Наверняка, многие люди пользуются интернет-магазинами: кто-то регулярно, кто-то не очень часто. Некоторым клиентам таких сервисов не повезло столкнуться с недобросовестностью продавцов и низким качеством приобретенных товаров. Однако наш новый материал мы хотели бы посвятить проблемам другого рода: как покупателю безопасно приобрести товар без передачи своей информации и денежных средств злоумышленникам, а также как продавцу в интернет-магазине защититься от хакеров. Чтобы получить ответы на эти вопросы, редакция SecureNews обратилась к экспертам.
Какие угрозы информационной безопасности существуют в сфере электронной торговли?
Денис Бочаров, менеджер по развитию бизнеса Orange Business Services в России и СНГ
Денис Бочаров, менеджер по развитию бизнеса Orange Business Services в России и СНГ:
«В первую очередь, это взлом серверов предприятий с компрометацией баз данных клиентов. В худшем из вариантов в руки злоумышленников попадают исчерпывающая информация о покупателе, в том числе его имя, адрес, номер кредитной карты. В лайт-варианте это лишь имя и адрес. Кроме того, стоит упомянуть фишинг. Часто злоумышленники создают фейковые интернет-магазины, на страницах которых покупателям предлагаются востребованные товары по весьма привлекательной цене. Естественно, оплатив покупку, клиент ничего не получает».
Андрей Заикин, руководитель направления информационной безопасности компании КРОК
Андрей Заикин, руководитель направления информационной безопасности КРОК:
«Можно выделить три ключевых типа угроз.
Во-первых, DDoS-атаки, при которых сайт или интернет-магазин выводится из строя на несколько часов или дней. Такие действия распространены на узкоспециализированных рынках с высокой конкуренцией. В то время пока ваш сайт не работает – конкуренты зарабатывают больше. В том случае, если спрос на продукцию зависит от сезонности, выход веб-сайта из строя ощутимо сказывается на доходах компании.
Второй тип угроз – атаки на сайт со стороны хакерских группировок с целью кражи данных. В этом случае страдают как владельцы бизнеса, так и конечные пользователи. Так, злоумышленники могут получить персональные данные покупателей: номера телефонов, данные банковских карт. После чего перепродают эту информацию третьим лицам или осуществляют транзакции от имени пользователей самостоятельно.
Еще один возможный сценарий использования данных веб-сайта заключается в нарушении бизнес-логики ресурса. Например, если на сайте работает система бонусов, то, нарушив логику, злоумышленник получает на свой счет нелегитимные бонусы и обменивает их на реальные товары. При этом обнаружить подобные действия без специализированных систем защиты крайне сложно».
Никита Дуров, технический директор Check Point Software Technologies
Никита Дуров, технический директор Check Point Software Technologies:
«Главная угроза информационной безопасности во время онлайн-шопинга – это утечка персональных данных покупателей. Как правило, для совершения покупки пользователи вводят свои личные данные, кража которых позволит злоумышленнику получить доступ к онлайн-банку жертвы. Чтобы их заполучить, хакеры могут отправлять электронные письма или sms от имени онлайн-магазина, предлагать перейти по ссылке, где несведущий пользователь введет учетные данные на подставном сайте. Эта веб-страница может выглядеть в точности, как та, на которой пользователь привык совершать покупки, так что он не заметит подмены, а злоумышленники, тем временем, получат доступ к конфиденциальной информации. Поэтому следует внимательно проверять адреса веб-страниц, прежде чем вводить свои персональные данные.
Так, исследователи Check Point осенью 2017 года обнаружили уязвимость на торговой площадке AliExpress. Она позволяла злоумышленникам присылать пользователям ссылки на страницы AliExpress, содержащие вредоносный код Javascript, с целью получения данных их банковских карт. Когда жертва открывала такую ссылку, в браузере выполнялся вредоносный код, а защита AliExpress от атак оказывалась бессильна из-за уязвимости на сайте. Эксперты Check Point сообщили об этой уязвимости AliExpress, и она была оперативно устранена».
Чего следует опасаться простым покупателям в онлайн-сервисах? И как обеспечить безопасность своих данных в интернет-магазине?
Алексей Королюк, генеральный директор REG.RU
Алексей Королюк, генеральный директор REG.RU:
«Чего следует опасаться простым покупателям в онлайн-сервисах? В первую очередь – фишинга. Это вид мошенничества, цель которого – получение доступа к конфиденциальным данным пользователей (логины, пароли, данные банковских карт). Часто при фишинге используется массовая рассылка от имени популярных компаний с ссылками на ложные сайты, внешне неотличимые от настоящих (сайт как правило выглядит идентично, но URL-адрес может отличаться от оригинального лишь на один или несколько символов). Поэтому пользователи должны внимательно следить за тем, по каким ссылкам они переходят, обходя стороной подозрительные URL. Особенно быть внимательными со страницами, на которых производится оплата. Для защиты от кражи платежных реквизитов во время покупки можно использовать антивирусные программы, имеющие компонент «Безопасные платежи» (изолированные виртуальные среды для онлайн-операций), веб-защиту с проверкой ссылок и блокировкой вредоносных скриптов, виртуальную клавиатуру».
