מזונות חשובים
- תוקפים הצליחו לאחרונה להתקין רחפני כרטיסים דיגיטליים ביותר מ-500 אתרים.
- האחריות להגנה מוטלת על בעלי אתרים.
-
מומחי אבטחה מציעים אמצעים שונים שמשתמשים יכולים להשתמש בהם כדי להגן על עצמם.
במקום להתפשר על חשבונות בודדים, האקרים שינו גישה ועכשיו הולכים אחרי עומס האם, מתקינים רחפני כרטיסים בחנויות אינטרנט מקוונות.
ב-8 בפברואר 2022, חוקרי אבטחה שיתפו פרטים על פריצה המונית ליותר מ-500 חנויות מקוונות המפעילות את פלטפורמת המסחר האלקטרוני של Magento.התוקפים העמיסו על כל החנויות רחפן של כרטיסי תשלום, במה שמכונה מתקפת מג'קארט. למרות שהתיקון נמצא בחנויות המקוונות, היעדים הם משתמשי הקצה שלדעתם מומחים צריכים להיות ערניים יותר גם בעת ביצוע עסקאות מקוונות.
"ההתקפה האחרונה הזו צריכה להוות תזכורת מוחלטת לכל הפטרונים המקוונים [ש] מוטלת עליהם החובה להגן על עצמם בנוסף למה שאתה מצפה מספק החנות המקוונת שלך", רון בראדלי, סמנכ"ל הערכות משותפות, אמר ל-Lifewire באימייל.
רחיפה דיגיטלית
Gustavo Palaazolo, Staff Threat Research Engineer ב-Netskope, אמר ל-Lifewire בדוא ל שמג'נטו היא אחת מפלטפורמות המסחר האלקטרוני הפופולריות שמכוונות אליה תוקפים מכיוון שחנויות רבות מפעילות מופעים מיושנים של התוכנה, בעוד שאחרות משתמשות בתוספים של צד שלישי מכילים לפעמים פגמי אבטחה לא מתוקנים המאפשרים לתוקפים להשתיל רחפנים דיגיטליים.
הוא אמר אמנם שזה לא פשוט לאמת אם האתר שבו אתה עושה קניות היה היעד של מסע פרסום של magecart, אבל יש כמה צעדים שמשתמשים יכולים לבצע כדי לחזק את האבטחה המקוונת שלהם.
Palazolo המליץ להשתמש בתוספי דפדפן כדי לחסום סקריפטים לא ידועים, כגון NoScript עבור Firefox. הוא גם דגל בשימוש בפתרונות אנטי-וירוס המספקים הרחבות לדפדפן מכיוון שהם יכולים לסרוק את האתר שביקר ולחסום סקריפטים זדוניים.
הוא הוסיף ש-Adobe כבר לא תומכת ב- Magento v1, אבל בגלל הפופולריות שלה, יש כמה תיקוני אבטחה שסופקו על ידי הקהילה כדי לסייע באבטחת גרסה זו. עם זאת, הוא מציע למשתמשים להימנע מביצוע עסקאות באתרים המופעלים על ידי פלטפורמה לא נתמכת זו.
כדי לוודא אם האתר שאתה קונה פועל עם הגרסה העדכנית ביותר של Magento v2, פאלאזולו הצביע על ה-Wappalyzer עבור Chrome ו-Firefox, שיכול לזהות את הטכנולוגיה שמאחורי דף אינטרנט.
"אם התקנת תוסף דפדפן אינה אופציה, כלים מקוונים יכולים להיות בחירה טובה לאימות פרטים על Magento, כגון MageReport, שיכול להראות לך לא רק את הגרסה אלא גם מידע על פרצות אבטחה שנמצאו ב- אתר שאתה עומד לקנות", יעץ פאלאזולו.
Be Your Own Firewall
בראדלי אמר שקונים מקוונים לא צריכים להיות מומחי אבטחת סייבר כדי להגן על עצמם, אלא חייבים להיות בעלי מנטליות הגנה מעמיקה כדי להימנע מלהיות קורבנות.
"אבטחת סייבר היא כמו בצל [המורכב] ממספר שכבות. חשוב להגדיר את ההיקף שלך וליישם אמצעי אבטחה כדי להגן על עצמך", אמר בראדלי. "תתחיל עם הבנק או מנפיק כרטיס האשראי שלך. הפעל את כל ההתראות שאתה יכול, עד לנקודה שבה זה מעצבן, ואתה צריך לחזור ולצלצל למטה."
הוא גם מציע להפעיל אימות רב-גורמי בכל מקום אפשרי ודוגל נגד שימוש בכרטיסי חיוב תוך ניצול מתקן הקפאת האשראי, שאינו עולה דבר, ועוזר להגן על הלקוחות מפני גניבות זהות.
Palazolo אמר שמשתמשים צריכים להשתמש ביכולת ליצור מספרי כרטיסים דיגיטליים ייחודיים וזמניים לרכישות מקוונות. גם אם האתר נגוע, אפשרות זו תבטיח שפרטי כרטיס שנגנבו לא יועילו לתוקפים.
עיניים פקוחות לרווחה
אריך קרון, תומך למודעות לאבטחה ב- KnowBe4, הציע לקונים לעיין בכרטיס האשראי ובדפי הבנק שלהם באופן קבוע, ולשמור עיניים פקוחות לגבי חיובים או רכישות חריגות.
"לעתים קרובות מדי, חיובים פשוט מתווספים ליתרת כרטיס האשראי מבלי שהקורבן שם לב. אפילו חיובים קטנים, דולר או שניים בכל פעם, שניתן להשתמש בהם כדי לאשר לפושעת הסייבר שהכרטיס עדיין תקף, יכול להיות סימן לכך שהכרטיס נפרץ, " שיתף קרון עם Lifewire בדוא"ל.
"חשוב להגדיר את ההיקף שלך וליישם אמצעי אבטחה כדי להגן על עצמך."
הוא גם הציע למשתמשים להבין את ההגנות שמציעות כרטיסי האשראי שלהם ולהיות מודעים לכל האפשרויות העומדות לרשותם לדווח במהירות על חיובים חשודים.
עם זאת, בסופו של יום, באחריותם של בעלי אתרי מסחר אלקטרוני להבטיח שהם מפעילים ספינה מאובטחת, ציין קונל מודסייה, מנהל בכיר לניהול מוצר בחברת אבטחת הסייבר PerimeterX.לדבריו, מכיוון שפעולות הצרכנים מוגבלות, בעלי אתרי מסחר אלקטרוני חייבים להשתמש בפתרונות המספקים נראות רציפה של הפעולות המתרחשות באתרים שלהם.
"חברות מסחר אלקטרוני צריכות להשתמש בפתרון הגנה מעמיק רב-שכבתי שעוזר להגן על פרטי החשבון והזהות של המשתמשים בכל מקום לאורך המסע הדיגיטלי שלהם."