News
Lates Post

8 Tips Jitu Pastikan Keamanan e-Commerce saat Harbolnas

in

Maraknya tren belanja online saat Harbolnas mendorong kesadaran bagi perusahaan untuk meningkatkan keamanan e-commerce.  Seperti diketahui bahwa pesta belanja Harbolnas menjadi magnet bagi pelanggan untuk berbelanja, sehingga perusahaan tidak bisa menggap sepela faktor keamanan e-commerce.

Namun, di sisi lain situs e-commerce juga tak luput dari incaran serangan siber seperti serangan DDoS, phishing, dan pencurian data kartu kredit. Kejahatan siber  ini menjadikan keamanan e-commerce sebagai bagian penting yang harus dijaga.

Dalam artikel kali ini, BPT akan membahas secara mendalam mengenai tantangan keamanan e-commerce dan tips jitu untuk menghindarinya. Dengan memahami dan menerapkan tips ini, Anda dapat memberikan pengalaman belanja online yang lebih aman dan nyaman bagi pelanggan Anda. Selamat membaca!

 

e-Commerce dan Harbolnas

 

E-commerce kini telah menjadi bagian tak terpisahkan dalam kebiasaan belanja pengguna internet di Indonesia. Terlebih pada momen-momen khusus seperti pesta diskon pada  tanggal kembar setiap bulan dan Harbolnas (Hari Belanja Online Nasional) yang selalu dirayakan pada tanggal 12 Desember setiap tahun.

Berbanding terbalik dengan hari-hari biasa, e-commerce kerap menghadapi lonjakan drastis dalam transaksi pembelian saat Harbolnas. Oleh karena itu tidak mengherankan jika beberapa perusahaan e-commerce mengalami kesulitan dalam menangani  lonjakan traffic transaksi.

 

Mengapa e-Commerce Menjadi Sasaran Kejahatan Siber saat Harbolnas?

Selain harus menangani lonjakan traffic, e-commerce juga harus mewaspadai ancaman kejahatan siber saat pesta diskon Harbolnas. Ada beberapa faktor yang menjadikan e-commerce menjadi target utama kejahatan siber.

Banyaknya data pribadi, tingginya volume transaksi, hingga insentif keuangan yang disimpan membuat e-commerce kerap menjadi sasaran utama kejahatan siber. Tak hanya itu, tingginya transaksi dan traffic saat Harbolnas menjadikan e-commerce sebagai target yang sangat bernilai bagi penjahat siber.

Ke depannya, e-commerce diperkirakan akan menghadapi lebih banyak serangan siber. Hal itu karena hampir seperempat dari seluruh transaksi global diperkirakan dilakukan secara online pada 2025.

 

Jenis-jenis Serangan Siber yang Sering Terjadi

 

Setidaknya ada lima ancaman siber terbesar yang kerap menargetkan industri e-commerce. Mengutip Imperva, berikut jenis-jenis serangan siber tersebut.

 

1. Digital Skimming

Serangan digital skimming seperti Magecart, formjacking, dan teknik online skimming lainnya dapat memicu pelanggaran data jangka panjang dan berimbas serius pada bisnis. Serangan ini melibatkan penyuntikan JavaScript berbahaya ke dalam kode pihak pertama atau kode layanan third party yang digunakan di website sah.

Hanya dengan satu baris kode berbahaya seperti sniffer JavaScript saja sudah cukup untuk melakukan serangan. Mengingat JavaScript dijalankan dari sisi client, satu baris ini memungkinkan pelaku untuk mengumpulkan informasi sensitif lsngsung dari client, termasuk setiap kali customer memasukkan infomasi pribadi saat mengisi form online.

Bahkan jika Anda hanya memasukkan kode sederhana untuk analisis, kemungkinan secara tidak senagaja telah memasukkan muatan digital skiming ke website Anda. Digital skimming rentan menyerang bisnis yang sepenuhnya mengandalkan vendor third party untuk sebagian besar kode website mereka. Kerentanan supply chain website menjadi celah ideal bagi pelaku karena ada komponan yang memungkinkan mereka menjalankan serangan secara bersamaan di seluruh dunia.

Disi client atau front-end website mengacu pada tindakan yang terjadi di perangkat pengguna, bukan dari sisi server. Dengan begitu, ketika pengguna melakukan ativitas seperti mengisi formulir atau mengklik tombol tertentu di website, maka penyerang mulai mengeksploitasi skrip yang rentan untuk memasang skimmer online. Pelaku yang andal telah paham bahwa website bergantung pada supply chain code yang kerap menjadi blindspot bagi perusahaan.