Денис Бочаров:
«Первым делом покупателю необходимо разобраться, на настоящем ли сайте он находится – для этого достаточно посмотреть, включено ли шифрование, не ругался ли браузер на истекшие сертификаты, и все ли сервисы и кнопки сайта работают. При оплате стоит обратить внимание на сертификацию сайта платежными системами – Visa Certified и MasterCard Secure. Не лишним будет уточнить, поддерживает ли сайт технологию 3-D Secure. Ее отсутствие не означает, что покупка на сайте непременно приведет к краже данных, но скорее констатирует тот факт, что магазин или банк захотели сэкономить и не стали приобретать возможность дополнительной защиты».
Андрей Заикин:
«Сценариев и советов довольно много, но расскажу о наиболее популярных среди злоумышленников. Зачастую покупатели попадают на мошеннические сайты, которые человек принимает за ресурс крупной компании и, тем самым, отдает свои данные в руки злоумышленников. Простая рекомендация в такой ситуации – обращать внимание на иконку хостинга сайта в веб-браузере. Если он выглядит как замок зеленого цвета, значит сайт, скорее всего, легален. Еще один совет касается заполнения данных с кредитной карты в специальных формах при перенаправлении на известные платежные системы. Например, Pay Pal или Яндекс.Деньги. Конечно, случается, что данные карты необходимо ввести в форме, которая находится непосредственно на сайте. Однако это сигнал к тому, чтобы задуматься, стоит ли это делать. Кроме того, при оплате покупки стоит обратить внимание на sms-сообщение, которое приходит для подтверждения транзакции. Злоумышленники могут не только поменять сумму платежа, но и его назначение. Рекомендуем также пользоваться виртуальной картой при оплате в интернет-магазинах. На ней будет доступна только та сумма, которая необходима для покупки, которую вы совершаете».
Алексей Богомолов, руководитель направления по информационной безопасности СЗФО группы компаний Softline
Алексей Богомолов, руководитель направления по информационной безопасности СЗФО группы компаний Softline:
«Наиболее вероятный способ стать жертвой мошенников – поддаться на уловки социальной инженерии, когда злоумышленники путем комбинации всевозможных приемов и техник создают такие условия, в которых их жертва, сама того не подозревая, отдает им интересующие их данные. Именно этот способ мошенничества наиболее распространен, так как не требует глубоких технологических знаний. Мошенники могут связаться с вами под видом представителя интернет-магазина или банка якобы для уточнения информации о проведенных операциях, запросить кодовые слова и другие данные, которые можно использовать для хищения денег со счета жертвы. Поэтому желательно не отвечать на вопросы «сотрудников», которые звонят с незнакомых номеров, и уточнять любую информацию в официальном колл-центре банков или онлайн-магазина. Еще один способ получить доступ к вашим данным – фишинговые письма, которые могут полностью копировать email-рассылку от известных торговых площадок. Кроме того, ни один сайт не может быть полностью защищен от атаки вирусов-троянов, XSS кросс-скриптов или SQL-инъекций (внедренный SQL запрос к базе данных сервера). Таким образом, для того, чтобы максимально обезопасить ваши средства, важно очень внимательно относиться к тому, какие письма вы открываете, по каким ссылкам проходите и с кем говорите по телефону. Также необходимо своевременно обновлять ПО, в том числе, антивирусы. Но все эти действия не могут защитить пользователей на сто процентов потому, что развитие технологий не стоит на месте, и защищающаяся сторона является догоняющей в данной гонке. Следует помнить, что главная угроза при совершении покупок в интернете – это угроза потери денег, поскольку именно на хищение средств со счетов пользователей направлены действия злоумышленников. Поэтому если вы часто совершаете покупки онлайн, лучше всего не использовать для этого свои основные банковские счета, а завести отдельную электронную и виртуальную карту, на которой не будет больших сумм. В этом случае, даже попавшись на удочку хакеров, вы сможете избежать существенных финансовых потерь».
Есть ли угроза для информации продавцов в интернет-магазинах? Как они могут обезопасить себя?
