Все мы знаем, что олицетворяет белоснежная борода Санта Клауса – чистоту и невинность. Тем не менее, под прикрытием добродушного толстяка, кибер-преступники, нацеленные на онлайн-покупателей, которые ни о чем не подозревая будут наслаждаться покупками в эту Черную пятницу и пред новогодними праздниками в этом году, могут попытаться воспользоваться этой невинностью.
Исследователи из Check Point недавно обнаружили, что у преступников есть новый способ обмана интернет-покупателей через массово популярный торговый портал AliExpress. Благодаря более чем 100 миллионам клиентов и доходам в размере 23 миллиарда долларов во всем мире, AliExpress, входящая в группу AliBaba, является одним из самых популярных мест для покупки в Интернете.
Узнав об уязвимости, исследователи Check Point сразу же сообщили AliExpress, который из-за своего очень серьезного подхода к кибербезопасности принял быстрые меры и исправил его в течение двух дней после уведомления. Это очень похвально и служит примером для других интернет-магазинов.
Давайте разберемся, а чём заключается уязвимость.
Новая уязвимость позволяет преступникам обманывать пользователей AliExpress, отправив им ссылку на веб-страницу зараженного сайта AliExpress, содержащую вредоносный код Javascript. Выполняя зловредный код в веб-браузере пользователя, таким образом, обходит защиту AliExpress от атак межсайтового скриптинга с использованием открытой уязвимости переадресации на веб-сайте.
Теоретически киберпреступники могут инициировать эту атаку с помощью фишинговой кампании по электронной почте, используя обычную рассылку писем от AliExpress, практически без указания пользователю, что происходит что-то необычное или неприятное. Следовательно, маловероятно, что пользователь вообще почувствует, что попался на крючок фишинга.
Либо же злоумышленники могли представить всплывающее окно с купоном на главном экране, работающем под принадлежащим субдоменом AliExpress, и чтобы воспользоваться данным суперпредложением, жертва должна предоставить данные своей кредитной карты. И как только доверчивый покупатель ввел свои данные, их получает злоумышленник.
С недавними сообщениями о том, что кибер-атаки на интернет-магазины по сравнению с прошлым годом удвоились, покупатели должны знать, что борода Санта-Клауса не всегда может быть такой белой, как кажется, и оставаться бдительными при совершении покупок через Интернет на любом сайте в этот праздничный сезон.
Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:
- Защита от утечки конфиденциальной информации за пределы компании (DLP).
- Защита от целенаправленных хакерских атак (APT).
- Защита от DDOS.
- Защита мобильных устройств (BYOD и MDM)
- Аудит и проверка на уязвимость
- Тесты на проникновение.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.
Бесплатная PDF-брошюра
"7 простых способов, как не стать жертвой киберпреступления"
В брошюре вас ждут ответы на такие вопросы, как:
- Как уберечь себя от программы вымогателя
- Какую профилактику стоит проводить на своём ПК
- Правила безопасности
- Нюансы в стандартных способах защиты от вирусов
- Что делать чтобы обезопасить компанию от кибератак.