JavaScript yang menjadi elemen dasar untuk 98,7 persen website modern menjadi resource paling populer untuk dieksploitasi oleh penyerang. Fleksibilitas JavaScript membuatnya mudah dimanipulasi dengan berbagai cara, sehingga menjadikannya vektor ideal untuk disalahgunakan.

Setelah berhasil disusupi, kode JavaScript yang tertanam dapat digunakan untuk memantau pergerakan aktivitas pengguna tanpa sepengetahuan mereka. Penyerang juga dapat melacak perilaku pengguna, sembari menginjeksi kode yang dapat mengeksploitasi browser, mencuri cookie, menyamar sebagai pengguna untuk melakukan aktivitas di website terpisah, dan lainnya.

 

2. Bad Bot

Bad bot merupakan software yang menjalankan tugas otomatis secara online untuk tujuat jahat. Serangan bad bot di situs ritel cenderung meningkat jelang musim liburan di mana banyak orang belanja kebutuhan.

Mengutip Imperva, sekitar 22,7 persen traffic ritel  selama setahun terakhir berasal dari bad bot, relatif lebih rendah dibandingkan tahun-tahun sebelumnya.  Online retailer justru alami volume traffic good bot yang lebih tinggi (20,9 persen) karena prevalensi diskon oleh search engine dan situs perbandingan harga.

Penurunan traffic bad bot kemungkinan terjadi karena penurunan volume transaksi belanja online dan lebih sedikit kasus launching produk dengan permintaan tinggi tetapi stok terbatas. Meskipun ada penurunan aktivitas bad bot, hal ini justru menjadi alarm mengingat kecanggihan bot tersebut. Semakin tinggi rasio advanced bad bot, maka makin kompleks permasalahannya dan semakin besar risikonya bagi perusahaan.

Lebih dari 50 persen bad bot  di situs ritel global  tahun lalu berasal dari advanced bad bot, meningkat tajam dari 31,1 persen pada 2022 dan 23,4 persen pada 2021. Berbeda dengan bad bot, advanced bad bot lebih sulit dideteksi dan dicegah serta mampu menghindari pertahanan dasar. Advanced bad bot juga lebih mungkin melancarkan serangan yang mengganggu dan melakukan penipuan online.

Meningkatnya serangan advanced bad bot memicu kekhawatiran karena kecanggihannya yang terus berkembang setiap tahun. Beberapa kasus penggunaan bad bot pada e-commerce mencakup perusahaan yang mengumpulkan data kompetitor, scalper yang menggunakan bot untuk memborong stok barang dengan menjualnya kembali dengan harga lebih tinggi, serangan DDoS, carding atau pembobolan kartu hingga pengambilalihan akun, dan bad bot yang merusak data analitik hingga memengaruhi strategi bisnis.

Bot Grinch merupakan salah satu variasi bot scalping yang dirancang untuk menyasar hadiah  incaran saat musim liburan dan kerap terjadi pada musim belanja liburan. Bot canggih ini digunakan untuk mengganggu aktivitas belanja liburan dan peluncuran produk yang banyak diincar dengan jumlah terbatas. Pada musim belanja liburan 2020 dan 2021, bot Grinch mengacaukan penjualan konsol game dan GPU generasi terbaru. Saat ini, fokus bot canggih ini beralih pada barang-barang kolektor dan branded.

 

3. Account Takeover

Account Takeover (ATO) merupakan bentuk pencurian identitas di mana pelaku mendapatkan akses tidak sah ke akun pengguna untuk mengeksploitasi atau mencuri kredensial. Saat masuk ke dalam akun, penyerang akan menyalahgunakannya dengan berbagai cara, mulai dari mencuri data sensitif hingga berbelanja secara membabi buta. ATO merupakan bentuk serangan yang lazim terjadi di e-Commerce karena saat mendapatkan akses ke akun pengguna, mereka dapat mengeksploitasi detail kartu kredit, poin loyalitas, kode hadiah, dan bentuk pembayaran lain.

Sistem pembayaran paylater yang meningkat 88 persen pada musim belanja liburan 2022 menjadi celah empuk bagi pelaku. Paylater memicu peningkatan serangan ATO, mengingat fleksibiltias yang memungkinkan seseorang melakukan transaksi palsu.

Imperva mencatat sepanjang musim belanja liburan 2022 ada peningkatkan aktivitas ATO. Serangan ATO meningkat 12 persen pada Oktober dan mencapai puncaknya pada Black Friday (25 November) mencapai 66 persen. Peningkatan serangan ATO bahkan terjadi sebulan jelang Black Friday yakni pada 26 Oktober di mana pengambilalihan akun meningkat 29 persen.

