Nätattacker mot banker och bankkonton brukar uppmärksammas stort medan den ständiga katt och råttaleken mellan nätbedragare och webbhandlare sällan får stort utrymme.
– Det är vanligt att angripare försöker manipulera webbutiker. Vi har exempelvis gjort tester på e-handlare där vi hittat brister som gjort det möjligt att hoppa över betalningssteget och få varor hemskickade utan att betala, säger Martin Gustafsson, it-säkerhetsspecialist på Iguard med ett förflutet på FRA.
Mindre e-butiker brukar anlita webbhotell för att driva tjänsterna och här gäller det att göra en ordentlig kontroll för att garantera rätt typ av konfigurering används.
Ett vanligt misstag som Martin Gustafsson stött på är att databasen placerats i samma system som webbservern. Det kan innebära att angriparen efter en lyckad attack på ett webbhotell kan komma åt konton hos en rad av hotellets kunder.
– Sql-server och webbserver i samma system rekommenderas inte. Lyckas man hacka webbhotellet är det inte så svårt att gå vidare från en kund till en annan, säger Martin Gustafsson.
Hans råd till den som ska etablera en webbutik är att ta hjälp av experter som kan göra penetrationstester.
– Om du inte köper en färdigpaketerad webbshop kan webbhotellet normalt sett inte ta ansvar för den här typen av manipulationsförsök.
Även Viiveke Fåk, biträdande professor vid Linköpings universitet, betonar vikten av att satsa på åtskilda system.
– Brandväggar till webbdelen måste självfallet vara mycket tillåtande medan den interna delen oftast inte alls ska tolerera anrop från okända. Det är lätt för säkerhetsokunniga att missa hur man sätter upp en säker betalningskedja, fast det i grunden är enkelt. Allt som passerar genom osäkrade delar och delar som du själv inte råder över måste vara obrutet signerat eller på annat sätt skyddat för ändring från transaktionens början till dess avslut, oberoende av vad som hänt mellan dessa två punkter.
De stora webbhandlarna driver oftast butiken själv och köper sedan bara plats i en datahall. Ett exempel är Dustin. E-handelschefen Pouria Loghmani säger att nätverket är väldigt stängt i produktionsmiljön.
– Allt är låst tills vi ber om att få en port öppnad. Vi har separerat tjänster som webbservrar och databasservrar så att de ligger på olika maskiner och i olika nät. Dessutom genomför vi penetrationstester via externa verktyg och beställer kodinspektioner som leds av externa bolag för att säkerställa att vi inte missat något.
Dustin anammar moderna programmeringstekniker och väljer etablerade ramverk för att skydda sig.
– I slutändan gäller det att utbilda personalen i att vara medveten om sårbarheter och ha förståelse om vad som kan utnyttjas.
3-D Secure är en säkerhetsstandard från banker och kortutgivare där kort liksom kortinnehavare blir verifierade. Visa erbjuder Verified by Visa och Mastercard motsvarande i Securecode som ger ökade garantier för handlare.
Payex säkerhetssatsning heter Anti Fraud med möjlighet att sätta upp olika regeluppsättningar som kan användas på alla transaktioner baserat på parametrarna kortnummer eller belopp.
