Все мы знаем, что олицетворяет белоснежная борода Санта Клауса – чистоту и невинность. Тем не менее, под прикрытием добродушного толстяка, кибер-преступники, нацеленные на онлайн-покупателей, которые ни о чем не подозревая будут наслаждаться покупками в эту Черную пятницу и пред новогодними праздниками в этом году, могут попытаться воспользоваться этой невинностью.

Исследователи из Check Point недавно обнаружили, что у преступников есть новый способ обмана интернет-покупателей через массово популярный торговый портал AliExpress. Благодаря более чем 100 миллионам клиентов и доходам в размере 23 миллиарда долларов во всем мире, AliExpress, входящая в группу AliBaba, является одним из самых популярных мест для покупки в Интернете.

Узнав об уязвимости, исследователи Check Point сразу же сообщили AliExpress, который из-за своего очень серьезного подхода к кибербезопасности принял быстрые меры и исправил его в течение двух дней после уведомления. Это очень похвально и служит примером для других интернет-магазинов.

Давайте разберемся, а чём заключается уязвимость.

Новая уязвимость позволяет преступникам обманывать пользователей AliExpress, отправив им ссылку на веб-страницу зараженного сайта AliExpress, содержащую вредоносный код Javascript. Выполняя зловредный код в веб-браузере пользователя, таким образом, обходит защиту AliExpress от атак межсайтового скриптинга с использованием открытой уязвимости переадресации на веб-сайте.

Теоретически киберпреступники могут инициировать эту атаку с помощью фишинговой кампании по электронной почте, используя обычную рассылку писем от AliExpress, практически без указания пользователю, что происходит что-то необычное или неприятное. Следовательно, маловероятно, что пользователь вообще почувствует, что попался на крючок фишинга.

Либо же злоумышленники могли представить всплывающее окно с купоном на главном экране, работающем под принадлежащим субдоменом AliExpress, и чтобы воспользоваться данным суперпредложением, жертва должна предоставить данные своей кредитной карты. И как только доверчивый покупатель ввел свои данные, их получает злоумышленник.

С недавними сообщениями о том, что кибер-атаки на интернет-магазины по сравнению с прошлым годом удвоились, покупатели должны знать, что борода Санта-Клауса не всегда может быть такой белой, как кажется, и оставаться бдительными при совершении покупок через Интернет на любом сайте в этот праздничный сезон.

consalting

Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:

  • Защита от утечки конфиденциальной информации за пределы компании (DLP).
  • Защита от целенаправленных хакерских атак (APT).
  • Защита от DDOS.
  • Защита мобильных устройств (BYOD и MDM)
  • Аудит и проверка на уязвимость
  • Тесты на проникновение.

Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.

Остались вопросы? Обращайтесь к нашим специалистам.

Заполните форму справа и наши менеджеры свяжутся с вами в течении 10 минут.

Бесплатная PDF-брошюра

"7 простых способов, как не стать жертвой киберпреступления"

картинка как не стать жертвой киберпреступления

В брошюре вас ждут ответы на такие вопросы, как:

  • Как уберечь себя от программы вымогателя
  • Какую профилактику стоит проводить на своём ПК
  • Правила безопасности
  • Нюансы в стандартных способах защиты от вирусов
  • Что делать чтобы обезопасить компанию от кибератак.

Получите брошюру немедленно, оставив свой email ниже