Ataki na e-sklepy i ich klientów to pełna gama e-przestępstw. Od „odmowy usługi” (DoS), która zamyka możliwość generowania przychodu, do kampanii typu ransomware, poprzez które wyłudzane są dane i środki finansowe. Sezonowe szaleństwo sprzedażowe w e-commerce, które zaczyna się w czarny piątek, obejmuje świąteczne zakupy, a kończy styczniowymi wyprzedażami, jest szczególną okazją dla cyberprzestępców. Gwałtowny wzrost zakupów online znacznie ułatwia hakerom życie. Z jakich metod korzystają najczęściej?
Formjacking – infekcja przenoszona drogą źródłową
W trakcie okresu wzmożonych zakupów jednym z większych zagrożeń będzie formjacking[1]. Zgodnie z F5 Labs 2019 Application Protection Report, jest jednym z częściej dziś występujących ataków sieciowych. W 2018 r. odpowiadał już za 71% naruszeń danych związanych z siecią.
Coraz więcej aplikacji łączy się z krytycznymi w e-commerce komponentami jak koszyk zakupowy, płatności bezgotówkowe, reklamy i analityka. Kod wykorzystywany do budowy aplikacji i komponentów krytycznych może być dostarczany z wielu źródeł. Te źródła w absolutnej większości nie są objęte zwykłymi środkami kontroli bezpieczeństwa w e-commerce. Wiele witryn wykorzystuje te same „cegiełki” do budowania serwisu – korzysta z tych samych źródeł kodu. Co to oznacza dla cyberbezpieczeństwa sklepu? Atakujący mają świadomość, że wystarczy zmienić jeden element takich powielanych kodów, aby infekcja dostała się do wielu witryn. Daje to następnie możliwość zbierania danych od bardzo dużych grup odbiorców, którzy są klientami tych sklepów.
Phishing – podszywanie się
Ulubieńcem cyberprzestępców pozostaje też phishing, ponieważ jest prostą metodą. Hakerzy nie muszą się napracować nad przebiciem przez firewall, budowaniem wymagającego ataku zero-day exploit[2] czy deszyfrowaniem ruchu. W zeszłorocznym sezonie sprzedażowym (październik 2018 – styczeń 2019) F5 Security Operations Centre odnotowało aż 50% wzrost tego typu ataków. Marki i serwisy, które są najczęściej fałszowane to Facebook, Microsoft Office Exchange oraz Apple, ale może to być także sklep internetowy. Podobne działania ułatwiają media społecznościowe, w których nieustannie eksponowane są prywatne informacje i dane: od prywatnych maili i telefonów po preferencje zakupowe i sympatie dla marek.
Edukuj swoich klientów – niech wiedzą, że ich bezpieczeństwo jest dla Ciebie ważne
Ataki nakierowane bezpośrednio na sklep, mogą narazić na ogromne straty finansowe, zarówno pod kątem kosztów samego ataku, ale także strat w postaci np. braku możliwości prowadzenia sprzedaży. Jednak ogromne ryzyko, w tym także wizerunkowe, niosą także te działania hakerów, które bezpośrednio dotykają klientów sklepu. Warto zaangażować się w akcje edukacyjne, które mają na celu uświadomić konsumentów, jakie zagrożenia na nich czyhają.
Co możesz zrobić dla klientów?
- Bezpośrednio w witrynie czy materiałach promocyjnych zwróć uwagę, aby klienci nie robili zakupów za pomocą wyszukiwarek. Znacznie bezpieczniejsze jest wpisanie adresu sklepu odręcznie w przeglądarce;
- Podpowiedz klientom, że fałszywe strony zawierają błędy językowe i w formatowaniu – jedna literka w adresie czy nieco inny kolor w logotypie powinny zwrócić ich uwagę i zaalarmować;
- Zachęcaj klientów do sprawdzenia czy kupują w lokalizacji zaszyfrowanej – oznaczonej prefiksem „https” i symbolem kłódki. Nawet wtedy jednak należy zachować wzmożoną czujność: aż 71% stron phishingowych używa prefiksu „https”, aby być bardziej wiarygodnymi!