Алексей Королюк:
«Угроза безопасности может исходить как изнутри – от сотрудников компаний (зачастую они имеют доступ к базе данных, что позволяет незаконно ею манипулировать), так и с внешней стороны – проникновение в рабочую сеть компании: несанкционированный доступ ко всему оборудованию влечет возможность перехвата сетевого трафика и получения конфиденциальной информации компании и клиентов). Кроме того, в рамках недобросовестной конкурентной борьбы могут использоваться DDoS-атаки. Все это может привести к нарушению работы или полному выведению из строя оборудования, в результате чего компания потеряет доверие клиентов и доход. Для противодействия этим угрозам обычно используются такие технологии как шифрование (кодирование данных, которое препятствует их прочтению), электронная цифровая подпись (проверка подлинности отправителя и получателя), брандмауэры, виртуальные и частные сети. Стоит обязательно использовать защищенное соединение (протокол Secure Sockets Layer) на сайтах, где производится онлайн-оплата, чтобы избежать перехвата платежных реквизитов клиентов».
Александр Павлов, академический директор Высшей школы информационных технологий и безопасности HackerU
Александр Павлов, академический директор Высшей школы информационных технологий и безопасности HackerU:
«Самая серьезная угроза для продавцов – это потеря данных клиентов магазина, а также предоставление информации о своих банковских счетах злоумышленникам. Еще одна неприятность может быть вызвана приостановлением работы магазина из-за DDoS-атаки или действия зловредных программ.
В первую очередь владельцам интернет-магазинов следует выбрать надежного хостинг-провайдера. По возможности используйте безопасную e-commerce платформу. Она должна поддерживать сложную систему аутентификации, использовать защищенное соединение типа TLS.
Не храните критичные данные. Никаких CVV кодов. Более того, стандарт PCI DSS (стандарт безопасности данных индустрии платёжных карт) это запрещает: такие элементы, как CVV2 (код проверки подлинности карты платёжной системы Visa) и CVC2 (код платежной системы MasterCard), относятся к критичным аутентификационным данным, а значит не подлежат хранению.
Стройте безопасность своего магазина в несколько уровней. Начните с брандмауэра, который не позволит злоумышленнику получить доступ к вашей сети, затем добавьте слои безопасности на контактные формы, пароли для входа в систему и поисковые запросы. Это защитит ваш магазин от атак на уровне приложений.
Обязательно защитите магазин от DDoS-атак с помощью облачных сервисов. Регулярно обновляйте софт и ставьте на вашу систему патчи безопасности. Обновляются как платформы WordPress и Magento, так и Perl, Java и Python, и такими обновлениями не стоит пренебрегать».
Алексей Богомолов:
«Сайт интернет-магазина может подвергнуться вирусной атаке, а его сотрудники – стать жертвами социальной инженерии или взлома личного кабинета. Особенно это опасно в случае с администратором сайта. Вы можете следить за обновлениями антивирусов и защитить свой ресурс от взлома, но если ваш админ работает в нескольких местах и имеет везде схожие пароли, то взломав другой его сайт, мошенники получат доступ и к вашему. Поэтому очень важно вводить второй фактор авторизации через sms, одноразовый пароль, а также проводить среди своих сотрудников работу по повышению грамотности в вопросах информационной безопасности. Еще одна, пожалуй, наиболее серьезная угроза для вашего бизнеса – DDoS-атаки. Как правило, они инициируются конкурентами. В результате такой атаки сайт оказывается заблокированным достаточно долгое время. Клиент, не имея возможности получить услугу у вас, не хочет ждать восстановления работы сервиса и идет к конкуренту. Для того, чтобы обезопасить себя от таких атак, важно регулярно проводить пентесты (тестирование на проникновение), в ходе которых так называемые «белые хакеры» – квалифицированные специалисты ИБ-компаний – проверяют вашу систему и дают рекомендации по устранению уязвимостей. Это недешевая услуга, но, если речь идет о платном веб-сервисе, его блокировка из-за DDoS или других целенаправленных атак, как правило, обходится дороже. Кроме того, при выборе хостинга вы можете уточнить у провайдера, предоставляет ли он услугу по защите от DDoS-атак, перенаправлению атак, либо самостоятельно установить программное обеспечение, защищающее от таких видов угроз».
Таким образом, покупатели должны остерегаться подозрительных писем или телефонных звонков, следить за тем, на какие страницы они переходят. При оплате рекомендуется пользоваться виртуальной картой и обращать внимание на то, активированы ли такие защитные механизмы, как двухфакторная аутентификация.
Продавцы для защиты должны задействовать шифрование, электронную цифровую подпись, защищенное соединение. Следует пользоваться услугами надежного хостинг-провайдера (желательно, чтобы была обеспечена защита от DDoS-атак), применять брандмауэр и своевременно обновлять программное обеспечение.
