Τα site διαδικτυακών πωλήσεων (e-commerce) γνωρίζουν στιγμές δόξας, καθώς σήμερα το ηλεκτρονικό εμπόριο ανθεί και όλο και περισσότεροι χρήστες επιλέγουν τη λύση των εύκολων αγορών, χωρίς κόπο και χωρίς χάσιμο χρόνου.
Ταυτόχρονα, όμως, βρίσκονται και στις πρώτες θέσεις των προτιμήσεων των κυβερνοεγκληματιών, καθώς στις ιστοσελίδες αυτές υπάρχουν αρκετά «πολύτιμα» δεδομένα οικονομικής φύσεως.
Ο παραδοσιακός, βέβαια, τρόπος υποκλοπής δεδομένων χρηστών διαμέσου ιστοσελίδων ηλεκτρονικού εμπορίου παραμένει το phishing , δηλαδή οι «επιθέσεις» απευθείας στους χρήστες μέσω των social media και του ηλεκτρονικού ταχυδρομείου.
Με δεδομένη, ωστόσο, την αυξανόμενη πολύπλευρη προληπτική ενημέρωση των χρηστών για τις μεθόδους phishing, οι κυβερνοεγκληματίες στρέφονται σε μια νέα μορφή επιθέσεων, το malvertising, μέσω νόμιμων ιστοσελίδων όπου οι χρήστες θεωρούν ότι περιηγούνται με ασφάλεια.
Τι γνωρίζουμε
Σήμερα υπάρχει πληθώρα έτοιμων προς χρήση πλατφορμών ηλεκτρονικού εμπορίου (e-commerce platforms), τις οποίες μπορεί κάποιος να «κατεβάσει», να εγκαταστήσει και να δουλέψει με αυτές εύκολα και χωρίς επιπλέον κόστος.
Μια αρκετά δημοφιλής (ίσως και η δημοφιλέστερη) πλατφόρμα είναι το Magento.
Όταν κάτι είναι δημοφιλές, γίνεται στόχος!
Ερευνητές ασφαλείας της Sucuri ανακάλυψαν ένα κακόβουλο τμήμα κώδικα στην ιστοσελίδα του Magento.
Η δουλειά του κακόβουλου τμήματος ήταν να στέλνει όλα τα δεδομένα που υποβάλει ένας πελάτης κατά την πληρωμή σε ένα τρίτο site: “soulmagic.biz.fozzyhost.com/add.”
Οι hackers πρόσθεσαν 50 επιπλέον γραμμές στον κανονικό κώδικα στο αρχείο app/code/core/Mage/Payment/Model/Method/Cc.php μέσα στη συνάρτηση prepareSave(), όπως φαίνεται στη συνέχεια:
Τι πραγματικά συμβαίνει;
Όπως τα περισσότερα sites που βασίζονται στο Magento, έτσι και η υπό μελέτη ιστοσελίδα περιείχε μια φόρμα κατά την πληρωμή που ζητούσε από τους πελάτες τα στοιχεία της πιστωτικής τους κάρτας.
Το Magento κρυπτογραφεί την πληροφορία αυτή, τη σώζει και ακολούθως τη στέλνει στο αρμόδιο «τμήμα» ώστε να ολοκληρωθεί η συναλλαγή.
Όμως, μεταξύ της υποβολής της φόρμας και της κρυπτογράφησης των δεδομένων του πελάτη (οπότε και το Magento επεξεργάζεται τα δεδομένα σε μορφή κειμένου), οι hackers παρενέβησαν ώστε τα δεδομένα να στέλνονται σε μια τρίτη διεύθυνση (χωρίς προηγουμένως να έχουν κρυπτογραφηθεί).
Στόχος δεν είναι μόνο οι ιστοσελίδες Magento
Παρόμοιος κώδικας με τον παραπάνω βρέθηκε και στο extension Joomla Donation που συναντάμε στα site που έχουν φτιαχτεί σε Joomla, ώστε τα δεδομένα των πελατών να αποστέλλονται στους hackers και συγκεκριμένα στη διεύθυνση “java-e-shop.com/add.”
Γενικότερα, όλες οι λύσεις που αφορούν το ηλεκτρονικό εμπόριο, παρουσιάζουν τέτοιου είδους «κερκόπορτες» και γίνονται εύκολα στόχος κυβερνοεπιθέσεων όταν ζητούν απ’ ευθείας στοιχεία πελατών και δεν ανακατευθύνουν τους χρήστες σε μια άλλη ιστοσελίδα για μια ασφαλή μέθοδο πληρωμής.
Κίνδυνος και για τους ιδιοκτήτες – διαχειριστές ιστοτόπων ηλεκτρονικού εμπορίου
Είναι, λοιπόν, αρκετά εύκολο για έναν hacker να προσθέσει λίγες γραμμές (κακόβουλου) κώδικα σε ένα καθ’ όλα νόμιμο ιστότοπο με σκοπό να υποκλέψει ευαίσθητα δεδομένα πελατών.
Αξίζει να σημειωθεί, ωστόσο, ότι στόχο δεν αποτελούν μόνο οι πελάτες.
Υπάρχουν αρκετές γνωστές περιπτώσεις όπου οι hackers προέβησαν σε αλλαγή των λογαριασμών Paypal που αναφέρονταν σε έναν ιστότοπο, ώστε τα χρήματα των πελατών να κατευθύνονται σε τρίτους λογαριασμούς αντί σε εκείνους των ιδιοκτητών – διαχειριστών.
Μέθοδοι προστασίας καταναλωτών και ιδιοκτητών ιστοτόπων e-commerce
Το cybersecurity.gr συγκέντρωσε για εσάς ορισμένες συμβουλές, για να είναι οι συναλλαγές σας ασφαλέστερες.
Αν είστε πελάτης:
Αποφύγετε να δώσετε στοιχεία που αφορούν οικονομικά δεδομένα (αριθμούς πιστωτικών καρτών κ.λπ.) απ’ ευθείας σε ιστοτόπους πωλήσεων.
Προτιμήστε να αγοράσετε προϊόντα από ιστοτόπους όπου χρησιμοποιείται ως μέθοδος πληρωμής η συναλλαγή Paypal ή κάποια άλλη μέσω web banking.
Χρησιμοποιήστε πιστωτικές κάρτες με επιπλέον επίπεδα αυθεντικοποίησης. Χαρακτηριστικότερα – και γνωστότερα – παραδείγματα αποτελούν το 3-D Secure της Visa και το SecureCode της MasterCard.
Ελέγξτε την ιστοσελίδα για τυχόν θέματα ασφαλείας ή προηγούμενες καταγγελίες άλλων χρηστών μέσω μιας μηχανής αναζήτησης.
●► Για να ελέγξετε τυχόν θέματα ασφαλείας, χρησιμοποιήστε το link : http://www.google.com/safebrowsing/diagnostic?site=example.com , όπου example.com είναι το domain name της ιστοσελίδας που θέλετε να ελέγξετε.
●► Για τους ιδιοκτήτες ιστοσελίδων ηλεκτρονικού εμπορίου, προτείνονται τα ακόλουθα:
Μην επιτρέπετε στους πελάτες να εισάγουν δεδομένα οικονομικής φύσεως στην ιστοσελίδα σας.
Προτιμήστε να ενσωματώσετε υπηρεσίες πληρωμής όπως Paypal, Stripe, ή Google Wallet, ώστε ακόμα και στην περίπτωση που hackers επιτεθούν στην ιστοσελίδα σας, να μην είναι σε θέση να υποκλέψουν δεδομένα πιστωτικών καρτών.
Εφαρμόστε τις πάγιες οδηγίες – συμβουλές για μέγιστη προστασία: απαιτήστε σύνθετους κωδικούς, φροντίστε για την ύπαρξη ενημερωμένου firewall και αντιμετωπίστε τυχόν κενά ασφαλείας που εντοπίζετε.
Ζητήστε αμέσως βοήθεια στην περίπτωση οποιουδήποτε περιστατικού. Μη ρισκάρετε ούτε τα χρήματα των πελατών αλλά ούτε και τη φήμη σας.
Σε κάθε περίπτωση, για ποινικά ζητήματα, είτε ως πελάτης είτε ως ιδιοκτήτης ιστοτόπου e-commerce, απευθυνθείτε στην αστυνομία και συγκεκριμένα στη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου