ـــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــــ

التسويق الإلكتروني الآمن

نظرة عامة عن التسوق الإلكتروني الآمن:

انتقل التسوق من مفهوم الذهاب إلى احد الأسواق وتبحث عن مستلزماتك وما تريده  في عصرنا الحالي الى مفهوم جديد, لم يستبعد نظريات التسويق التقليدية إنما طورتها و أصبحت تواكب التكنولوجيا الرقمية  بمفهوم "التسوق الإلكتروني".
"كشفت إحصائيات حول التسوق عبر شبكة الانترنت إلى إتمام أكثر من 20 ألف عملية تسوق الكتروني شهريا من قبل المستخدمين في المملكة العربية السعودية" [4]مما توضح أهميته  وذلك لما يقدمه من حفاظ   للوقت. أصبح بإمكانه اختيار ما يشاء من البضائع في أسرع ما يمكن ،تقريبه للمسافات  فبدلا من الذهاب للمتجر بقضاء مستلزماته وشراء حاجاته  ، أصبح قادرا على التسوق وهو في مكتبه لتصل إليه في اقل وقت وبأسهل طريقة، حيث أصبحت عادة شراء المنتجات المختلفة عبر الإنترنت بالقطعة الواحدة من أكثر عادات مستخدمي الشبكة. من أهم تطبيقات التسوق الإلكتروني  هي المصرف الإلكتروني و المزادات الإلكترونية  والأسواق الإلكترونية وخدمات السفر والسياحة .
المقدمة:
صاحب ظهور عملية التسوق الالكتروني "هي عملية البيع والشراء أو التبادل للمنتجات والخدمات والمعلومات عبر الشبكات الحاسوبية بما فيها الإنترنت و تستخدم للتعبير عن مجموعة من التقنيات المتاحة لنقل المعلومات إلكترونياً بهدف التجارة" [2]. عدد كبير من الهجوم ضد التسوق اما باستخدام نقاط ضعف أساسية في التسوق الإلكتروني أو باستخدام الثغرات الأمنية في المواقع بشكل عام .
يعتمد نظام امن المعلومات  في التقنية والبرامج بشكل عام التي من ضمنها التسوق الإلكتروني الى ثلاثة مفاهيم الأول ضمان سرية معلومات المتسوق و المعلومات الحساسة((Confidentiality , الثاني ضمان سلامة المعلومات من  التعديل عليها من قبل الغير مصرح لهم (integrity )  , الثالث توفير المعلومات  للمتسوقين حسب احتياجاتهم بحيث لا يتضرر نظام الأمن في التسوق الإلكتروني(Availability ) .
نظام التسوق الإلكتروني الآمن يتأثر بعدة أشخاص موضحين في الصورة أدناه وهم
1- المتسوق(Shopper) : هو الذي يتصفح الموقع ويقوم بعملية التسجيل في نظام التسوق الإلكتروني  وعرض الكتالوج و يقوم بعملية الشراء  بواسطة بطاقة الائتمان
2-بائع البرمجيات(Software Vendor ) : هو الذي قام بعمل نظام التسوق الالكتروني وبرمجته
3- المهاجم (Cracker) : هو الذي يهدف الى تحقيق مكاسب من خلال استغلال الآخرين . او قد يكون هدفه التخريب .
 
