Հիմնական տանողներ
- Հարձակվողներին վերջերս հաջողվել է տեղադրել թվային քարտերի սկիմերներ ավելի քան 500 կայքերում:
- Պաշտպանության պատասխանատվությունը կրում են կայքերի սեփականատերերը:
-
Անվտանգության փորձագետներն առաջարկում են տարբեր միջոցներ, որոնք օգտատերերը կարող են օգտագործել իրենց պաշտպանելու համար:
Անհատական հաշիվները վտանգի ենթարկելու փոխարեն հաքերները փոխել են սկզբունքը և այժմ գնում են մայր բոնի հետևից՝ առցանց վեբ խանութներում տեղադրելով քարտերի սկիմերներ:
2022 թվականի փետրվարի 8-ին անվտանգության հետազոտողները մանրամասներ են ներկայացրել Magento էլեկտրոնային առևտրի հարթակը գործող ավելի քան 500 առցանց խանութներում զանգվածային խախտման մասին:Հարձակվողները բոլոր խանութների վրա բեռնել են վճարային քարտի skimmer, ինչը հայտնի է որպես magecart հարձակում: Թեև խնդիրը կապված է առցանց խանութների վրա, թիրախները վերջնական օգտագործողներն են, ովքեր, փորձագետների կարծիքով, պետք է նաև ավելի զգոն լինեն առցանց գործարքներ կատարելիս:
«[Այս] վերջին հարձակումը պետք է խիստ հիշեցում լինի բոլոր առցանց հովանավորներին [որ] նրանք պարտավոր են պաշտպանել իրենց՝ ի հավելումն այն, ինչ դուք ակնկալում եք ձեր առցանց խանութի մատակարարից, «Ռոն Բրեդլի, Համօգտագործվող գնահատումների փոխնախագահ։, ասել է Lifewire-ին էլփոստով:
Digital Skimming
Գուստավո Պալազոլոն, Netskope-ի անձնակազմի սպառնալիքների հետազոտման ինժեներ, Lifewire-ին էլփոստով հայտնել է, որ Magento-ն էլեկտրոնային առևտրի հանրաճանաչ հարթակներից մեկն է, որը թիրախավորվում է հարձակվողների կողմից, քանի որ շատ խանութներ օգտագործում են ծրագրաշարի հնացած օրինակներ, մինչդեռ մյուսներն օգտագործում են երրորդ կողմի պլագիններ, որոնք երբեմն պարունակում են չկարկատանային անվտանգության թերություններ, որոնք հարձակվողներին թույլ են տալիս տեղադրել թվային skimmers:
Նա ասաց, որ թեև հեշտ չէ ստուգել, թե արդյոք այն կայքը, որից գնումներ եք կատարում, եղել է magecart արշավի թիրախ, կան մի քանի միջոցներ, որոնք օգտատերերը կարող են հետևել իրենց առցանց անվտանգությունն ամրապնդելու համար:
Palazolo-ն խորհուրդ է տալիս օգտագործել բրաուզերի ընդլայնումներ՝ արգելափակելու անհայտ սկրիպտները, օրինակ՝ NoScript-ը Firefox-ի համար: Նա նաև հանդես է եկել հակավիրուսային լուծումների օգտին, որոնք ապահովում են բրաուզերի ընդլայնումներ, քանի որ դրանք կարող են սկանավորել այցելած կայքը և արգելափակել վնասակար սկրիպտները:
Նա ավելացրեց, որ Adobe-ն այլևս չի աջակցում Magento v1-ին, սակայն դրա հանրաճանաչության պատճառով կան համայնքի կողմից տրամադրված մի քանի անվտանգության patches, որոնք կօգնեն ապահովել այս տարբերակը: Այնուամենայնիվ, նա առաջարկում է օգտատերերին խուսափել գործարքներ կատարելուց այս չաջակցվող հարթակով աշխատող վեբկայքերով:
Հաստատելու համար, թե արդյոք ձեր կողմից գնումներ կատարած կայքը գործարկում է վերջին Magento v2-ը, Palazolo-ն մատնանշեց Chrome-ի և Firefox-ի համար նախատեսված Wappalyzer-ը, որը կարող է հայտնաբերել վեբ էջի հետևում գտնվող տեխնոլոգիան:
«Եթե բրաուզերի ընդլայնում տեղադրելը տարբերակ չէ, առցանց գործիքները կարող են լավ ընտրություն լինել Magento-ի մասին մանրամասները ստուգելու համար, օրինակ՝ MageReport-ը, որը կարող է ձեզ ցույց տալ ոչ միայն տարբերակը, այլև տեղեկություններ անվտանգության խոցելիության մասին կայք, որը պատրաստվում եք գնումներ կատարել», - խորհուրդ է տվել Պալազոլոն:
Եղեք ձեր սեփական Firewall
Բրեդլին ասաց, որ առցանց գնորդները պարտադիր չէ, որ լինեն կիբերանվտանգության փորձագետներ իրենց պաշտպանելու համար, այլ պետք է ունենան խորը պաշտպանական մտածելակերպ, որպեսզի խուսափեն զոհերից:
«Կիբերանվտանգությունը նման է մի քանի շերտերից [կազմված] սոխի: Կարևոր է սահմանել ձեր պարագիծը և կիրառել անվտանգության միջոցներ՝ պաշտպանվելու համար», - ասաց Բրեդլին: «Սկսեք ձեր բանկից կամ կրեդիտ քարտի թողարկողից: Միացրեք բոլոր ծանուցումները, որոնք հնարավոր է, այն աստիճան, որ դա նյարդայնացնում է, և դուք պետք է վերադառնաք և հավաքեք այն»:
Նա նաև առաջարկում է հնարավորության դեպքում միացնել բազմագործոն նույնականացումը և պաշտպանում է դեբետային քարտերի օգտագործումը՝ միաժամանակ օգտվելով վարկի սառեցման հնարավորությունից, որը ոչինչ չի պահանջում և օգնում է պաշտպանել հաճախորդներին ինքնության գողությունից:
Պալազոլոն ասաց, որ օգտվողները պետք է օգտագործեն առցանց գնումների համար եզակի և ժամանակավոր թվային քարտերի համարներ ստեղծելու հնարավորությունը: Նույնիսկ եթե կայքը վարակված է, այս տարբերակը կապահովի, որ գողացված քարտի տվյալները ոչ մի օգուտ չեն տալիս հարձակվողներին:
Աչքեր լայն բաց
Էրիխ Կրոնը՝ KnowBe4-ի անվտանգության իրազեկման պաշտպանը, գնորդներին առաջարկել է կանոնավոր կերպով վերանայել իրենց կրեդիտ քարտը և բանկային քաղվածքները՝ ուշադրություն չդարձնելով անսովոր գանձումներին կամ գնումներին:
«Շատ հաճախ, վճարները պարզապես ավելանում են վարկային քարտի մնացորդին, առանց տուժողի նկատելու: Նույնիսկ փոքր գանձումները, մեկ-երկու դոլար միաժամանակ, որոնք կարող են օգտագործվել կիբերհանցագործին հաստատելու համար, որ քարտը դեռևս գոյություն ունի: վավեր է, կարող է նշան լինել, որ քարտը վտանգված է», - Կրոնը կիսվել է Lifewire-ի հետ էլփոստի միջոցով:
«Կարևոր է սահմանել ձեր պարագիծը և անվտանգության միջոցներ ձեռնարկել ինքներդ ձեզ պաշտպանելու համար»:
Նա նաև առաջարկեց, որ օգտատերերը պետք է հասկանան իրենց կրեդիտ քարտերի կողմից առաջարկվող պաշտպանությունները և տեղյակ լինեն իրենց հասանելի բոլոր տարբերակների մասին՝ արագորեն հայտնելու կասկածելի վճարները:
Սակայն, ի վերջո, էլեկտրոնային առևտրի կայքերի սեփականատերերի պարտականությունն է ապահովել, որ նրանք անվտանգ նավ են վարում, մատնանշում է Կունալ Մոդասիան՝ կիբերանվտանգության ընկերության PerimeterX ընկերության արտադրանքի կառավարման ավագ տնօրենը:Նա ասաց, որ քանի որ սպառողների գործողությունները սահմանափակ են, էլեկտրոնային առևտրի կայքերի սեփականատերերը պետք է օգտագործեն լուծումներ, որոնք ապահովում են շարունակական տեսանելիություն իրենց կայքերում կատարվող գործողությունների նկատմամբ:
«Էլեկտրոնային առևտրի ընկերությունները պետք է օգտագործեն բազմաշերտ պաշտպանական խորը լուծում, որն օգնում է պաշտպանել օգտատերերի հաշիվը և ինքնության տեղեկությունները ամենուր նրանց թվային ճանապարհորդության ընթացքում»:
