подписка
Подписаться
21/09/2020

Интернет-магазины на старой версии Magento – под угрозой атаки хакеров

Интернет-магазины на старой версии Magento  – под угрозой атаки хакеров

Хакеры атаковали интернет-магазины на платформе Magento. Они похищают платежные данные покупателей.  Взламывают только самую первую версию платформы, поддержку которой компания-разработчик уже официально закончила. Атаки идут на интернет-магазины по всему миру. Но пострадали и предприниматели, торгующие в российской зоне Интернета.

В августе на хакерских форумах некий пользователь предлагал купить уязвимость в старой версии  Magento за $5 тыс. Видимо, покупатель нашелся, поскольку именно через такую "дыру" мошенники и внедряют вредоносный код-грабитель.

В России на Magento работает больше тысячи интернет-магазинов, однако сколько из них используют старую версию – точно не известно. Называется примерное количество в 450 сайтов.  41 интернет-магазин в зоне .ru, по отчетам зарубежных лабораторий кибербезопасности, уже скомпрометирован – оттуда похитили данные пользователей. Всего же хакеры взломали почти три тысячи сайтов с Magento по всему миру.

В "Лаборатории Касперского" подтвердили, что хакеры проникли в несколько десятков российских интернет-магазинов. "Лаборатория" успешно блокирует сайты, с которых совершалось проникновение. Сама по себе кража платежных данных может быть не так опасна для пользователей – при покупках обычно используется дополнительная верификация карты, например, через SMS от банка. Но на взломанном сайте мошенники могут разместить вредоносный софт, который будет атаковать уже компьютеры покупателей, заглянувших в интернет-магазин.

Всего Magento занимает около 30% мирового рынка платформ для электронной коммерции и предназначена для крупных интернет-магазинов. По данным проекта "Рейтинг Рунета", в России на этой CMS работают Auchan, "Снежная королева", Nyx Cosmetic, La Roche Posay, Vichy, Redken, Urban Decay, Kiehl's, Pandora, Togas, Canon, Nespresso, Converse и другие.

Автоматически использовать полученные платежные данные для кражи денег мошенники не смогут. Но они могут на основе уже имеющейся информации с помощью приемов "социальной инженерии" получить доступ к паролям и счетам. Ярким примером являются обзвоны от "служб безопасности банка". Успешность попыток выманить у владельца карты все данные повышается за счет того, что у преступников появляется дополнительная информация о владельцах аккаунтов, а значит, пользователь с большей вероятностью поверит атакующему.

Недавно хакеры притворились, что взломали "Юлу" и Avito, выложив в сеть базу данных более чем 600 тысяч пользователей. Однако потом выяснилось, что данные собраны с сайтов объявлений путем простого парсинга и содержат только открытые сведения из объявлений.

 

Прокомментировать
Форматирование текста
Читайте также
25/09/2020
Эквайринг совсем без терминала: как Visa сломала шаблон
Visa запустила в России сервис, который превращает смартфон в терминал для приёма платежей без каких-либо дополнительных устройств. Ставим специальное мобильное приложение от Visa - и получаем эквайринг, доступный действительно всем... Подробнее
11/09/2020
СТМ AmazonBasics: красиво горит!
На данный момент на маркетплейсе по-прежнему можно приобрести многие пожароопасные товары AmazonBasics. Проблему признают, но риски остаются и ее решения мы пока не видим. Что конкретно не стоит покупать?... Подробнее
Pavel А.
старший менеджер, Торговля (Красота и здоровье, крупная компания)
17/07/2020
Мошенники все чаще маскируются под интернет-магазины - обсуждение 2
А вот сайт Покупарь, пишет что на Алиэкспресе куча мошейников, не могли бы вы дать пару советов как распознать обманщика?
Еще
Форум Ведение бизнеса Безопасность