Негізгі ұсыныстар
- Жақында шабуылдаушылар 500-ден астам веб-сайтқа цифрлық карта скиммерлерін орнатып үлгерді.
- Қорғау жауапкершілігі веб-сайт иелеріне жүктеледі.
-
Қауіпсіздік мамандары пайдаланушылар өздерін қорғау үшін қолдана алатын түрлі құралдарды ұсынады.
Жеке тіркелгілерді бұзудың орнына хакерлер амалдарын өзгертті және енді интернет-дүкендерге карта скиммерлерін орнатып, ананың соңынан ерді.
2022 жылдың 8 ақпанында қауіпсіздік зерттеушілері Magento электрондық коммерция платформасы жұмыс істейтін 500-ден астам интернет-дүкендердің жаппай бұзылуы туралы мәліметтермен бөлісті. Шабуылшылар magecart шабуылы деп аталатын барлық дүкендерге төлем картасының скиммерін жүктеді. Түзету интернет-дүкендерге байланысты болғанымен, сарапшылардың пікірінше, соңғы пайдаланушылар онлайн транзакциялар жасағанда қырағырақ болуы керек.
"[Бұл] жақында жасалған шабуыл барлық онлайн-меценаттар үшін сіздің интернет-дүкен провайдеріңізден күткеніңізден басқа, өздерін қорғауға міндетті екенін [оның] қатаң ескертуі болуы керек ", Рон Брэдли, Ортақ бағалаулар бөлімінің вице-президенті., бұл туралы Lifewire электрондық поштасы арқылы хабарлады.
Цифрлық сканерлеу
Густаво Палазоло, Netskope қызметкерлері қауіптерді зерттеу инженері Lifewire-ке электрондық пошта арқылы Magento-ның шабуылдаушыларға бағытталған танымал электрондық коммерция платформаларының бірі екенін айтты, өйткені көптеген дүкендерде бағдарламалық жасақтаманың ескірген үлгілері жұмыс істейді, ал басқалары үшінші тарап плагиндерін пайдаланады. кейде шабуылдаушыларға сандық скиммерлерді имплантациялауға мүмкіндік беретін түзетілмеген қауіпсіздік кемшіліктері бар.
Ол сіз сатып алып жатқан веб-сайттың magecart науқанының нысанасы болғанын тексеру оңай болмаса да, пайдаланушылар желідегі қауіпсіздігін күшейту үшін бірнеше шара қолдана алатынын айтты.
Palazolo Firefox үшін NoScript сияқты белгісіз сценарийлерді блоктау үшін шолғыш кеңейтімдерін пайдалануды ұсынады. Ол сондай-ақ шолғыш кеңейтімдерін қамтамасыз ететін антивирустық шешімдерді пайдалануды қолдады, өйткені олар кірген веб-сайтты сканерлей алады және зиянды сценарийлерді блоктай алады.
Ол Adobe бұдан былай Magento v1 нұсқасын қолдамайтынын, бірақ оның танымалдылығына байланысты бұл нұсқаны қорғауға көмектесетін қауымдастық ұсынған бірнеше қауіпсіздік патчтары бар екенін қосты. Дегенмен, ол пайдаланушыларға осы қолдау көрсетілмейтін платформа арқылы жұмыс істейтін веб-сайттарда транзакция жасамауды ұсынады.
Сатып алып жатқан веб-сайтта соңғы Magento v2 нұсқасы жұмыс істеп тұрғанын тексеру үшін Palazolo веб-беттің артындағы технологияны анықтай алатын Chrome және Firefox-қа арналған Wappalyzer-ді көрсетті.
Егер шолғыш кеңейтімін орнату опция болмаса, онлайн құралдар MageReport сияқты Magento туралы мәліметтерді тексеру үшін жақсы таңдау болуы мүмкін, ол сізге тек нұсқаны ғана емес, сонымен қатар веб-сайтта табылған қауіпсіздік осалдықтары туралы ақпаратты көрсете алады. Сіз сатып алғыңыз келетін веб-сайт », - деп кеңес берді Палазоло.
Өз брандмауэріңіз болыңыз
Брэдлидің айтуынша, онлайн-сатып алушылар өздерін қорғау үшін киберқауіпсіздік сарапшысы болуы міндетті емес, бірақ құрбан болмау үшін терең қорғаныс менталитеті болуы керек.
"Киберқауіпсіздік бірнеше қабаттан тұратын пияз сияқты. Өзіңізді қорғау үшін периметріңізді анықтап, қауіпсіздік шараларын қолдану маңызды ", - деді Брэдли. "Банктен немесе несие картасы эмитентінен бастаңыз. Мүмкін болатын барлық ескертулерді тітіркендіретін деңгейге дейін қосыңыз, содан кейін кері оралып, оны теру керек."
Сондай-ақ ол мүмкіндігінше көп факторлы аутентификацияны қосуды ұсынады және несиені тоқтату мүмкіндігін пайдалану кезінде дебеттік карталарды пайдалануды жақтайды, бұл ешбір шығынсыз және клиенттерді жеке басын ұрлаудан қорғауға көмектеседі.
Palazolo пайдаланушылар онлайн сатып алулар үшін бірегей және уақытша цифрлық карта нөмірлерін жасау мүмкіндігін пайдалануы керек деді. Веб-сайт вирус жұқтырған болса да, бұл опция ұрланған карта мәліметтерінің шабуылдаушыларға еш пайдасы жоқ екеніне кепілдік береді.
Көздер ашық
Эрих Крон, KnowBe4-тің қауіпсіздікті қорғаушы, сатып алушыларға әдеттен тыс төлемдер немесе сатып алулар үшін көздерін жұмып, несие карталары мен банк үзінділерін жүйелі түрде қарап шығуды ұсынды.
"Көбінесе алымдар жәбірленуші байқамай-ақ несие картасының теңгеріміне қосылады. Тіпті шағын төлемдер, тіпті бір уақытта бір-екі доллар, оны киберқылмыскерге картаның әлі де екенін растау үшін пайдалануға болады. жарамды болса, карта бұзылғанының белгісі болуы мүмкін ", - деп Kron Lifewire компаниясымен электрондық пошта арқылы бөлісті.
"Өзіңізді қорғау үшін периметріңізді анықтап, қауіпсіздік шараларын қолдану маңызды."
Сонымен қатар ол пайдаланушыларға несие карталары ұсынатын қорғаныстарды түсінуді және күдікті төлемдер туралы жылдам хабарлау үшін қол жетімді барлық опцияларды білуді ұсынды.
Дегенмен, күннің соңында электрондық коммерция веб-сайтының иелері қауіпсіз кемені басқаратынына көз жеткізуге жауапты, деп атап өтті PerimeterX киберқауіпсіздік фирмасының өнімді басқару жөніндегі аға директоры Кунал Модасия. Оның айтуынша, тұтынушылар әрекеттері шектеулі болғандықтан, электрондық коммерция веб-сайттарының иелері веб-сайттарындағы әрекеттерді үздіксіз көруді қамтамасыз ететін шешімдерді қолдануы керек.
"Электрондық коммерция компаниялары сандық саяхат кезінде пайдаланушылардың тіркелгісін және жеке басын куәландыратын ақпаратты қорғауға көмектесетін көп деңгейлі тереңдетілген қорғаныс шешімін қолдануы керек."