Үндсэн санаанууд
- Халдлага үйлдэгчид саяхан 500 гаруй вэб сайтад дижитал карт хайгч суулгаж чадсан.
- Хамгаалалтын хариуцлага нь вэб сайтын эзэд юм.
-
Аюулгүй байдлын мэргэжилтнүүд хэрэглэгчид өөрсдийгөө хамгаалахын тулд ашиглах янз бүрийн арга хэрэгслийг санал болгодог.
Хакерууд хувийн дансаа эвдэхийн оронд арга барилаа өөрчилсөн бөгөөд одоо онлайн вэб дэлгүүрт карт skimmer суулгаж, эхийн нууцыг дагаж мөрдөж байна.
2022 оны 2-р сарын 8-нд аюулгүй байдлын судлаачид Magento цахим худалдааны платформыг ажиллуулж буй 500 гаруй онлайн дэлгүүрт бөөнөөр нэвтэрсэн тухай дэлгэрэнгүй мэдээллийг хуваалцсан. Халдагчид бүх дэлгүүрт төлбөрийн карт скимер ачаалсан бөгөөд үүнийг magecart халдлага гэж нэрлэдэг. Хэдийгээр засвар нь онлайн дэлгүүрүүдээс шалтгаалж байгаа ч мэргэжилтнүүдийн үзэж байгаагаар онлайн гүйлгээ хийхдээ илүү сонор сэрэмжтэй байх ёстой гэж үздэг эцсийн хэрэглэгчид.
"[Энэхүү] халдлага нь бүх онлайн үйлчлүүлэгчдэд таны онлайн дэлгүүрийн үйлчилгээ үзүүлэгчээс хүлээж буй зүйлээс гадна өөрсдийгөө хамгаалах үүрэгтэй гэдгийг хатуу санууллаа" гэж Рон Брэдли, Хуваалцсан үнэлгээний дэд захирал, Lifewire-д имэйлээр мэдэгдэв.
Дижитал Skimming
Netskope-ийн Ажилтны аюул судлалын инженер Густаво Палазоло Lifewire-д цахим шуудангаар дамжуулан Magento бол халдагчдын онилдог алдартай цахим худалдааны платформуудын нэг бөгөөд олон дэлгүүрүүд програм хангамжийн хуучирсан хувилбаруудыг ажиллуулдаг бол бусад нь гуравдагч талын залгаасуудыг ашигладаг гэж мэдэгджээ. Заримдаа халдагчид дижитал скимер суулгах боломжийг олгодог аюулгүй байдлын засваргүй алдааг агуулж байдаг.
Таны худалдан авалт хийж байгаа вэб сайт magecart кампанит ажлын бай болсон эсэхийг шалгах нь тийм ч хялбар биш ч гэсэн хэрэглэгчид онлайн аюулгүй байдлаа бэхжүүлэхийн тулд хэд хэдэн арга хэмжээ авах боломжтой гэж тэр хэллээ.
Palazolo нь Firefox-д зориулсан NoScript зэрэг үл мэдэгдэх скриптүүдийг блоклохын тулд хөтчийн өргөтгөлүүдийг ашиглахыг зөвлөж байна. Мөн тэрээр зочилсон вэбсайтыг сканнердаж, хортой скриптүүдийг блоклох боломжтой тул хөтчийн өргөтгөлөөр хангадаг вирусны эсрэг шийдлүүдийг ашиглахыг дэмжсэн.
Тэр нэмж хэлэхэд Adobe нь Magento v1-ийг дэмжихээ больсон ч алдартай учраас олон нийтийн зүгээс энэ хувилбарыг хамгаалахад туслах хэд хэдэн хамгаалалтын засварууд байдаг. Гэсэн хэдий ч тэрээр хэрэглэгчдэд энэ дэмжигдээгүй платформоор ажилладаг вэб сайтууд дээр гүйлгээ хийхээс зайлсхийхийг зөвлөж байна.
Таны худалдан авалт хийж буй вэбсайт нь хамгийн сүүлийн үеийн Magento v2 хувилбарыг ажиллуулж байгаа эсэхийг шалгахын тулд Палазоло вэб хуудасны ард байгаа технологийг илрүүлэх боломжтой Chrome болон Firefox-т зориулсан Wappalyzer-ийг зааж өгсөн.
