Bardzo dużo czasu poświęcamy na rozmowy o ryzyku związanym z inwigilacją rządową, naruszeniami prywatności i problemami bankowości, jednak umyka nam powszechny problem, jakim jest zagrożenie bezpieczeństwa w branży e-commerce. Dotyczy ona tak naprawdę każdego serwisu, przez który przepływają pieniądze, choć do społecznej świadomości przebijają się tylko największe “skoki”. Co może zrobić właściciel firmy e-commerce, by ustrzec się przed zagrożeniami?
W tym tekście skupimy się na omówieniu najpowszechniejszych typów zagrożeń, na jakie są narażone firmy e-commerce. Aby dowiedzieć się, jak się przed nimi zabezpieczyć, przeczytaj wywiad z Sebastianem Gilonem, Dyrektorem ds. Bezpieczeństwa IT w TestArmy.
Internetowi złodzieje (dalej “hakerzy”) rzadko pracują jedynie dla rozrywki, a skupiają się raczej na budowaniu biznesów. W każdym biznesie najcenniejsza wartością jest czas, wobec czego starają się oni optymalizować swoje operacje. To sprowadza ich do szukania ofiar, które posiadają wartość i nie są dobrze chronione. Hakerzy szukają celów, na których mogą zarobić duże pieniądze w jak najkrótszym czasie, jak najmniejszymi nakładami.
Wobec tego, jednym z najlepszych celów jakie mogą sobie obrać – i obierają – są właśnie firmy e-commerce. Dlaczego?
Firmy e-commerce tworzą i utrzymują swoja grupę klientów głównie na bazie reputacji, wobec czego jest ona kolejnym (mniej oczywistym) powodem ataku – poprzez przejęcie infrastruktury danej firmy, mogą ją szantażować i grozić upublicznieniem informacji o włamaniu, co może doprowadzić do utraty zaufania klientów. Tego typu przypadki miały miejsce nie tylko w świecie e-commerce. W 2017 firma Uber chciała przekupić włamywaczy, by ci nie publikowali informacji o włamaniu. Koniec końców wyciek wyszedł na jaw, firma Uber poniosła wysokie kary finansowe, a wiele osób z zarządu zmuszonych było do opuszczenia firmy.
Takie zagrożenie nie dotyczy jednak tylko dużych firm – te posiadają zazwyczaj wystarczające środki, by przetrwać burzliwy okres skandalu wywołanego atakiem i np. wyciekiem danych (jak choćby w przypadku ataku na Sony Pictures). To w przypadku dopiero rozwijających się biznesów, bez silnej, globalnej marki, sabotaż może zdecydować o być lub nie być – doprowadzić do bankructwa i zniszczenia firmy.
Mieliśmy okazję obserwować ataki na firmy praktycznie każdego kalibru, począwszy od ogromnych korporacji, takich jak Acer, Sony, eBay, ale też mniejsze firmy, które zbankrutowały, nie mogąc podnieść się po stratach wywołanych pojedynczym włamaniem.
Czego konkretnie szukają hakerzy w branży e-commerce?
Wszystko sprowadza się do kreatywności atakujących, oraz tego, kto konkretnie uzyska dostęp do systemów. Często zdarza się, że dostęp do infrastruktury uzyskują automatyczne boty hakerów, które nie zwracają wcale uwagi na profil firmy, ale od razu szyfrują dyski komputerów poprzez instalację złośliwego oprogramowania (typu ransomware).
Mamy też ataki, które są dokładnie i ostrożnie zaplanowane przez grupy hakerskie, wymierzone konkretnie w daną firmę. Tego typu ataki będą skupiały się już na ekstrakcji danych czy wykradaniu namacalnych zasobów:
- Dane, które można wykraść i użyć potem do dalszych ataków
Sklepy e-commerce mają ogromną bazę informacji o każdym z klientów. Mowa nie tylko o danych personalnych, dostępach do kart kredytowych i historii zakupów, ale także wszystkich inne metadanych, jak np. informacjach o systemach operacyjnych i przeglądarkach, z jakich korzysta użytkownik X. Dla hakerów takie informacje są bezcenne, bo znacznie ułatwiają ataki celowane w konkretne osoby. Wiedząc, jakiego typu oprogramowania używa ofiara, można w o wiele bardziej niezawodny sposób przygotować swoje ataki i exploity.