 Influential_figures_in_the_system_of_E-commerce
الصورة 1 : الشخصيات المؤثرة في نظام التسوق الإلكتروني
فهذه المقالة توضح المخاطر التي سببت في انتشار  ظاهرة الخوف من التسوق الإلكتروني  وكيفية  التسوق الكترونياً على أحسن وجه وإيجاد حلول لهذه المخاطر لنتمتع بتسوق الكتروني آمن . 
المخاطر التي تواجه التسوق الالكتروني
Risks_faced_by_e-shopping
الصورة  2: المخاطر التي تواجه التسوق الإلكتروني
قد يكون التعقيد و كثرة المتطلبات في عملية التسوق الالكتروني أدى إلى  برمجة الموقع بطريقة  معقدة  قد يحدد بزمن معين  وبسبب الانتقال السريع إلى عالم التسوق الالكتروني وإلزام المبرمج في إنهائه بوقت قصير  قد يغفل المبرمج عن ثغرات أمنية كثيرة .
مهاجمة خادم التسوق الإلكتروني :
1- مزود الحقن SQL Injection
قد يتمكن المهاجم الدخول إلى النظام دون الحاجة لعملية تسجيل الدخول ويتمكن من الإطلاع  على قاعدة البيانات بما فيها من معلومات سرية  او التلاعب فيها .
2- التلاعب بالأسعار .
تظهر هذة الثغرة الأمنية في التسوق الإلكتروني فقط  وهي ان يقوم المهاجم با إظهار سعر مختلف للمتسوق وذلك عن طريق استخدامه لبرنامج Achilles  حيث يقوم بتعديل السعر من متصفح المستخدم الى خادم الموقع نفسه. .
3- تعدي حجم الذاكرة المخصصة (buffer overflow  )
قد يتمكن المهاجم من الدخول إلى النظام باستخدام ثغرات أمنية في تخصيص التخزين في الذاكرة . يعمل على برمجتها المهاجم نفسه .
مهاجمة المتسوق :

1- خداع المتسوق (social Engineering): 

وهي أسهل طرق المهاجمة فيقوم المهاجم بالبحث عن كيفية استرجاع الرمز السري في هذا الموقع ويستخدم هذه المعلومات في خداع المتسوق فمثلا  عندما يوفر الموقع امكانية استرجاع الرمز السري عن طريق مكان ميلاد الجد يسأل المهاجم عن مكان ميلاد جد المتسوق  وذلك لاسترجاع الرمز السري.  ففي هذه الحالة يعتمد التسوق الإلكتروني الآمن على مدا صعوبة الرمز السري ومدا حفظ المتسوق للمعلومات التي تسهل على المهاجم عملية الاختراق كما يجبه تنبه المتسوقين عن حالات الخداع التي من الممكن ان المتسوق ان يقع فيها .

2- استخدام تقنيات المواقع في التصيد و خداع المتسوق ((Phishing

قد يبرمج المهاجم Script   ينقل المتسوق من صفحة التسوق الإلكترونية إلى صفحة أخرى  يبرمجها المهاجم ويطلب من المتسوق إدخال اسم المستخدم والرمز السري ليحفظها عنده ويستخدمها في الدخول إلى نظام التسوق الالكتروني بإسم المتسوق   كما هو موضح في الصورة أدناه

The_use_of_techniques_to_deceive_sites
الصورة 3 : استخدام تقنيات المواقع في خداع المتسوق

3-  الثغرات الأمنية في حاسوب المتسوق

قد يستهدف حاسوب المتسوق بواسطة الثغرات الأمنية التي يجهلها المتسوق ومن أعظم الأخطاء التي يقع فيها المتسوق منع بعض خصائص الأمن في حاسوبه وذلك لتسهيل ولسرعة عملية الشراء مما يسهل للمخترق تجسس الحاسوب وسرقة الرمز السري أو رقم بطاقة الائتمان .
مهاجمة الشبكة التي بين المتسوق والخادم المزود للتسوق الالكتروني
قد يتمكن المهاجم من مراقبة الشبكة وسرقت المعلومات أثناء تبادل المعلومات بين المتسوق والموقع مثل رقم بطاقة الائتمان او الرمز السري وغالباً تكون شبكة الانترنت غير مشفرة. الشبكة اللاسلكية تسهل عملية اختراق الشبكة .فيجب هنا استخدام عملية تشفير المعلومات المهمة عند انتقالها ولمعرفة إذا كان الموقع يشفر المعلومات يكون https   ووجود صورة القفل أسفل المتصفح فتأكد عزيزي المتسوق ان المعلومات مشفرة ولا يتطلع عليها إلا الأشخاص المصرح لهم  .
تعليمات لتسوق الكتروني آمن