"Хэрэв хөтчийн өргөтгөл суулгах нь сонголт биш бол онлайн хэрэгслүүд нь MageReport гэх мэт Magento-ийн талаарх дэлгэрэнгүй мэдээллийг шалгах сайн сонголт байж болох бөгөөд энэ нь танд зөвхөн хувилбараас гадна аюулгүй байдлын сул талуудын мэдээллийг харуулах боломжтой. Та дэлгүүр хэсэх гэж байна" гэж Палазоло зөвлөжээ.
Өөрийн галт хана болоорой
Брэдли хэлэхдээ онлайн худалдан авагчид өөрсдийгөө хамгаалахын тулд кибер аюулгүй байдлын мэргэжилтэн байх албагүй, харин хохирогч болохоос зайлсхийхийн тулд өөрийгөө хамгаалах сэтгэлгээтэй байх ёстой.
"Кибер аюулгүй байдал нь олон давхаргаас бүрдсэн сонгинотой адил юм. Өөрийн периметрийг тодорхойлж, өөрийгөө хамгаалахын тулд аюулгүй байдлын арга хэмжээг хэрэгжүүлэх нь чухал" гэж Брэдли хэлэв. "Банк эсвэл зээлийн карт гаргагчаасаа эхлээрэй. Ядаргаатай байх хүртэл боломжтой бүх сэрэмжлүүлгээ асаагаарай. Та буцаж очоод доошоо залгах хэрэгтэй."
Түүнчлэн аль болох олон хүчин зүйлтэй баталгаажуулалтыг идэвхжүүлэхийг санал болгож, ямар ч зардал гарахгүй зээлийн царцаах боломжийг ашиглахын зэрэгцээ дебит карт ашиглахаас татгалзаж, үйлчлүүлэгчдийг хувийн мэдээллийг хулгайлахаас хамгаалахад тусалдаг.
Palazolo хэлэхдээ хэрэглэгчид онлайн худалдан авалт хийхдээ өвөрмөц, түр зуурын дижитал картын дугаар үүсгэх боломжийг ашиглах хэрэгтэй. Веб сайт халдвар авсан байсан ч энэ сонголт нь хулгайлагдсан картын мэдээлэл халдагчдад ашиггүй байх болно.
Нүдээ өргөн нээх
KnowBe4-ийн аюулгүй байдлын мэдлэгийг дэмжигч Эрих Крон худалдан авагчдад зээлийн карт болон банкны хуулгаа тогтмол хянаж, ер бусын төлбөр эсвэл худалдан авалтад нүдээ аньж байхыг зөвлөсөн.
"Хэтэрхий олон удаа төлбөрийг хохирогч анзааралгүйгээр зээлийн картын үлдэгдэл дээр нэмдэг. Бүр нэг удаад нэг юмуу хоёр доллараар төлбөр төлж, кибер гэмт хэрэгтнийг карт хэвээр байгаа гэдгийг батлахад ашиглаж болно. Энэ нь карт эвдэрсэн гэсэн дохио байж болно" гэж Крон Lifewire-тэй имэйлээр хуваалцсан.
"Өөрийгөө хамгаалахын тулд периметрээ тодорхойлж, аюулгүй байдлын арга хэмжээг хэрэгжүүлэх нь чухал."
Түүнчлэн тэрээр хэрэглэгчдэд кредит картынхаа хамгаалалтыг ойлгож, сэжигтэй төлбөрийг хурдан мэдээлэх боломжтой бүх сонголтыг мэдэж байх хэрэгтэй гэж зөвлөсөн.
Гэсэн хэдий ч эцсийн эцэст цахим худалдааны вэб сайтын эзэд аюулгүй хөлөг жолоодож байгаа эсэхээ баталгаажуулах үүрэгтэй гэж PerimeterX кибер аюулгүй байдлын фирмийн бүтээгдэхүүний удирдлагын ахлах захирал Кунал Модасия онцолжээ. Хэрэглэгчийн үйл ажиллагаа хязгаарлагдмал тул цахим худалдааны вэб сайт эзэмшигчид өөрсдийн вэбсайт дээр болж буй үйлдлүүдийг тасралтгүй харуулах шийдлүүдийг ашиглах ёстой.
"Цахим худалдааны компаниуд дижитал аялалынхаа туршид хэрэглэгчийн бүртгэл болон хувийн мэдээллийг хамгаалахад тусалдаг олон давхаргат гүн гүнзгий шийдлийг ашиглах ёстой."