 

4. Distributed Denial-of-Services (DDoS)

Serangan DDoS ibarat mimpi buruk tak berujung yang terus mengintai ritel online. DDoS yang bertujuan membanjiri jaringan atau server e-commerce membuat pembeli sah tidak dapat mengakses aplikasi atau website untuk berbelanja. Saat serangan terjadi, e-commerce tidak dapat menangani transaksi yang sah sehingga layanan terganggu. Serangan DDoS kerap berasal dari botnet.

Industri e-commerce menjadi sasaran empuk DDoS karena pendapatannya diperkirakan mencapai US$6,3 triliun pada 2023, akibatnya jika terjadi downtime beberapa menti maka potensi kehilangan pendapatan sangat besar. Downtime yang terjadi tentu dapat berdampak pada reputasi perusahaan, terutama pada periode puncak belanja. Selain itu, serangan DDoS dapat digunakan sebagai taktik sabotase untuk mendorong pembeli berbelanja ke situs kompetitor.

Namun, sepanjang paruh pertama 2023 serangan DDoS mengalami pergeseran dengan fokus pada layer aplikasi (layer 7) yang volumenya meningkat sebesar 417 persen. Sejak 1 September, serangan DDoS pada layer aplikasi tercatat lebih tinggi dbandingkan periode yang sama pada 2022. Hal ini menunjukkan tren tahunan penjahat siber yang meningkatkan serangan seiring dengan dimulainya musim belanja liburan.

Imperva memantau serangan DDoS pada lapisan aplikasi dengan serangan berukuran kecil atau sedang mengalami peningkatan. Rata-rata serangan sebesar 10 Gbps dapat memicu downtime yang memengaruhi penjualan dan loyalitas pelanggan.

Meski begitu, rata-rata downtime yang dapat dihindari oleh e-commerce global pada 2022, yang dilindungi oleh Imperva DDoS Protection selama Cyber Week mencapai 17 jam (meningkat rata-rata empat jam dibandingkan 2021). Imperva berhasil mengurangi rata-rata downtime 341 jam per ritel selama musim belanja liburan (1 Oktober - 1 Desember).

 

5. Serangan API

Website dan Application Programming Interface (API) menjadi tulang punggung untuk operasional situs e-commerce. API memungkinkan pelanggan menelusuri produk, menambahkan ke keranjang dan wishlist, hingga melakukan transaksi pembelian. API memastikan integrasi antara berbagai komponen software dan database sehingga pemrosesan pembayaran, manajemen inventaris, dan integrasi third party berjalan lancar.

Ketergantungan industri pada integrasi third party inilah yang memicu penyalahgunaan API. Hal itu lantaran ritel kerap menyimpan data pembayaran dan pengguna dalam jumlah besar, sehingga koneksi API menjadi target untuk mengambil data tersebut. Rumitnya aplikasi dan web e-commerce memicu eksploitasi terhadap fungsi dan proses bisnis (Business Logic Attack/ BLA), bukan pada kerentanan teknisnya. BLA memanipulasi alur kerja, melewati langkah keamanan tradisional dan menyalahgunakan fitur sah untuk mendapatkan akses tidak sah sehingga memicu peringatan keamanan. Penyerang bahkan dapat mengeksploitasi logika bisnis ritel untuk memanipulasi harga atau mengakses produk yang dijual secara terbatas.

Evolusi belanja konsumen melalui berbagai perangkat pintar mendorong perusahaan e-commerce untuk memisahkan front-end dari back-end demi memastikan fungsionalitas yang konsisten di semua perangkat. Saat ini traffic API menyumbang 45,8 persen dari seluruh traffic ritel online, naik dari sebelumnya 41,6 persen tahun lalu.

Tahun lalu BLA menjadi serangan paling umum yang menimpa situs ritel, mengingat kerentanan logika bisnis pada aplikasi dan API. Untuk itu, pola serangan umum tidak ada yang memantau endpoint dan sulit menerapkan aturan umum demi memastikan peenrapan aplikasi dan API aman.

Pelanggaran API menjadi insiden keamanan yang paling umum terjadi pada situs API e-commerce, karena API digunakan dengan cara yang tidak semestinya. API digunakan untuk pengumpulan data, serangan ATO, atau menimbun inventaris. Padahal, situs e-commerce menangani volume traffic yang tinggi, mengelola data berharga, dan kerap terintegrasi dengan aplikasi pihak ketiga melalui API. Hal inilah yang menjadi metode serangan API pada e-commerce menarik bagi penjahat siber.

 

Baca Juga: Kebocoran Data 250 Juta Pemilih, Dijual Rp1,2 M! Cegah dengan Cara Ini

 

Tips Jaga Keamanan e-Commerce

Ada banyak referensi untuk memastikan transaksi belanja online saat Harbolnas dan musim liburan berjalan aman. Untuk menjawab pertanyaan tersebut, Imperva membagikan beberapa tips keamanan e-commerce berikut yang layak dipertimbangkan.

 

1. Bersiap Hadapi Lonjakan Traffic dan Berbagai Ancaman Siber

Pembeli kerap berbondong-bondo menanti beragam promo dan peluncuran produk baru saat pesta belanja online sehingga memicu lonjakan traffic yang berpotensi memicu downtime. Pertimbangkan untuk menerapkan sistem antrian ruang tunggu demi memastian kinerja situs dan aplikasi lancar serta pengalaman pelanggan berjalan baik. Meningkatnya kunjungan dan transaksi juga menjadi momen bagi penjahat siber untuk melancarkan serangan DDoS yang menyasar e-commerce. Pastikan Anda telah menguji performa infrastruktur secara teratur agar dapat menangani lonjakan traffic tinggi. Di samping itu, pastikan juga untuk melindungi semua sumber daya web, termasuk DNS dari serangan DDoS dan berbagai serangan siber lainnya. MItigasi serangan DDoS dengan solusi andal dan aplikasi firewall.

 

2. Prioritaskan Keamanan dari Sisi Client

Serangan Magecart yang memanfaatkan fleksibilitas JavaScript kerap disusupi untuk menyaring informasi sensitif dari formulir online seperti login dan checkout. Untuk memitigasi risiko ini, lakukan monitoring dan inventarisasi secara berkelanjutan terhadap semua layanan dari sisi client, tinjau layanan tersebut, dan pastikan hanya layanan resmi yang dapat dijalankan. Manfaatkan header HTTP Content-Security-Policy, pastikan untuk tetap hati-hati karena kemungkinan sulit diterapkan dan dipelihara di seluruh organisasi. PCI DSS 4.0 telah menambahkan dua persyaratan yang langsung mengatasi serangan sisi client, demi meningkatkan tanggung jawab bagi bisnis yang menerima atau memproses pembayaran online. Untuk memastikan keamanan dan kepatuhan maksimal terhadap persyaratan ini, gunakan tools khusus perlindungan dari sisi client yang dapat menyediakan inventarisasi dan pemantauan berkelanjutan, penilaian risiko, hingga pemblokiran layanan yang tidak diinginkan secara mudah hanya dengan satu klik.

 

3. Waspadai Serangan Botnet

Pelaku kejahatan kerap menggunakan bot untuk membeli sebanyak mungin barang diskon atau produk yang dijual dalam jumlah terbatas. Pastikan Anda memiliki kesiapan untuk menangani lonjakan traffic yang mungkin melibatkan bot. Pelaku akan mengotomatsasi untuk memborong produk, sementara pembeli yang sah tidak dapat bertransaksi. Di saat yang sama, traffic bot juga dapat menurunkan kinerja dan kemampuan analisis website.

 

4. Lindungi Akses dan Fungsi Website dari Bot dan Serangan API

Beberapa fungsi website e-commerce seperti login , kode promo, fitur hadiah, dan formulir checkout sangat mudah dieksploitasi oleh penjahat siber. Proses pembayaran menggunakan kartu kerap kerap mendapat serangan dari advanced bad bot yang mencoba menipu untuk memasukkan sejumlah uang ke dalam kartu. Pastikan fungsi-fungsi ini dilindungi dengan bagi dengan solusi mitigasi bot dan penerapan aturan yang lebih ketat.

 

5. Lindungi API dan Aplikasi Mobile

Sebagai saluran utama pertukaran data, API muncul sebagai vektor serangan yang dapat memperluas permukaan serangan yang meningkatkan risiko pada semua titik masuk ke website Anda. Sebagai tulang pungguna bisnis online, melindungi API dan aplikasi mobile sangat penting untuk investasi bisnis daa memberikan pengalaman berbelanja maksimal bagi pembeli.

