Phishing w e-commerce

Phishing w e-commerce
O autorze
7 min czytania 2022-04-19

Pobierz Trendbook NowegoMarketingu 2022

W Polsce funkcjonuje około 100 000 sklepów internetowych Większość z nich oparta jest o platformy WooCommerce, PrestaShop. Magento. Sporo jest też aplikacji SaaS. Bez względu na to, czy prowadzisz sklep samodzielnie, czy też w oparciu o platformę SaaS – przeczytaj ten wpis, bo phishing zagraża każdemu, kto działa w oparciu o swoją markę.

Phishing – na czym to polega?

Phishing to rodzaj ataku, w którym atakujący próbuje przekonać ofiarę, iż reprezentuje stronę, sklep, bank – markę – której ofiara ufa. Zazwyczaj dzieje się to poprzez podrobioną stronę i e-maile, łudząco podobne do prawdziwych. Często celem takich działań jest pozyskanie danych logowania. Ofiara podaje swój login i hasło przekonana, że podaje je właściwemu podmiotowi, ale dane trafiają do atakującego.

Ten rodzaj ataku, w przeciwieństwie np. do SQL Injection nie polega na przełamaniu zabezpieczeń systemów informatycznych czy wykorzystaniu luk w oprogramowaniu. W tego typu ataku ofiary dobrowolnie podają swoje hasła atakującym.

LinkedIn logo
Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
Obserwuj

Phising w e-commerce – możliwe skutki

Naruszenie reputacji w wyniku ataku phishingowego

Mimo że atakujący na swojej infrastrukturze uruchomił stronę internetową podszywającą się pod Ciebie i odbyło się to całkowicie bez Twojej wiedzy – klienci będą o tym pamiętać. Będą wiedzieć, że sklep internetowy, w którym kupowali, okazał się być podrobiony – a to może ograniczyć zaufanie do Twojej marki w przyszłości.

Słuchaj podcastu NowyMarketing

Problemy prawne – prosty phishing

NowyMarketing logo
Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
Rozwijaj się

Oszukane osoby, które np. złożą zamówienie za pośrednictwem fałszywego sklepu, podając dane na fałszywej stronie – mogą do samego końca nie być świadome skutków swojego działania. Po kilku dniach od płatności zorientują się, że nie otrzymały przesyłki z zamówionym towarem. Wielu z tych klientów złoży u ciebie reklamacje i zajmie twój czas. Następnie zwrócą się do organów ścigania, które prawie na pewno będą chciały porozmawiać również z Tobą.

Phishing na Twoim koncie – skutki prawne i hostingowe

W wypadku, kiedy na twoim serwerze, bez twojej wiedzy, ktoś zainstaluje oprogramowanie udające inną stronę internetową – stajesz się narażony lub narażona na spore problemy!

Po pierwsze firma hostingowa może zwyczajnie zablokować twoje konto, kiedy okaże się, że pod twoją domeną otwiera się fałszywa strona internetowa.

Po drugie organy ścigania mogą przyjść do ciebie jako do właściciela domeny i serwera i to przed nimi będziesz tłumaczyć się z tego, jak mogło dojść do sytuacji, w której na twoim serwerze pod twoją domeną znalazła się fałszywa strona internetowa.

Na szczęście, kiedy prawidłowo dbasz o swoją stronę, nie musisz się obawiać przesłuchania w takiej sprawie. Do takich sytuacji dochodzi głównie wtedy, kiedy korzystasz ze starych, dawno nie aktualizowanych wersji oprogramowania.

Phishing a wymuszenia okupu

Wyobraź sobie sytuację, w której prowadzisz sklep internetowy. Ktoś przygotował atak phishingowy, w efekcie którego loginy i hasła Twoich klientów wpadają w jego niepożądane ręce. W takim wypadku nie tylko ich osobiste majątki czy usługi internetowe zostają w ten sposób narażone! Atakujący, któremu udało pozyskać się w ten sposób dane logowania twoich klientów, możecie Cię zacząć szantażować! Wystarczy, że zwróci się do Ciebie z kilkoma przykładowymi rekordami, „dowodzącymi” faktu, że wykradł bazę twoich klientów. W takiej sytuacji staniesz przed poważnym wyzwaniem. Jak sprawdzić, czy otrzymana próbka rekordów to dane wszystkich klientów? Czy naprawdę zostały one wykradzione z Twojego sklepu? Może doszło do jakiegoś włamania na stronę? A może cały serwer został skompromitowany?

