E-shopy s hackerským naslouchátkem
Internetový obchod zažívá enormní nárůst. Zároveň s tím ale přichází vlna hackerských útoků, které se na e-shopy zaměřují. Největší nebezpečí představuje škodlivý kód, který krade čísla kreditních karet.
Známý web o počítačové bezpečnosti Threatpost nedávno uspořádal webinář se skupinou odborníků na kybernetickou bezpečnost. Týkal se hlavně tlaku hackerských skupin na e-shopy. Tento tlak je přímým důsledkem růstu internetového maloobchodu během posledního roku. Odstartovala ho pandemie nemoci covid-19. Mnoho obchodníků však přecházelo z kamenných obchodů na internet už před ní. Během webináře došlo na výsledky průzkumu, podle nějž se šest procent expertů obává DDoS útoků, 19 procent se bojí APT, 25 procent má strach z úniků dat a celých 44 varovalo před útoky typu Magecart.
Poslední zmíněná kategorie je nejzajímavější. Řeč je o řadě hackerských skupin, které využívají podobné postupy jako při takzvaném skimmingu. Podstatou je krádež údajů o platebních kartách zákazníků. Hackeři většinou napřed nějakým způsobem propašují svůj kód na web obchodu. Mohou buď přímo proniknout do jeho IT infrastruktury nebo využít kód třetích stran, například inzeráty. V dnešní době, kdy velké weby běžně využívají kód od desítek různých partnerů, to pro útočníky není těžké.
Škodlivý kód je obvykle v JavaScriptu. Bývá schválně špatně čitelný, aby si ho vývojáři nebo administrátoři obchodů nevšimli. Má za úkol naslouchat zadávání čísel kreditních karet, jmen jejich majitelů a bezpečnostních kódů na jejich zadních stranách. Když sesbírá data, pošle je prostřednictvím prohlížeče samotného zákazníka hackerům. Ti s nimi pak dál pracují. Většinou nakoupí zboží, které přeprodávají.
Z pohledu bezpečnosti dat je obrana poměrně jednoduchá. Obchodníci musí vyžadovat lepší ověření identity zákazníka než jen číslo jeho kreditní karty a kód na její zadní straně. Bohužel však platí, že čím komplikovanější jsou bezpečnostní opatření, tím méně zákazníků dokončí svoje nákupy. Většina lidí vyplňuje hesla, opisuje kódy a tak podobně několikrát denně. Každé další takové opatření navíc je otravuje.
Obchodníci se tak dostávají mezi dva mlýnské kameny. Buď mohou riskovat únik dat, z nějž bude zákazník vinit je, nebo riskovat nižší tržby. Problém s bezpečností dat na internetu nejspíš zhorší nastupující období vánočních nákupů. Lze očekávat, že se brzy dočteme o velkých bezpečnostních incidentech a únicích dat klientů. Magecartovým útokům už v minulosti podlehl například americký gigant Ticketmaster, který prodává vstupenky, aerolinky British Airways, nebo obchod se spotřební elektronikou Newegg.