- Hakerzy kolportujący phishing zwykle wysyłają przekonujące maile, w których proszą o prywatne czy finansowe informacje. Poważne i zaufane marki tego nie robią – warto jednak poinformować o tym klientów w witrynie i prowadzić politykę informacyjną, która dokładnie opisuje proces zakupowy w Waszym sklepie.
- Phishing and Fraud Report[3] odnotowuje, że phishingowe wiadomości trzy razy częściej zawierają złośliwe linki niż załączniki – poproś klientów, aby ich nie klikali, nie otwierali. Jest to szczególnie ważne przy finalizowaniu transakcji potwierdzaniu zamówień czy płatności.
- Szczególną uwagę poświęć bezpieczeństwu transakcji opłat – tu w grę wchodzą dane finansowe Twoich klientów – polityka Twojego sklepu powinna wyraźnie określać procedurę i narzędzia, być transparentna dla klienta, tym bardziej gdy korzystasz z serwisów dostawców zewnętrznych w tym obszarze.
Sprawdź ze swoim IT, czy pomyśleliście o wszystkich zabezpieczeniach
Na rynku dostępne są narzędzia IT do zwalczania nadużyć finansowych. Pomogą one wykryć niespójności transakcyjne w sytuacjach, gdy np. karta klienta jest używana na obcym urządzeniu. Zapewnienie wszelkich środków cyberbezpieczeństwa powinno być priorytetem. Warto skontaktować się ze swoim działem IT, żeby potwierdzić, że używane narzędzia są aktualne oraz kompletne. Na co warto zwrócić uwagę?
- W każdym systemie, który łączy się z zasobami wymagającymi ochrony, warto też wdrożyć rozwiązania do weryfikacji wieloskładnikowego uwierzytelniania. Uzupełnienie protokołów TLS/SSL szyfrowaniem warstwy aplikacji pozwoli zachować poufność na poziomie przeglądarki.
- Ochronę danych osobowych i finansowych klienta podczas procesu finalizowania transakcji (check-out) wspierają tokeny i szyfrowanie w aplikacji. Inwentaryzując swoje aplikacje sieciowe rozpoznaj kontent pochodzący od dostawców zewnętrznych (kod z takich źródeł może być zainfekowany!). Proces ten jest złożony, ponieważ zewnętrzni dostawcy często łączą się z innymi stronami, które rzadko spełniają normy kontroli bezpieczeństwa.
- Skanuj swoje podatności. Szefowie IT coraz częściej sięgają po możliwość przeprowadzania zewnętrznych testów, żeby spojrzeć na sytuację okiem hakera, co pozwala im na dokładne sprawdzenie stosowanych zabezpieczeń.
- Monitoruj zmiany w kodzie, bez względu na to, gdzie jest hostowany. Oznacza to monitorowanie zarówno GitHub[4] czy AWS S3[5] Buckets jak repozytoriów kodu natywnego.
- Skorzystaj z rozwiązań do filtrowania sieci, aby zapobiec przypadkowym odwiedzinom użytkowników w witrynach wyłudzających informacje. W sytuacji, gdy klient klika w taki link, rozwiązanie do filtrowania zablokuje ruch wychodzący.
- Badaj ruch szyfrowany pod kątem malware. Będzie do tego potrzebna bramka deszyfrująca – ruch pochodzący ze złośliwego oprogramowania komunikującego się z serwerami C&C (Command and Control) poprzez szyfrowane tunele jest niewykrywalny bez takiego narzędzia.
- Popraw mechanizmy raportowania. Reakcja na incydenty zagrożenia powinna obejmować możliwość łatwego przekazania przez użytkowników informacji o podejrzeniach ataku phishingowego.
Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
[1] atak na infrastrukturę strony www – e-sklepu i mechanizmu pozwalającego na podawanie danych karty płatniczej celem wykradzenia tych danych
[2] Atak „w godzinie zero” – w dniu wykrycia słabości w zabezpieczeniach
[3] https://www.f5.com/labs/articles/threat-intelligence/2019-phishing-and-fraud-report
[4] Wiodąca na świecie platforma programistyczna
[5] Chmurowy nośnik danych od Amazona (buckets oznacza tu zbiory danych)