Phishing – jak się bronić, kiedy prowadzisz sklep?

Mówiąc o obronie przed phishingiem, warto zwrócić uwagę na dwa aspekty tego zagadnienia – ochrona sklepu lub strony oraz ochrona użytkowników. Zbiory te są częściowo wspólne, ale mówiąc o ochronie sklepu internetowego lub strony – trzeba wziąć pod uwagę znacznie więcej aspektów.

Domena sklepu

Atak tego rodzaju jest bardzo groźny, kiedy domena atakującego jest łudząco podobna do domeny firmy, która stała się ofiarą ataku. Świetnym przykładem jest tu atak na mBank z 2021 roku.

Atakujący wykorzystali znakomicie przygotowaną kopię strony. Litera „a“ w nazwie banku została zastąpiona niemal identycznie wyglądającą literą z innego alfabetu. Atak homograficzny, mimo że znany jest od 20 lat – wciąż bywa groźny. Już na etapie rejestrowania nazwy domenowej warto jest zatem zarejestrować nazwy domenowe, które potencjalnie mogą być użyte do tego rodzaju ataku.

Certyfikat SSL

Zadbanie o certyfikat SSL na poziomie EV to dobra praktyka. Certyfikat SSL co do zasady pozwala na zaszyfrowanie komunikacji między przeglądarką a użytkownikiem. Protokół https:// – czyli zabezpieczona wersja http:// – jest potwierdzamy przez przeglądarkę ikoną kłódki. Wiele osób jednak mylnie sądzi, że jest to gwarancja bezpieczeństwa. Przechwycenie danych, wprowadzonych przez użytkownika w przeglądarce nie będzie możliwe (a przynajmniej – będzie mocno utrudnione) w drodze między przeglądarką a serwerem. Jednak kłódka nic nie mówi o tym, co z danymi dzieje się na serwerze!

Wiele osób nie ma świadomości, że także fałszywe strony mogą legitymować się kłódką i robią to coraz częściej. Dane wprawdzie nie są przejmowane po drodze, ale trafiają wprost tam, gdzie wysyła je nieświadomy użytkownik – do serwera z podrobioną stroną!

Czy to oznacza, że certyfikaty SSL są niepotrzebne? W żadnym wypadku nie stawiałbym takiej tezy. Szyfrowanie komunikacji to tani, szybki, prosty i dość skuteczny sposób ochrony transmisji.

Certyfikaty mogą pełnić jeszcze jedną rolę – uwiarygodnienia. W dobie powszechnego zapatrzenia w wygodę i darmowość technologii Let’s Encrypt wiele osób zapomina, że proste certyfikaty ograniczają walidację do poziomu sprawdzenia, czy masz kontrolę nad domeną. Stąd nazwa – DV – Domain Validation. Taki certyfikat nie jest w stanie potwierdzić tego, kto – jaki podmiot – jest właścicielem domeny.

Na szczęście istnieje też rodzaj certyfikatu EV – Extended Validation, który zapewnia rozszerzoną walidację i dzięki temu potwierdza tożsamość podmiotu, który „stoi” za daną domeną. Niestety obecnie, w przeciwieństwie do stanu sprzed kilku lat – przeglądarki internetowe nie nagradzają takiego poziomu walidacji zielonym pasem w linii adresowej. Mimo to każdy dociekliwy może przejrzeć szczegóły certyfikatu w swojej przeglądarce i sprawdzić, czy na pewno znajduje się na stronie operowanej przez właściwą organizację. Pomimo faktu, iż wiedza ta jest mało rozpowszechniona wśród konsumentów – warto zainwestować w taki rodzaj certyfikatu. Dla rozwiniętego sklepu wydatek rzędu kilkuset zł rocznie jest przecież niczym wobec potencjalnej utraty reputacji.

