeien van 17.9% in 2020 naar 23.6% in 2025, voegt het eraan toe.

Een opkomend tij van veiligheidsbedreigingen

Naarmate e-commerce groeit, nemen ook de cyberveiligheidsrisico's waarmee het wordt geconfronteerd toe. Imperva's staat van veiligheid binnen e-commerce 2022 klanttevredenheid verschillende online bedreigingen gevonden die gericht waren op e-commerceleveranciers.

Een van de meest voorkomende soorten aanvallen op e-commercesites is het kapen van accounts. Uit het onderzoek van Imperva blijkt dat pogingen om klantaccounts over te nemen verantwoordelijk zijn voor 22.6% van alle logins op winkelsites – bijna het dubbele van het aandeel in alle sectoren. Steeds meer online retailers bieden buy-now-pay-later (BNPL)-diensten aan, wat een nieuwe fraudemogelijkheid biedt voor accountkapers.

Criminelen automatiseren hun aanvallen op e-commercewebsites vaak. Ze kunnen credential stuffing-aanvallen uitvoeren voor accountovernames, maar ook aankopen automatiseren om gewilde voorraad op te zuigen die scalpers later voor grote winsten kunnen verkopen. Volgens het Imperva-rapport zijn kwaadaardige bots verantwoordelijk voor iets minder dan een kwart van het verkeer naar e-commercesites in de detailhandel.

Volgens Imperva behoorden aanvallen aan de clientzijde tot de grootste risico's voor e-commerceaanbieders. Deze aanvallen, die worden gekenmerkt door groepen als Magecart, voegen kwaadaardig JavaScript in gecompromitteerde webpagina's in. Detailhandelaren zijn de op twee na grootste kans om JavaScript op hun websites op te nemen, waarvan de meeste scripts van derden zijn. Deze scripts scannen creditcardgegevens wanneer klanten een bestelling plaatsen.

In plaats van gegevens te stelen, maken sommige cyberaanvallen het eenvoudigweg moeilijk voor e-commercesites om te functioneren. Imperva zei dat e-commerceretailers verantwoordelijk waren voor ongeveer één op de twintig van alle gedistribueerde denial-of-service (DDoS)-aanvallen, wat een relatief klein aantal is vergeleken met de financiële dienstverlening (20%). Niettemin is het nog steeds een zorg voor e-commerceretailers die geld verliezen voor elke minuut downtime.

Regulatie

We kunnen aan deze digitale risico’s nog een bedrijfsrisico toevoegen: regelgeving. De handhaving van essentiële cyberbeveiligings- en privacypraktijken in de e-commerce valt onder een lappendeken van federale wetten die een aantal cyberbeveiligingsbeschermingen omvatten. Ook al heeft het Amerikaanse Congres nog geen duidelijk standpunt ingenomen over gerichte wetten om de veiligheid van e-commerce af te dwingen, er zijn regels die overtreden moeten worden.

E-commercebedrijven vallen onder de Federal Trade Commission Act (FTCA), die aanklagers kunnen gebruiken om bedrijven te straffen die hun cyberbeveiliging niet goed beheren. E-commercebedrijven die verkeerd omgaan met hun cyberbeveiliging kunnen ook de Children's Online Privacy Protection Act schenden.

Er zijn ook staatswetten die van toepassing zijn op fintechs en, in sommige gevallen, op de retailers die hun diensten gebruiken. De California Consumer Protection Act (CCPA) en de opvolger daarvan, de California Privacy Rights Act, hebben bijvoorbeeld betrekking op bedrijven van een bepaalde omvang die consumentengegevens verzamelen en gebruiken, waaronder e-commerceleveranciers. Virginia en Colorado hebben ook hun eigen wetgeving inzake de bescherming van consumentengegevens geïmplementeerd, bij gebrek aan een gelijkwaardige federale wetgeving.

De betalingssector heeft ook enkele eigen regels. Eén is de PCI-gegevensbeveiligingsstandaard (PCI DSS) van de PCI Security Standards Council. Deze specificatie gaat gedetailleerd in op de noodzakelijke veiligheidsmaatregelen voor het beschermen van de gegevens van creditcardhouders. Het niet naleven ervan kan resulteren in boetes van $5,000 tot $100,000 voor elke maand van niet-naleving, afhankelijk van de grootte van het bedrijf en de omvang van de overtreding.

De Raad gepubliceerde de nieuwste versie van de standaard, 4.0, in maart 2022. Deze omvat meer controles om online creditcardgegevens te beschermen, waaronder het verplicht stellen van multi-faction authenticatie (MFA) voor toegang tot kaarthoudergegevens en het gebruik van gerichte risicoanalyses om cyberbeveiligingsmaatregelen op maat te maken voor specifieke bedrijven. Het pakte ook de Magecart-dreiging aan met richtlijnen voor het beheren van betalingsscripts die sites laden en uitvoeren in de browser van de consument.

Een grotere focus op fintech op het gebied van cyberbeveiliging

Fintech is een spil in de beveiliging van e-commerce. Fintech is ontstaan om snelheid en efficiëntie te stimuleren in financiële workflows zoals leningaanvragen en betalingen. E-commercebedrijven gebruiken fintech-diensten om te helpen bij hun eigen efficiëntie- en cyberveiligheidsproblemen. Fintech-bedrijven kunnen de wrijving bij het aanvragen van krediet bij een e-commerceleverancier verminderen. Ze kunnen betalingen stroomlijnen en versnellen en gegevensanalyse en het opzoeken van gegevens gebruiken om fraude op te sporen en te voorkomen.

De race is begonnen om fintech-oplossingen te vinden die kunnen helpen de veiligheid van e-commercebedrijven en andere partners te vergroten. KPMG's polsslag van Fintech verslag voor de tweede helft van 2022 hield zich bezig met fintech-investeringen op het gebied van cyberbeveiliging en naleving van de regelgeving.

Nu e-commerce een steeds groter deel van de retailomzet zal gaan veroveren, zullen retailers worden beoordeeld op hun vermogen om online met klanten te communiceren en hun gegevens adequaat te beschermen. Geen wonder dat de focus zich verschuift naar fintech, die kan helpen fraude te bestrijden en ervoor te zorgen dat alleen legitieme transacties doorkomen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury