Проверка Интернет-магазина на XSS-атаки, фишинг и скимминг


По статистике Getastra, 32,4% онлайн-атак, направленных на сферу электронной коммерции, приводят хакеров к успеху. Как правило, в поле зрения хакеров попадают администраторы Интернет-магазинов, покупатели и сотрудники фирм.

Киберпреступники бомбардируют eCommerce как вирусными программами, так и методами социальной инженерии (это манипуляции такими чувствами, как страх и любопытство, дабы пользователь сообщил хакерам ценную информацию, способствующую взлому).



Чтобы защититься от онлайн-угроз современной эпохи, необходимо разобраться в механизме кибератак.


Почему Интернет-магазины сталкиваются с киберпреступлениями?





Можно выделить несколько причин, по которым игроки электронной коммерции становятся жертвами киберпреступности.

Во-первых, доход Интернет-магазинов (а также приложений и партнерок, специализирующихся на онлайн-шоппинге) напрямую зависит от входящего трафика. Поэтому многие хакеры видят перспективу в осуществлении DDoS-атак (нападений с целью доведения системы до отказа).

Такие атаки перегружают пропускную способность сети или серверы приложений, например, могут направить неконтролируемое количество http-запросов при входе в систему, чтобы вебсайт не справился и возникли проблемы с отображением информации для пользователей.

Во-вторых, неотъемлемой частью работы Интернет-магазинов является проведение транзакций и онлайн-оплата за услуги. Поэтому в сфере электронной коммерции часто встречаются мошенничества с кредитными карточками.

Также финансовая информация попадает в руки киберпреступников, потому что многие представители eCommerce не пользуются системой определения уязвимостей кредитных карт. В то же время, данные системы позволяют отследить подозрительную активность в таких сегментах, как контакты, адрес доставки, страна заказа и IP-адрес.

В сущности, для киберпреступника достаточно именно этих данных, чтобы снять деньги с кредитной карты клиента. В результате, покупатель винит во всем вебсайт, на котором пытался осуществить покупку (хотя производитель не виноват в случившемся, ведь сам оказался жертвой хакеров), такие вещи наносят вред репутации бренда. Поэтому в интересах производителя – обеспечить надлежащую защиту на сайте.

В-третьих, как правило, создатели Интернет-магазинов дают подписчикам доступ к сайту, возможность залогиниться. Именно этот фактор создает уязвимость, которой пользуются киберпреступники, стараясь похитить персональные данные. Хакеры крадут аккаунты, вводя комбинации электронных адресов и паролей, украденных на других сайтах.

Наконец, пользователи Интернет-магазинов часто сообщают в профилях довольно много личной информации. Это дает возможность хакерам взломать систему базы данных онлайн-магазина и украсть данные с аккаунтов.

Кроме того, юзеры часто загружают собственный контент, например, отзывы, фотографии, не говоря уже о какой-либо продукции на торговых площадках, на сайт. Поэтому организаторы Интернет-магазинов выключают фильтры для определения спама, и это открывает дорогу для преступников.


Как Интернет-магазинам противостоять фишингу?





Среди хакеров распространено мнение, что легче взломать человека, чем систему. Например, такое проявление социальной инженерии, как фишинг – это персонализированная рассылка по электронной почте, которая содержит просьбу перейти по ссылке или скачать архив (прикрепленный файл).

Такие письма, разумеется, содержат вирусы, но как заставить пользователя открыть их? Мошенники сообщают юзеру, что действуют от имени бренда (при этом, название известной компании может фигурировать в адресе отправителя) и предлагают 95%-ную скидку на дорогой товар. Либо пользователь узнает, что выиграл крупную сумму денег, и ему остается лишь зарегистрироваться на сайте, чтобы получить выигрыш.

Ну и, конечно, мошенники могут применить шантаж, сообщив, что персональные данные юзера (фото, видео) будут разосланы всем контактам, если жертва не отправит выкуп.

Но одно дело, если хакеры только используют название бренда для зловредных намерений. Это легко распознать по неправильно написанному адресу отправителя – например, вам пришло письмо от Gooogle com или Fasebok com (заметили ошибку в словах)?

Хуже обстоит дело, если хакеры взломали Интернет-магазин и на самом деле рассылают фишинговые письма от имени компании. Ведь на первый взгляд это выглядит как реальное маркетинговое предложение.

Поэтому Интернет-магазинам нужно внимательно следить за тем, чтобы их не использовали для фишинговых целей. Как это сделать?

Во-первых, хакеры часто добавляют сниппеты jаvascript, чтобы рекламировать страницы на таких платформах для электронной коммерции, как WooCommerce, Magento, PrestaShop.