Dwuskładnikowa autentykacja

Zazwyczaj, aby zalogować się do jakiegoś systemu, potrzebujesz loginu i hasła. Niestety w razie skompromitowania loginu i hasła, kiedy omyłkowo podasz je oszustowi – może on zalogować się na Twoje konto. Aby temu zapobiegać, stosowane są mechanizmy 2FA, czyli autentykacji dwuskładnikowej. Najczęściej autentykacja użytkowników opiera się o odpowiedzi na pytania:

  • co wiesz? (np. PIN, hasło) 
  • co masz? (np. telefon, karta)
  • kim jesteś? (np. skan siatkówki, odcisk palca)

Jeśli połączymy podejście „co wiesz” z innym – mamy szansę na znacznie poprawienie odporności na niepożądane zalogowanie. Najwygodniej stosować metodę drugiego składnika w postaci kodu w specjalnej aplikacji mobilnej (masz telefon z aplikacją), kodu tokena sprzętowego (masz token) itp.

Sprawa jest jednak trudniejsza w razie e-commerce. Chodzi o to, że logowanie do sklepu często związane jest z dokonaniem zakupu przez istniejącego klienta. Jeśli wymusisz logowanie dwuskładnikowe – powstaje ryzyko, że Twój współczynnik konwersji spadnie. Z drugiej natomiast strony – wdrożenie logowania dwuskładnikowego poprawia bezpieczeństwo Twojego sklepu, a ewentualna utrata zaufania także mogłaby doprowadzić do obniżenia współczynnika konwersji. Dlatego najlepiej jest dać szansę na 2FA tym klientom, którzy zechcą, udostępniając im odpowiednią opcję w ustawieniach swojego profilu w sklepie internetowym.

Phishing a znane frazy lub obrazki

Niektóre serwisy, np. giełdy kryotowalutowe – proponują zabezpieczenie wzmacniające ochronę przed phishingiem. Użytkownik definiuje w panelu klienta frazę, którą zna tylko on. Ta fraza (unikalna dla użytkownika) jest wyświetlana w miejscach, w których podaje się swoje hasło. Tego typu fraza (lub obrazek) pozwalają użytkownikowi upewnić się, że jest na właściwej stronie, ponieważ tylko właściwa strona zna jego frazę lub obrazek.

W tym rodzaju zabezpieczenia proces logowania staje się minimalnie bardziej skomplikowany, ponieważ trzeba go rozbić na krok z podaniem loginu oraz hasła. Mechanizm pozwala wykryć stronę fałszywą, zanim przekaże się jej hasło.

Niepełne hasło

Mechanizm, w którym nie jest wymagane pełne hasło, istnieje od ok. 20 lat. Jego idea polega na tym, że użytkownik podaje tylko niektóre znaki ze swojego hasła. Za każdym logowaniem jest to oczywiście inny zestaw znaków.

Przyznać jednak trzeba, że metoda ta działa dobrze głównie dla odpowiednio długich haseł (min. 12-16 znaków), a wprowadzanie hasła jest umiarkowanie wygodne.

Założenie metody jest takie, że nawet jeśli ktoś omyłkowo poda np. 4-6 znaków losowych ze swojego hasła, to atakujący przejąłby tylko część wiedzy o haśle – nie wystarczającą, aby zalogować się na konto użytkownika.

Phishing – co zrobić, kiedy dojdzie do ataku na sklep?

Diagnoza wstępna w ataku phishingowym

Jeśli padłeś ofiarą ataku phihsingowego, w pierwszym kroku proponuję Ci diagnozę. Daj sobie czas na sprawdzenie kilku zasadniczych kwestii. Główne cele diagnozy to:

  • Próba oszacowania, czy doszło do wykradzenia danych.
  • Uzyskanie próbki wiadomości i ustalenie, jak ją odróżnić od prawdziwej.
  • Sprawdzenie strony docelowej i ustalenie, jak ją odróżnić od prawdziwej.

Przede wszystkim – spróbuj ustalić, czy wszyscy klienci otrzymali wiadomość podszywającą się pod Ciebie, czy tylko niektórzy. Jeśli wszyscy – to mogło dojść do włamania do Twojego sklepu i wykradzenia bazy klientów. Jeśli nie dysponujesz wiedzą z obszaru IT – jak najszybciej porozmawiaj z osobą, która tworzyła, wdrażała Twój sklep lub z firmą hostingową.

Drugim elementem jest dokładne przeczytanie i obejrzenie wiadomości. Zidentyfikuj wszystkie detale, które odróżniają fałszywą wiadomość od tych, które naprawdę wysyła Twój sklep. Oto lista elementów, na które, moim zdaniem, warto zwrócić szczególną uwagę:

  • nazwa nadawcy oraz ewentualne literówki,
  • adres e-mail nadawcy, a zwłaszcza domena,
  • temat – czy wygląda tak, jak w Twoim sklepie?
  • preheader – czyli część maila wyświetlana w klientach poczty, zwłaszcza mobilnych, taka „zajawka” treści maila,
  • szablon graficzny wiadomości,
  • logo,
  • kolorystyka,
  • kroje pisma,
  • poprawność językowa, 
  • styl wypowiedzi (kolokwializmy, dziwne sformułowania, jakby wynikające z maszynowego tłumaczenia), 
  • poprawność stopki (czy jest w 100% zgodna z Twoją?).

Tak samo należy postąpić ze stroną docelową. Zalecam zachowanie szczególnej ostrożności – strona może zawierać złośliwe oprogramowanie. Lepiej miej włączone oprogramowanie antywirusowe, a na samej stronie nie klikaj w żadne odnośniki i nie instaluj żadnego oprogramowania.

Lista elementów, na które warto zwrócić szczególną uwagę:

  • domena widoczna w pasku przeglądarki (czyli część adresu zaraz po https://), 
  • czy adres jest poprzedzony kłódką (połączenie https://), 
  • jaki typ certyfikatu zainstalowano, czy jest taki sam jak w Twoim sklepie?
  • pokaż szczegóły certyfikatu – prawie na pewno będzie tam napisane R3 / Let’s Encrypt. Zakładam, że Ty posiadasz SSL w walidacji EV, więc w Twoich informacjach o certyfikacie będzie nazwa Twojej Firmy. Na stronie fałszywej jej nie ma.
  • Logo, kolorystyka, kroje pisma,
  • Poprawność językowa,
  • Dane w stopce strony.

Phishing a akcja informacyjna – przygotowanie informacji

To, co dobrze sprawdziło się w naszym wypadku, kiedy firma została zaatakowana w ten sposób, to zrobienie screenshota takiego maila. Strzałkami zaznaczyliśmy na nim elementy, które dobitnie pokazują, że to nie mogło wyjść „od nas”. Pamiętaj tylko, aby na takim przykładowym mailu zamazać dane odbiorcy.

Strzałki możesz nanieść dowolnym narzędziem graficznym – może to być nawet PowerPoint, do którego wkleisz obraz maila, wykonując zrzut ekranu. Potem pozostaje tylko zapisać plik z opisanym wzorem. Następnie możesz opisać całą sytuację wraz z ostrzeżeniem w komunikacie do klientów.

Pomyśl o wszystkich miejscach, w których możesz zawrzeć skutecznie tego rodzaju informację. Moim zdaniem warto rozważyć następujące kanały:

  • mailing do istniejącej bazy klientów,
  • popup lub informacja na stronie logowania do panelu sklepu,
  • wpis blogowy,
  • SMS,
  • powiadomienia w mediach społecznościowych – oficjalne kanały sklepu,
  • powiadomienia na grupach dyskusyjnych i forach, co do których wiesz, że przebywa na nich dużo Twoich klientów.

Przygotuj się i uniknij szkód

Podsumowując, atak phishingowy możesz przetrwać zupełnie bez szkód lub szkody te zminimalizować, ale musisz być uprzednio do niego przygotowany i szybko podjąć odpowiednie działania w przypadku jego wystąpienia. Dlatego też polecam zadbać o odpowiednie certyfikaty SSL oraz dwuskładnikową autentykację, a także przygotować listę działań, takich jak opisywaliśmy powyżej, w tym wzorów wiadomości e-mail, co znacząco ułatwi Ci szybką reakcję na przeprowadzony atak.

 

Autor:

Artur Pajkert
head of marketing, cyber_Folks

 

Pobierz Trendbook NowegoMarketingu 2022

 

Artykuł powstał we współpracy z cyber_Folks.