Informace o vaší soukromé kreditní kartě mohou být pod útokem
Klíčové věci
- Útočníkům se nedávno podařilo nainstalovat skimmery digitálních karet na více než 500 webových stránek.
- Břemeno ochrany leží na majitelích webových stránek.
- Bezpečnostní experti navrhují různé prostředky, které mohou uživatelé použít ke své ochraně.
Ilja Lukičev / Getty Images
Namísto kompromitování jednotlivých účtů hackeři změnili směr a nyní jdou po mateřském ložisku a instalují skimmery karet do internetových obchodů.
8. února 2022 bezpečnostní výzkumníci sdílené podrobnosti o hromadném průniku do více než 500 internetových obchodů provozujících platformu elektronického obchodu Magento. Útočníci nahráli skimmer platebních karet na všechny obchody, což je známé jako útok magecart. Ačkoli náprava spočívá v internetových obchodech, cílem jsou koncoví uživatelé, o kterých se odborníci domnívají, že by také měli být při online transakcích ostražitější.
„[Tento] nedávný útok by měl být jasnou připomínkou všem online patronům, [že] mají povinnost se chránit kromě toho, co očekáváte od svého poskytovatele internetového obchodu,“
Digitální skimming
Gustavo Palazolo, Staff Threat Research Engineer ve společnosti Netskope, řekl Lifewire e-mailem, že Magento je jednou z populárních platforem elektronického obchodu, na kterou se útočníci zaměřují, protože mnoho obchodů je zastaralých instance softwaru, zatímco jiné používají pluginy třetích stran, které někdy obsahují neopravené bezpečnostní chyby, které útočníkům umožňují implantovat digitální skimmery.
Řekl, že i když není snadné ověřit, zda web, na kterém nakupujete, byl cílem kampaně magecart, existuje několik opatření, která mohou uživatelé dodržovat, aby posílili svou online bezpečnost.
Palazolo doporučil používat rozšíření prohlížeče, která jsou schopna blokovat neznámé skripty, jako např NoScript pro Firefox. Obhajoval také používání antivirových řešení, která poskytují rozšíření prohlížeče, protože mohou skenovat navštívené webové stránky a blokovat škodlivé skripty.
Dodal, že Adobe již nepodporuje Magento v1, ale kvůli jeho popularitě existuje několik komunitou poskytovaných bezpečnostních záplat, které pomáhají zabezpečit tuto verzi. Navrhuje však, aby se uživatelé vyhýbali transakcím na webech, které využívají tuto nepodporovanou platformu.
Chcete-li ověřit, zda web, který nakupujete, používá nejnovější Magento v2, ukázal Palazolo na Wappalyzer pro Chrome a Firefox, který dokáže detekovat technologii za webovou stránkou.
„Pokud instalace rozšíření prohlížeče nepřichází v úvahu, mohou být online nástroje dobrou volbou k ověření podrobností o Magento, jako je např. MageReport, který vám může ukázat nejen verzi, ale také informace o bezpečnostních slabinách nalezených na webu, který se chystáte nakupovat,“ poradil Palazolo.
Buďte svým vlastním firewallem
Bradley řekl, že online nakupující nemusí být experty na kybernetickou bezpečnost, aby se chránili, ale musí mít mentalitu do hloubky, aby se nestali obětí.
„Kybernetická bezpečnost je jako cibule [složená] z více vrstev. Je důležité definovat svůj perimetr a zavést bezpečnostní opatření, abyste se ochránili,“ řekl Bradley. „Začněte u své banky nebo vydavatele kreditní karty. Zapněte všechna upozornění, která můžete, až do bodu, kdy to bude otravné a budete se muset vrátit a vytočit to."
Nerthuz / Getty Images
Navrhuje také zapnout vícefaktorové ověřování všude tam, kde je to možné, a hájí používání debetních karet, a zároveň využít možnosti zmrazení kreditu, která nic nestojí a pomáhá chránit zákazníky před identitou krádežemi.
Palazolo uvedl, že uživatelé by měli využít možnosti k generování jedinečných a dočasných čísel digitálních karet pro online nákupy. I když je web infikován, tato možnost zajistí, že údaje o odcizené kartě nebudou útočníkům k ničemu.
Oči dokořán
Erich Kron, obhájce bezpečnostního povědomí KnowBe4, navrhl, aby zákazníci pravidelně kontrolovali své výpisy z kreditních karet a bankovních účtů a nespouštěli oči z důvodu neobvyklých poplatků nebo nákupů.
„Příliš často se poplatky jednoduše připočítají k zůstatku na kreditní kartě, aniž by si toho oběť všimla. Dokonce i malé poplatky, jeden nebo dva dolary najednou, které lze použít k potvrzení kyberzločince, že karta je stále platná, může to být známkou toho, že karta byla kompromitována,“ sdílel Kron s Lifewire prostřednictvím e-mailem.
"Je důležité definovat svůj perimetr a zavést bezpečnostní opatření, abyste se chránili."
Navrhl také, že uživatelé by měli rozumět ochraně, kterou nabízejí jejich kreditní karty, a musí si být vědomi všech dostupných možností, jak rychle nahlásit podezřelé poplatky.
Nicméně na konci dne je odpovědností vlastníků webových stránek elektronického obchodu zajistit, aby provozovali bezpečnou loď, zdůraznil Kunal Modasiya, vrchní ředitel produktového managementu společnosti zabývající se kybernetickou bezpečností PerimeterX. Řekl, že protože akce spotřebitelů jsou omezené, majitelé webových stránek elektronického obchodu musí používat řešení, která poskytují nepřetržitý přehled o akcích, které se dějí na jejich webových stránkách.
„Společnosti elektronického obchodu by měly používat vícevrstvé hloubkové řešení obrany, které pomáhá chránit informace o účtech a identitách uživatelů všude na jejich digitální cestě.“