Пользователь может кликнуть на рекламу партнерской программы и получить редирект на вирусный сайт. Поэтому организатору Интернет-магазина необходимо отслеживать состояние адресной строки и проверять платежную систему.

Во-вторых, многие игроки электронной коммерции пользуются системой PayPal, статус подозрительного аккаунта может навредить репутации бренда. Мошенники пользуются этим – и часто отправляют организаторам Интернет-бизнеса поддельные письма якобы от PayPal, где сообщается, что актив заморожен.

Жертве предлагают разблокировать аккаунт, введя имя пользователя и пароль. И многие так и поступают, тем самым предоставляя киберпреступникам абсолютный контроль над собственным аккаунтом PayPal.


Что такое межсайтовый скриптинг, и как с ним бороться?



XSS-атака, или межсайтовый скриптинг (Cross-Site Scripting) – это разновидность киберпреступления, при котором хакер встраивает вредоносный код (как правило, написанный на языке программирования jаvascript), на страницу вашего Интернет-магазина.

Когда браузер видит этот код, он распознается как обыкновенный скрипт, подлежащий исполнению. Скрипт открывает доступ к данным о сессии cookie целевой аудитории. Так хакер получает конфиденциальную информацию и взламывает компьютер жертвы, заносит вирусы либо использует емэйл-аккаунт для дальнейшего фишинга.

Этот тип атаки опасен именно для клиентов, которые сотрудничают с представителями электронной коммерции. А значит, межсайтовый скриптинг способен нанести урон репутации бренда, ведь вряд ли инфицированные клиенты захотят иметь дело с теми, на чьем сайте получили вирус.


Как предупредить межсайтовый скриптинг?





1. Осуществляйте проверку ввода: проверяйте расширения загружаемых файлов по технологии Whitelist – это поможет минимизировать количество багов.

2. Использовать безопасные элементы DOM («объектная модель документа») – например, атрибут innerHTML воспроизводит пользовательский ввод как межсайтовый скриптинг с событиями jаvascript (в этом случае, безопасная альтернатива – contentText / innerText).

3. Применять метод Escape в jаvascript – кодировка html, которая использует одинарные кавычки таким образом (‘) используется, чтобы предупредить введение зловредного кода.

4. Кодирование выхода (output encoding) позволяет нейтрализовать максимальную нагрузку при межсайтовом скриптинге, свести к минимуму вред при введении вредоносного кода на сервер.


Как предупредить финансовые преступления: разбираемся со скиммингом



Часто хакеры прибегают к скиммингу – взломав банковский сервер, получают контроль над банкоматами и внедряют программы, способные считать данные с кредитных карточек.

Обладая такой информацией, хакеры дублируют карту, подбирают PIN-код – и используют дубликат для собственных целей, снимая средства с карты ничего не подозревающей жертвы. Более простой способ осуществить скимминг – установить определенный аппарат для считывания персональных данных в банкоматах (в основном, это происходит на улицах).

Увы, часто жертва скимминга не обладает достаточными фактами, чтобы доказать факт мошенничества.

В сфере электронной коммерции скимминг происходит так. Киберпреступники внедряют вирусный код jаvascript на страницу проведения платежей. Хакерскую активность сложно вычислить, потому что код самоуничтожается после того, как выполнил свое предназначение.

Либо хакеры при помощи стенографии прячут вирусный код в картинках на инфицированном сайте.


Как защититься от скимминга в сфере электронной коммерции?





• Разработайте стратегию предотвращения кражи неавторизованных данных, особенно когда речь идет о загрузке большого количества информации на облачные платформы.

• Укрепляйте веб-приложения и компьютерную инфраструктуру, чтобы не оставить киберпреступникам шанса внедрить вредоносный код.

• Зашифровывайте данные карточек при проведении платежей, а, работая со сторонними приложениями, включайте VPN, чтобы не сообщать никакой информации о себе третьим лицам.

• Сделайте резервное копирование на случай, если хакеры применят потенциал программ-вымогателей.

• Отслеживайте аналитику поведения пользователей, чтобы определять потенциальные угрозы безопасности.

• Планируйте и проводить процедуры мгновенного реагирования на кибератаки.


Автор: pimka21

Еще советуем:
  • Нужен интернет-эквайринг
  • Партнерские программы интернет магазинов
  • VSEMAYKI - партнерская программа маек дизайнерских
  • GOODBODY - партнерская программа интернет магазина
  • ADMITAD – агрегатор партнерских программ CPA
  • Данную страницу никто не комментировал. Вы можете стать первым.
    RSS
                   
           
    Введите символы или вычислите пример:
    captcha