 Instructions_for_secure_e-shopping
الصورة 4 : تعليمات لتسوق الكتروني آمن
1- تثقيف وتوعية المتسوق
توعية المتسوق وتثقيفه في الهجمات التي يمكن حدوثها أثناء عملية تسوقه  وأنواع الهجمات التي يمكن حدوثها كيفية التعامل معها .
2-التأكد  تفعيل جدار الحماية.
حماية الحاسوب الخاص بك عن طريق الحد من أنواع الهجمات إلى جهاز الحاسوب  الخاص بك. وحيث يمكنه كشف المعلومات ومنها كلمات المرور المستخدمة .
3- تشفير المعلومات بين المتسوق و الخادم المزود لنظام التسوق الإلكتروني
تستخدم عملية تشفير المعلومات المهمة Secure Socket layer  عند انتقالها من المتسوق إلى الخادم المزود لنظام التسوق الإلكتروني  ولمعرفة إذا كان الموقع يشفر المعلومات يكون https   وليس http   ووجود صورة القفل أسفل المتصفح .
4- استخدام بروتوكول الحركات المالية الآمنة  Secured Electronic Transactions (SET)
"طوَّرت مجموعة من الشركات العالمية الرائدة (منها مايكروسوفت، وآي بي إم (IBM)، وفيزا (VISA)، وماستر كارد (MasterCard)- بروتوكولاً لعمليات الدفع (payment protocol)، أطلقت عليه اسم بروتوكول الحركات المالية الآمنة (Secure Electronic Transactions- SET). والغاية من هذا البروتوكول ضمان الحفاظ على أمن البيانات (خصوصيتها وسلامتها (integrity) والتحقّق من وصولها إلى الجهة المطلوبة) أثناء إجراء الحركات المالية (financial transactions) عبر شبكة مفتوحة مثل الإنترنت. ويشبه هذا البروتوكول- إلى حد كبير- بروتوكولَ الطبقات الأمنية (Secure Socket Layers- SSL) في استناده إلى التشفير والتواقيع الرقمية. "[3]
5- استخدام جدار الحماية للخادم المزود لنظام التسوق الإلكتروني  يقوم جدار الحماية للخادم بضمان عدم وصول المهاجم إلى الخادم .
6-  قيود الرمز السري
هذه القيود لكلمة المرور يجب ان تضمن حماية كلمة السر من التخمين ويسمح بعدد محدود من المحاولة في ادخال الرمز السري .
8- مراجعة سجلات الأمن
للكشف عن المهاجمين وامكانية رفع دعوى ضدهم كما لتوعية بعض المتسوقين التي تعرضت حساباتهم للاختراق .
9- استخدام بطاقة الائتمان كوسيلة الدفع الأكثر اماناً  حيث تتحمل الجهة المصدرة لبطاقة الائتمان الخطاء الصادر من الأنظمة .

الخاتمة:

ولكل تقنية محاسنها ومساوئها فالتسوق الإلكتروني الآمن إضافة إلى المتسوق الشعور بالراحة أثناء التسوق الإلكتروني لأنه وضع قوانين وشروط تدعم وجود الثقة بين المتسوق والبائع.فالثقة هي أساس نجاح التسوق الإلكتروني ودونها  لا يستطيع المتسوق المجازفة . كما انه يضع حلول لبعض المخاطر التي يمكن حدوثها أثناء عملية التسوق الإلكتروني كحماية معلومات المتسوق من السرقة أو بيعها .


المراجع:

[1] e-Commerce security: Attacks and preventive strategies from http://www.ibm.com/developerworks/websphere/library/techarticles/
[2] Common Security Vulnerabilities in e-commerce Systems from
[3] Secured Electronic Transactions Protocol from
[4] صحيفة اليوم الألكترونية

 

الشركة العربية للتجارة والتسويق الإلكتروني