- Przekierowania płatności
Będąc w stanie zmodyfikować kod działającej aplikacji, hakerzy mogą przekierować użytkowników na złośliwe strony i sprawić, by jakiś procent pieniędzy z przelewów był dostarczany na konta bankowe złodziei. Zdarzają się małe wstrzyknięcia kawałków kodu, które są podstawiane pod oryginalne formularze płatności, a cały proces przebiega bez naruszeń, jednak ten złośliwy kod przesyła dane kart kredytowych/kont bankowych do atakujących. Atakujący mogą wówczas ten dostęp wykorzystać natychmiast, bądź sprzedać innym złodziejom, specjalizującym się w kradzieżach pieniędzy z kart kredytowych, czyli tzw. Carderom.
- Atak na infrastrukturę i monetyzacja dostępu
Uzyskując dostęp do infrastruktury komputerowej danej firmy, można wyrządzić spore szkody zarówno jej, jak i jej klientom. Często zapomina się o tym, że bezpieczeństwo to nie tylko kwestia wycieków danych, ale też wszystko, co związane z dostępnością systemu, czyli tak zwana “triada CIA” – Poufność, Integralność i Dostępność danych i systemów. Atakujący, którzy doprowadzą do unieruchomienia infrastrukturę firmy, przez co nie będzie ona w stanie przyjmować zleceń, narażą ją na ogromne straty, czasem nawet bardziej kosztowne, niż sam wyciek baz danych. Największym potencjalnym problemem jest sytuacja, w której firma nie może funkcjonować i generować przychodów, wobec czego skupiać się należy na wszystkich aspektach związanych z operacyjnym funkcjonowaniem biznesu.
- Ataki drive by download
Ataki te wykorzystują reputację danej strony, zachęcając użytkownika do pobrania np. nowej aplikacji mobilnej, która będzie miała uprawnienia przejęcia kontroli nad systemem ofiary.
- Oszukiwanie systemu płatności i dokonywanie darmowych zakupów
Bardzo istotny jest bezpieczny system księgowania wpłat oraz audytowania operacji. Niektórzy atakujący nie są zainteresowani sianiem zniszczenia, jednak chcą wykorzystać możliwość zdobycia czegoś za darmo. Z tego typu nastawieniem spotyka się zazwyczaj u młodych hakerów, którzy odkryli jakąś lukę w sklepie i chcą zamówić coś bez płacenia. Tworząc własny system przetwarzania zamówień, deweloperzy nie wprowadzają czasem odpowiedniej walidacji całego łańcucha zamówienia, przez co atakujący mogą np. zmienić status zamówienia na “Opłacone” w bazie danych i oszukać sprzedawcę. O ile straty krótkoterminowe mogą być tutaj niewielkie, to wprowadzają wiele chaosu do firmy, która traci przez zamieszanie pieniądze i zasoby w dłuższej perspektywie. Tego typu ataki widujemy też w innych sektorach, np. gdy atakujący generuje sobie bony rabatowe na zakupy, czy ustala subskrypcje na zhakowanych telefonach i kontach bankowych, na kwotę wystarczająco niską, aby nie wzbudziła natychmiastowej reakcji ofiary, a jednocześnie wystarczająco wysoką, żeby wygenerować zysk dla złodzieja.
- Włamania na konta użytkowników
Jeśli aplikacja nie posiada odpowiednich zabezpieczeń, atakujący będą próbowali przeprowadzić ataki typu bruteforce, mające na celu uzyskać dostęp do kont klientów. Tutaj ryzyko dotyczy używania autoryzowanych przez użytkownika systemów płatności (np. podpiętych pod system kart kredytowych) i przekierować dostawę zamówienia na adres złodzieja. Niektórzy atakujący mogą też chcieć skasować dane użytkownika na koncie.
- Dobry użytkownik też może stać się zbyt… ciekawski
W modelu ryzyka portali e-commerce, powinniśmy brać pod uwagę również sytuacje, w których użytkownicy mogą być zbyt ciekawscy i zechcą spróbować sztuczek mających na celu np. obniżenie ceny produktu w nieetyczny sposób. Mówimy tutaj o próbach nadużyć funkcjonalności, ale także o całej działalności fraud&abuse prevention, w której musimy upewnić się, że użytkownicy i konkurencja nie mogą manipulować np. atrakcyjnością naszych produktów poprzez masowe wystawianie negatywnych recenzji.
