klepy internetowe wypełnione danymi konsumentów to bez wątpienia łakomy kąsek dla hakerów. Z okazji Dnia Bezpiecznego Internetu, który obchodzimy 7 lutego, zapytaliśmy Tomka — specjalistę od bezpieczeństwa systemów e-commerce w Strix — o to, co grozi branży ze strony przestępców internetowych i jak dbać o bezpieczeństwo sklepu.
Jakie są najczęściej spotykane ataki na e-commerce?
Ataki w e-commerce możemy podzielić na dwie grupy. Do pierwszej z nich należą ataki skierowane przeciwko systemom. W drugiej grupie znajdziemy ataki przeciwko użytkownikom, czyli klientom sklepów internetowych. E-commerce nie jest szczególną kategorią, która jest bardziej podatna na ataki. Ale trzeba pamiętać, że jedną z głównych motywacji cyberprzestępców są pieniądze, co sprawia, że e-commerce jest narażony np. na oszustwa finansowe, czyli używanie skradzionych danych do tego, by kupować w sklepie. Natomiast jeśli spojrzymy na statystyki — wg rankingu OWASP w 2021 roku najpopularniejszą kategorią ataków był tzw. broken access control, czyli sytuacja, gdy użytkownik dostaje uprawnienia do korzystania z zasobów, do których nie powinien mieć dostępu.
Na czym polega ten rodzaj ataku w praktyce?
Załóżmy, że jako klient sklepu mamy kartę podarunkową. Po zalogowaniu do naszego konta powinniśmy widzieć tylko naszą kartę i jej aktualny stan. Naruszenie typu broken access control powoduje, że użytkownik A może podglądać zawartość i dane karty użytkownika B. Dochodzi wtedy nie tylko do wycieku danych, ale też atakujący zyskuje możliwość wykorzystywania kart i zrobienia za ich pomocą zakupów. Taki atak może być masowy i spowodować duże straty dla biznesu.
Jakie jeszcze ataki na systemy możemy wyróżnić?
Przykładem takiego ataku jest np. DDoS, czyli distributed denial-of-service attack. Ten atak polega na tym, że do danego systemu jednocześnie spływa duża liczba żądań z wielu adresów IP. W takiej sytuacji system albo powoli się ładuje, albo tracimy do niego całkowity dostęp, czyli klienci nie mogą kupować w naszym sklepie. W ostatnim czasie popularne są też ataki z wykorzystaniem złośliwego oprogramowania malware, np. z kategorii ransomware. Takie oprogramowanie infekuje konkretny system i szyfruje na nim pliki, blokując pracę. Żeby wyjść z tej sytuacji, w przypadku złego przygotowania, czasem nawet trzeba zapłacić okup.
Dużą grupą ataków są ataki związane z wykorzystaniem tzw. podatności.
Są to ataki, które wykorzystują wcześniej opublikowane luki danego systemu. Częstą przyczyną w takich przypadkach niestety bywa błąd człowieka lub brak świadomości na temat zagrożeń, bo malware jest dystrybuowany za pośrednictwem e-maili, gdzie atakujący umieszczają link, który przekierowuje ofiarę dalej. Po kliknięciu i infekcji złośliwe oprogramowanie może zostać rozprzestrzenione na kolejne komputery w danej sieci. Często taki atak jest precyzyjnie wycelowany, czyli wiadomość nie trafia do pierwszego lepszego pracownika, ale np. do administratora systemu. Wtedy skuteczność takiego ataku jest znacznie większa i niesie za sobą poważniejsze skutki.
A na czym polegają ataki bezpośrednio na klientów sklepów?
Najczęściej spotykanym działaniem szkodliwym jest phishing. To sytuacja, gdy użytkownicy sklepu otrzymują maile lub SMS-y z wiadomością o konieczności uiszczenia dodatkowej opłaty do zamówienia. W takich wiadomościach znajdują się linki, które przekierowują klientów do systemu, który łudząco przypomina bramkę płatniczą w danym sklepie. Głównym celem atakujących jest pozyskanie danych bankowych. Chwila nieuwagi prowadzi do tego, że właściciel konta traci określoną kwotę, a czasem oszczędności całego życia.
Jak właściciele sklepów mogą zadbać o bezpieczeństwo swoich systemów?
Podstawą jest bieżące aktualizowanie systemu i wszystkich aplikacji wchodzących w jego skład oraz korzystanie z antywirusów i oprogramowania typu firewall, które odsiewają próby ataków. Drugą ważną rzeczą jest edukowanie pracowników na temat bezpieczeństwa. Mam na myśli wszystkich pracowników, również developerów. Programiści podczas kodowania powinni brać pod uwagę kwestie bezpieczeństwa i wykonywać skany kodu pod kątem podatności. Trzecia kwestia to regularne testy. Dopóki nie wiemy, że nasz system e-commerce jest podatny na atak, wydaje nam się, że nic nam nie grozi. Tymczasem tylko regularne testy pozwalają określić poziom bezpieczeństwa systemu e-commerce.
W Strix jesteś odpowiedzialny za przeprowadzanie testów dla naszych klientów. Na czym polega twoja praca w kontekście bezpieczeństwa w e-commerce?
Bezpieczeństwo w IT można podzielić na dwa fronty — niebieski i czerwony. Jak można się domyślić, czerwony kolor oznacza atak, a niebieski — ochronę i monitoring. W mojej pracy myślę jak haker, próbuję złamać logikę biznesową, luki w funkcjonalności, ale podkreślmy to wyraźnie — pracuję na korzyść projektów, którymi się zajmuję. Na co dzień szukam właśnie podatności systemów, czyli słabych punktów, które mogłyby zostać wykorzystane przeciwko danej firmie. Przygotowuję scenariusze i rekomendacje tego, jak można rozwiązać takie podatności. Na co dzień stosuję się też do wytycznych organizacji OWASP, która tworzy standardy dotyczące bezpieczeństwa aplikacji internetowych.
A jakie są twoje codzienne sposoby na zachowanie bezpieczeństwa podczas zakupów online?
Pierwszą rzeczą, którą zawsze sprawdzam to szyfrowanie strony. Patrzę, czy przy adresie strony widoczna jest kłódka. Na chwilę obecną nie jest to trudne, by mieć SSL, ale jeśli strona nie ma szyfrowanych protokołów, to na pewno tam nic nie kupię. Nie kupię również tam, gdzie znajdują się jakieś nieznane mi systemy płatnicze. Poza tym robię to, co każdy klient sklepu powinien — czytam opinie innych użytkowników, którzy wcześniej przeszli ścieżkę zakupową w danym miejscu i sprawdzam, czy nie natrafili na jakieś zagrożenia.