Фішинг в інтернет-магазинах – як від нього захиститися?

Кожен, хто бажає запустити інтернет-магазин, повинен знати, що недостатньо просто створити сторінку магазину і вставити товари з описами та зображеннями. Розробка магазину – це трудомісткий і складний процес. Важливо пам’ятати, що ведення магазину пов’язане з багатьма ризиками – мова йде не лише про негативні відгуки від розгніваних клієнтів, які можуть відштовхнути інших від покупок. Однією з дуже серйозних загроз є так званий фішинг. Магазин може стати мішенню для атаки та виманювання даних клієнтів. Що таке фішинг і як від нього захиститися?

Що таке фішинг?

Фішинг стає все більш поширеним засобом атаки, жертвами якої стають люди, що використовують Інтернет, незалежно від того, чи ведуть вони бізнес, чи замовляють товари або послуги. Шахраї вправно видають себе за відомі бренди, в тому числі за інтернет-магазини. Вони можуть видавати себе за будь-який популярний веб-сайт або важливу установу, наприклад, банк. Вони використовують підроблені веб-сайти та електронні адреси, які практично нічим не відрізняються від оригінальних компаній, про які йде мова. Навіть домени підроблених веб-сайтів часто оманливо виглядають як справжні домени компанії. Мета – отримати дані для входу в систему від власника магазину чи сайту, який сам надає їх, вважаючи, що їх запитує власник сайту чи установи (послугами якої він користується вже тривалий час).

Чому інтернет-магазини все частіше стають жертвами фішингу?

Кількість атак на інтернет-магазини зростає з кількох причин. Перш за все, магазин продає товари покупцям, тому його бізнес базується на постійній взаємодії з ними. З іншого боку, клієнти, які хочуть щось купити, повинні створити обліковий запис на сайті магазину і, навіть якщо вони купують як гість, повинні надати свої особисті, адресні та контактні дані, щоб покупку можна було доставити і надіслати повідомлення про неї. Тому магазини часто мають величезні бази даних клієнтів, які вони обробляють.

Крім того, жоден інтернет-магазин не може дозволити, щоб його магазин з якихось причин був скомпрометований на публічному форумі, оскільки це означатиме втрату довіри клієнтів і кінець бізнесу, оскільки ніхто більше не захоче нічого купувати. Однак найважливішою причиною, окрім наявності маси персональних даних, є те, що магазини заробляють гроші, і часто не так вже й багато. Тому шахраї знають, що власники магазинів мають гроші, щоб покрити викуп, який вони вимагають, щоб захистити магазин і його імідж. Нерідко в таких ситуаціях шахраї вимагають викуп, погрожуючи оприлюднити отримані ними дані, якщо жертва не заплатить, а це те, чого власники магазинів не можуть собі дозволити.

За даними “Лабораторії Касперського”, за перші 10 місяців минулого року кількість фішингових атак на інтернет-магазини та віртуальні банки, в яких зареєстровані її фірмові продукти, склала понад 40 мільйонів!

Наслідки фішингу в інтернет-магазинах

Ваш інтернет-магазин може стати жертвою фішингу двома способами.

• На вас може напасти шахрай, який видає себе за представника якоїсь установи або веб-сайту, але також може статися так, що шахрай видає себе за ваш магазин і атакує ваших клієнтів. У першому випадку шахрай може викрасти дані ваших клієнтів і вимагати викуп в обмін на нерозголошення.
• У другому випадку проблема може бути ще серйознішою. Шахрай може легко підробити сторінку магазину, щоб вона виглядала як справжня. Він може виконати ті ж самі шкідливі дії з електронними листами або повідомленнями клієнтам у соціальних мережах. Після такої атаки клієнти сприйматимуть ваш бізнес як несправжній і вважатимуть вас шахраєм. Повернути їхню довіру буде складно, і справа може навіть закінчитися судом. Це може виглядати так: клієнт спокусився на якусь спеціальну пропозицію в магазині, про яку він або вона отримали електронного листа від шахрая, але дуже схожого на ваш. Посилання з електронного листа веде на майже ідентичну сторінку вашого магазину. Клієнт робить замовлення і, звісно, платить. Потім він чекає на доставку, яку так і не отримує, і тут починаються ваші проблеми, адже саме ви отримуєте повідомлення зі скаргами, претензіями, а ви не маєте жодного уявлення про те, що сталося. Ви нічого не можете зробити, а це означає, що роздратований клієнт може навіть викликати поліцію.

Початок проблем – це, наприклад, програмне забезпечення, встановлене на сервері, яке видає себе за інший веб-сайт. Тоді хостингова компанія може відреагувати і заблокувати ваш акаунт, якщо під вашим доменом відкриється фейковий сайт. Крім того, ви можете очікувати візиту поліції, оскільки ви є власником домену та сервера. Тому саме вам доведеться пояснювати, що сталося і чому під вашим доменом з’явилася фальшива сторінка. Якщо ви зможете довести, що стали жертвою шахраїв – добре. Якщо ні, то можете попрощатися з магазином і все одно доведеться сплатити штраф, призначений судом.

Чи можете ви захиститися від фішингу?

Фішинг – поширене явище, від якого важко захиститися. Однак є певні кроки, які можна зробити, щоб зменшити ймовірність такої атаки. Як можна перехитрити шахраїв? Ось кілька способів:

• Реєструючи доменне ім’я, варто пам’ятати, що воно не повинно містити літер, які майже ідентичні символам іноземних алфавітів, наприклад, кирилиці;
• переконайтеся, що SSL-сертифікати мають рівень EV, оскільки це забезпечує можливість шифрування зв’язку між клієнтом і браузером, який він використовує;
• Двофакторна верифікація – подвійна безпека є чудовим рішенням, що зводить ризик входу шахрая до нуля. Другим компонентом може бути, наприклад, введення коду, отриманого електронною поштою або SMS, або відповідь на запитання. Бажано також використовувати капчу, щоб жодна програма чи бот не зміг увійти в систему, оскільки тільки людина може виконати команду цього інструменту;
• фрази або зображення для верифікації клієнта – персоналізовані фрази або зображення, відомі лише власнику облікового запису, які необхідно вказувати при вході в систему, також будуть хорошим інструментом захисту;
• суворі правила встановлення паролів та входу з неповними паролями – варто нагадувати новим клієнтам, які реєструються, що паролі повинні бути достатньо довгими та складними. Доцільно встановити правила, що він не може бути коротшим, ніж, наприклад, 8 символів, і повинен містити великі літери, цифри та спеціальні символи. Крім того, корисно входити в систему з неповним паролем. Це часто використовують банки. Підсвічуються лише кілька символів пароля, які потрібно ввести замість повного пароля. Це також хороший патент для шахраїв;
• найновіші версії програмного забезпечення – дуже важливо постійно оновлювати програмне забезпечення, оскільки нові версії містять покращення та виправлення, які закривають лазівки, якими в старих версіях можуть легко скористатися шахраї, щоб зламати систему та отримати контроль над доменом і сервером;

Що робити, якщо магазин став жертвою фішингу?

З моменту, коли дані клієнта потрапляють до рук шахрая, час має вирішальне значення. Кожна хвилина на рахунку, тому не потрібно витрачати час на зайві рухи та дії, які нічого не дадуть.

• Перш за все, потрібно діагностувати та оцінити масштаб витоку даних і проаналізувати підроблені матеріали – веб-сайт, електронні листи – щоб знайти деталі, які відрізняють їх від оригіналу. Потім потрібно з’ясувати, скільки клієнтів вже отримали фейкові повідомлення і скільки з них були обмануті.
• Наступний крок – зв’язатися з хостинговою компанією та розіслати копію підробленого веб-сайту і повідомлення клієнтам з поясненням відмінностей і попередженням. Це можна зробити не лише електронною поштою, а й, наприклад, у своєму блозі, на сайті чи в соціальних мережах, тобто скрізь, де сконцентровані клієнти магазину.
• Також варто повідомити про ситуацію в CERT – польську організацію, що працює в структурі NASK і займається виявленням та реагуванням на будь-які небезпеки в Інтернеті.

Як виявити підроблений веб-сайт або електронну пошту?

• У випадку з веб-сайтом, відсутність видимого доменного імені або його неправильна мова повинні викликати занепокоєння.
• Слід подбати про те, щоб буква не була замінена ідентичним символом з іншого алфавіту. Найчастіше для цього використовуються символи кирилиці, багато з яких виглядають ідентично до наших літер, хоча означають дещо інше.
• Відсутність навісного замка перед адресою сайту також буде тривожною ознакою. Також потрібно звернути увагу на дизайн сайту і перевірити відповідність сертифікату та наявність назви магазину в його реквізитах. Не пропустіть перевірку нижнього колонтитула.
• У випадку електронного листа особливо важливими є дані відправника – ім’я та адреса електронної пошти, а також домен. Варто перевірити, щоб посилання не виглядало підозріло, а також сторінку, на яку воно посилається. Крім того, важливо звернути увагу на помилки та друкарські помилки – зрештою, ви не робите їх самі. Також варто перевірити прехедер, тобто анонс повідомлення, тему, яка повинна відповідати темі в магазині, а також весь макет повідомлення і текст у нижньому колонтитулі.

Фішинг – підсумок

Жертвою фішингу може стати будь-який інтернет-магазин, як і будь-яка компанія, яка продає та пропонує щось, збираючи у своїх базах дані багатьох клієнтів. Запобігти такій атаці непросто, але можна мінімізувати її ризик за допомогою певних заходів. Не варто плутати фішинг і хакерство. Злом зазвичай відбувається за спиною власника сайту, і дані просто викрадаються. Фішинг, з іншого боку, є навмисною дією, яка спонукає власника сайту добровільно надати дані для доступу до баз даних. Варто пам’ятати, що жодна установа чи особа не повинна просити про це, а якщо хтось вимагає гроші в обмін на непублікацію даних, слід негайно повідомити про це в поліцію.

Захист від атак, у тому числі фішингу, може бути забезпечений належним чином керованою корпоративною мережею магазину та хорошим інтернет-з’єднанням. Вибираючи хостинг-провайдера, варто також переконатися, що з вами не буде важко зв’язатися в разі виникнення проблем. Користуючись послугами ITH та KRU.PL, ви можете бути впевнені в безпеці та можливості контакту в будь-який час доби. Це професійні інтернет-сервіси, тому загроза будь-яких атак буде дійсно мінімальною. Пропозиція дійсно приваблива – на Kru.pl ви можете скористатися спеціальною акційною пропозицією лише до кінця року.