 

6. Gunakan SSL dan Patuhi Standar Keamanan PCI DSS

Secure Socket Layers (SSL) dapat mengotentikasi website dan melindungi data, sementara PCI DSS merupakan standar keamanan sistem transaksi keuangan di situs e-commerce. Sertifikat SSL juga dapat memvalidasi pembayaran kartu kredit pada sebuah payment gateway sehingga dapat mencegah pembayaran palsu.

 

7. Terapkan Keamanan Berlapis

Pastikan password pengguna menggunakan jumlah karakter minimal, penggunaan kombinasi huruf kapital dan tanda baca, penerapan multi-factor authentication (MFA), sistem verifikasi alamat (AVS), dan sistem peringatan keamanan. Jika situs e-commerce Anda terintegrasi melalui API dengan pihak ketiga, gunakan perangkat untuk memverifikasi dan mengenkripsi setiap gerbang masuk. Waspadai pelanggaran data melalui serangan ATO dan pastikan Anda memiliki solusi mitigsi bot yang mampu mencegah upaya pengambilalihan akun. Kemampuan tersebut meliputi deteksi dan mitigasi serangan saat mengisi kredensial, membedakan upaya login berbahaya dan asli, hingga menemukan kredensial pengguna mana yang telah disusupi secara online.

 

8. Selangkah Lebih Canggih dari Penjahat Siber

Waspadai berbagai bentuk marketing campaign dan promo karena bisa saja disusupi phishing. Peringatkan pelanggan dan karyawan Anda untuk tetap mewaspadai dan mencurigai promosi apa pun yang mengatasnamakan e-commerce Anda. Pastikan juga perusahaan Anda telah menggunakan solusi yang dapat meningkatkan keamanan e-commerce seperti yang ditawarkan oleh Imperva.

Imperva menawarkan solusi lengkap dalam satu platform dari berbagai serangan siber seperti DDoS, bot, API, client-side, dan supply chain attack. Dapatkan kemampuan untuk merespons ancaman secara lebih cepat dengan kontrol mudah. Solusi Imperva juga menawarkan kemudahan deployment di mana pun untuk aplikasi berbasis cloud, hybrid, dan on-premises.

Imperva hadir dengan fitur unggulan berikut untuk pastikan keamanan e-commerce Anda:

  • Web Application Firewall: hentikan serangan dengan mendeteksi dan mencegah ancaman siber untuk memastikan perusahaan Anda terlindungi dari berbagai serangan terbaru hanya beberapa menit setelah serangan berhasil ditemukan.
  • Advanced Bot Protection: lindungi website, aplikasi mobile, dan API dari serangan otomatis tanpa memengaruhi traffic ke layanan e-commerce Anda.
  • API Security: dapatkan perlindungan berkelanjutan terhadap semua API menggunakan sistem penemuan mendalam dan klasifikasi data sensitif untuk mendeteksi semua API publik, private, dan shadow dengan penerapan model keamanan positif.
  • DDoS Security: amankan semua aset di edge dari ancaman serangan DDoS dengan jaminan uptime sehingga operasional bisnis berjalan tanpa kendala dan meminimalkan downtime.
  • Client-Side Protection: cegah penipuan supply chain dari serangan client-side seperti formjacking, digital skimming, dan Magecart.
  • Runtime Protection: Imperva Runtime Application Self-Protection (RASP) akan melindungi aplikasi Anda dari sisi luar dan dalam untuk mentransformasi sisi keamanan bisnis Anda.
  • Serverless Protection: temukan blindspot security pada infrastruktur serverless dan dapatkan visibilitas penuh serta upaya mitigasi otomatis.
  • Attack Analysis: deteksi serangan aplikasi dengan menerapkan Machine Learning dengan menyederhanakan analisis serangan dan domain expertise di seluruh stack keamanan aplikasi untuk mengungkap pola serangan.

 

Tingkatkan Keamanan e-Commerce Anda dengan Imperva dari BPT

Saatnya tingkatkan keamanan e-commerce Anda dari berbagai ancaman siber dengan solusi Imperva dari Blue Power Technology (BPT). Imperva dan BPT akan membantu perusahaan e-commerce dalam meningkatkan keamanan infrastruktur di lingkungan cloud, on-premises, dan hybrid.

BPT sebagai authorized advanced partner Imperva didukung tim IT profesional dan bersertifikat untuk membantu Anda terhindar dari trial and error mulai dari tahap konsultasi hingga dukungan after sales. Pastikan perusahaan e-commerce Anda memiliki keamanan to the next level dengan dapatkan bantuan dan info lebih lanjut mengenai Imperva dengan menghubungi link berikut.

 

Penulis: Ervina Anggraini - Content Writer CTI Group

 

//