Össztűz alatt a webáruházak

Továbbra sem csitulnak azok a Magecart néven ismert támadások, amelyek webáruházakból lopják a bank- és hitelkártya adatokat. Nagyobb a probléma, mint elsőre látszik.
 

Az elektronikus kereskedelemmel foglalkozó cégek, illetve azok webáruházai is kedvelt célpontjai a kiberbűnözőknek. Leginkább azért, mert a webshopokban rengeteg bizalmas adatot adnak meg magukról a felhasználók. Vannak ott nevek, címek, telefonszámok, e-mail címek, felhasználónevek, jelszavak stb. Mindezek mellett - elsősorban külföldön - sok esetben a bank- vagy hitelkártyaszámokat is bekérik a webáruházak, vagyis nem külső, banki oldalakon adhatják meg azokat a felhasználók. A kártyaadatok kezelése pedig nem kis biztonsági feladat.
 
A webáruházakat, elektronikus kereskedelmi felületeket érő támadásokat összefoglaló néven Magecart néven szokták emlegetni. Ezek lényege, hogy a webshopos vásárlások végén bekért kártyaadatokat szivárogtatják ki az adattolvajok számára.
 
A támadási módszer korántsem új keletű, hiszen például a RiskIQ biztonsági cég 2010 augusztusa óta detektálja ezeket az adatlopási tevékenységeket. A Magecart kockázatait jól mutatja, hogy 2010 óta olyan vállalatok is áldozatául estek, mint amilyen például a British Airways, a Ticketmaster, az OXO vagy a Newegg. A RiskIQ napjainkig összesen több mint kétmillió ilyen típusú támadást regisztrált, amik során milliók kártyaadatai kerültek illetéktelen kezekbe.
 
A Magecart kockázatát az is súlyosbítja, hogy nehéz azt időben észrevenni. A felhasználóktól úgy zsebelik be a csalók a kártyaadatokat, hogy abból legtöbbször semmit nem vesznek észre az áldozatok. Sajnos nem sokkal jobb a helyzet a webáruházak üzemeltetőinek körében sem. A RiskIQ szerint átlagosan 22 napra van szükség ahhoz, hogy egy webshop tulajdonosa felismerje, hogy lopják a vásárlóinak adatait.
 
A támadás anatómiája
 
A Magecart támadásokat az elkövetők többféle módon is végrehajthatják. Legtöbbször feltört, kompromittált webáruházakat szemelnek ki maguknak, amelyekbe olyan JavaScript kódokat illesztenek be, amik távoli szerverekre töltik fel a felhasználók által megadott adatokat. Nagyon gyakori az is, hogy az elkövetők különféle, harmadik féltől származó (reklám, analitikai stb.) komponenseken, bővítményeken keresztül érik el a céljukat, de már arra is volt példa, hogy egy bezárt webshop domain nevét foglalták le újra a csalók, és egy újra megnyitott áruházzal húzták csőbe a régi vásárlókat.  
A RiskIQ felmérése szerint napjainkban a legtöbb támadás a Magento alapú webshopokat éri, majd a sorban az OpenCart platform következik. A támadók teljes mértékben naprakészek a webáruház-keretrendszerek sérülékenységeivel kapcsolatban, és amint tudomásukra jut egy-egy biztonsági rés azonnal megpróbálják kihasználni azt. Nem egyszer automatizált, tömeges támadásokra lehetőséget adó megoldásokat dolgoznak ki, kihasználva a keretrendszerek széles körű elterjedését, és azt, hogy az üzemeltetők nem mindig telepítik kellő gyorsasággal a biztonsági frissítéseket.
 
Védekezés
 
A Magecart elleni védekezés fontos eleme, hogy a webshopok üzemeltetői megbízható platformokra építsék a kereskedelmi felületeiket, és azokat megfelelően, több szinten védjék. Különösen fontos a biztonsági frissítések rendszeres telepítése, és a webáruházak kódjainak fájljainak integritásvizsgálata. A harmadik féltől származó kiegészítők, szolgáltatások esetében szintén óvatosan kell eljárni.
 
A vásárlók szemszögéből pedig a kockázatcsökkentés fontos eleme, hogy lehetőség szerint megbízható, bankok vagy fizetési szolgáltatásokat kínáló cégek felületein adják meg a kártyaadataikat. Mindezek mellett webes, netes kártyákat célszerű használni, amikkel mindig csak annyi pénz érhető el, amennyire éppen szükség van.