Biorąc pod uwagę wszystkie wymienione zagrożenia (a jest ich jeszcze więcej), większość z nas powinna zrozumieć, że o bezpieczeństwo powinno dbać się dla dobra obu stron – właścicieli firm oraz konsumentów. Przyjrzyjmy się teraz, co mogą zrobić firmy z sektora
O ile nie jesteśmy w stanie zabezpieczyć się w 100 procentach, to możemy podnieść koszt włamania się do naszych systemów do takiego poziomu, że hakerom nie będzie się opłacało łamanie naszych zabezpieczeń.. Można też skupić się na minimalizowaniu negatywnych konsekwencji, gdy już dojdzie do przełamania zabezpieczeń. Żadna firma nie potrafi zabezpieczyć się w sposób idealny, ale każda firma może zrobić coś, co zniechęci atakujących, bądź sprawi, że konsekwencje udanego ataku będą o wiele mniej dotkliwe dla niej oraz jej klientów.
Oto lista czynności, które mogą podjąć firmy e-commerce, aby poprawić swoje bezpieczeństwo:
https://www.youtube.com/watch?v=6KfPLDOG5ws
- Używanie sprawdzonych komponentów i delegowanie odpowiedzialności za krytyczne operacje
Posiadanie pełnej kontroli nad kodem i zachowaniem budowanej aplikacja brzmi kusząco, jednak implementowanie wszystkich funkcjonalności własnymi siłami może zakończyć się dla bezpieczeństwa firmy tragicznie. W biznesie e-commerce takim krytycznym elementem są, między innymi, systemy płatności, których nie powinno się tworzyć samemu – ze względu na bezpieczeństwo klientów, jak i wymagania prawne co do ścisłej kontroli podmiotów przetwarzających dane finansowe. Korzystając z usług pośrednika płatności, biznes odciąża się z wielu rzeczy, wliczając w to odpowiedzialność, i może spokojnie skupiać się na rzeczach ważniejszych.
- Przeprowadzenie audytu bezpieczeństwa i oceny ryzyka biznesu
Większość firm skupia się na tym co popularne, czyli testach bezpieczeństwa aplikacji, zapominając o tym, że do skarbca, oprócz drzwi, prowadzą też okna. Każda organizacja powinna kompleksowo podchodzić do tworzenia zabezpieczeń – w rozmowach z firmami testującymi bezpieczeństwo, należy otworzyć się na sugestie oraz skorzystać z oceny ryzyk związanych z całą działalnością, a nie tylko aplikacją. Dzięki temu firma będzie mogła zwiększyć bezpieczeństwo wszystkich potencjalnych punktów wejścia, począwszy od edukacji pracowników, przez zabezpieczenie ich komputerów, aż po zabezpieczenie aplikacji i infrastruktury.
- Zabezpiecz punkty sprzedaży
Wszystko, co jest połączone z Twoją siecią główną, również jest celem ataków. Punkty sprzedaży często mają słabsze zabezpieczenia niż główne systemy firmy, dlatego są potencjalnym oknem, przez które można się włamać. Aby później zwiększyć swoje uprawnienia i wykorzystać je do przejęcia kontroli nad główną infrastrukturą. W dobie Internet of Things i trendu podłączania do sieci najrozmaitszych urządzeń, nie można zapominać o niczym, co łączy się z infrastrukturą firmy przez Internet – choćby był to wodomierz. Kompleksowo zadbała o to polska grupa kapitałowa Apator, która jest pionierem na polu aparatury pomiarowej. Case study testów dla Apatora świetnie dokumentuje ogrom niebezpieczeństw, na jakie można się nieświadomie wystawić. <link do case study https://testarmy.com/pl/casestudy/apator/)>
- Nie przechowuj więcej danych, niż to absolutnie konieczne
Im mniej danych posiadasz, tym mniej danych masz do ochrony i mniej bolesne konsekwencje poniesiesz w przypadku wycieku. Jest to rada nie tylko wynikająca ze zdrowego rozsądku, ale także z regulacji takich jak RODO. W sytuacji gromadzenia nadmiaru danych, na firmy mogą być nakładane wysokie kary pieniężne.
- Bądź konsekwentny w swoich kontaktach z klientem
Klienci powinni być w stanie łatwo rozpoznać, który email czy SMS został rzeczywiście wysłany przez twoją firmę, i czy nie jest to atak phishingowy. Wiele firm bardzo często zmienia szablony wiadomości w swoich kampaniach marketingowych, włącznie ze zmianami domen z których wysyłane są te maile, przez co użytkownikowi trudniej jest rozpoznać godną zaufania wiadomość i odróżnić ją od wiadomości wysłanej przez hakera.
http://cawi.mands.pl/d750971001f741eb0993eaa5e95cf684.pg
Zostaw komentarz