Phishing w sklepach internetowych – czym jest i jak nie dać się pokonać oszustom?

Analiza sklepu i UX
Artur Pajkert

Artur Pajkert

Head of Marketing
cyberfolks.pl

Rozwijanie sklepu internetowego jest długim procesem i jak przy każdym biznesie, również tu nie obywa się bez poświęceń. Może zdarzyć się tak, że w szczytowym momencie Twój świetnie prosperujący i cieszący się uznaniem sklep, staje się celem ataku, a pocztą mailową dociera do nas żądanie okupu, który ma być ceną za wykradzione z bazy danych informacje o klientach.

Z tego artykułu dowiesz się jak:

  • skupić się na zwalczaniu zagrożeń i dlaczego warto tym się zająć,
  • dobrze przygotować się na atak phishingowy,
  • zadbać o swoich klientów, by nie stali się oni łatwym celem dla oszustów.

Czym jest phishing?

Phishing jest formą ataku, w którym ofiarą są użytkownicy internetu. Oszust podszywa się pod ulubiony sklep, często odwiedzaną witrynę, bank lub markę cieszącą się uznaniem i zaufaniem internauty i robi to z dużym zaangażowaniem. W drodze do wyznaczonego celu wykorzystywane są strony oraz maile, które swoim wyglądem niemal niczym nie różnią się od swoich oryginalnych wzorów. Często nawet domena podrobionej witryny internetowej do złudzenia przypomina adres, pod który podszywa się oszust. Wszystko to ma na celu przejęcie danych logowania ofiary, która udostępni je, przekonana, że prosi o nie właściciel strony, z której korzysta od długiego czasu.

Powodów, przez które phishing zyskuje popularność w dziedzinie e-commerce, jest kilka. Do najbardziej oczywistych zaliczyć można fakty, że:

  • działalność każdego sklepu internetowego opiera się na relacjach z klientami, więc posiada bazę z ich danymi,
  • żaden sprzedawca on-line nie pozwoli sobie, by na publicznym forum doszło do kompromitacji jego sklepu, bo to wiązałoby się z końcem jego działalności,
  • sklep zarabia, więc jego właściciel ma pieniądze, by zapłacić okup i ochronić wizerunek swojej firmy.

40 milionów ataków w ciągu 10 miesięcy

W przygotowanym przez siebie raporcie firma Kaspersky Labs wskazała, że w ciągu pierwszych dziesięciu miesięcy ubiegłego roku liczba ataków phishingowym skierowanych na platformy związane z e-handlem, na sklepy internetowe i funkcjonujące w wirtualnej przestrzeni instytucje bankowe, jakie zarejestrowały produkty sygnowane przez Kaspersky Labs przekroczyła 40 milionów.

Czym może skutkować phishing w e-commerce?

Oszuści łasi na bazę danych klientów będą podszywać się pod Twoją działalność, wykorzystując własną infrastrukturę dopracowaną w każdym szczególe tak, by łudząco przypominała Twoją. To oznacza, że po takim ataku w świadomości klientów zaistniejesz, jako podrobiona firma – w przyszłości trudno będzie odzyskać ich zaufanie.

Phishing w e-commerce – jak to działa i czym skutkuje?

Załóżmy, że klienta Twojego sklepu on-line kusi niecodzienna okazja i składa on zamówienie na podstawionej mu przez oszusta witrynie. Jest ona łudząco podobna do tej, której stworzenie zajęło Ci wiele lat. Niczego nieświadoma ofiara dopełnia transakcję, uiszczając opłatę za wybrane produkty i czeka na przesyłkę. Zakupy jednak do niej nie docierają. Co dzieje się dalej? Zniecierpliwiony klient kontaktuje się z Tobą i składa reklamację, a w efekcie braku satysfakcjonujących go efektów, zawiadamia o zdarzeniu organy ścigania.

Początkiem problemów może być zainstalowanie na Twoim serwerze oprogramowanie, które będzie udawało inną witrynę internetową. Kolejnym etapem, może być reakcja firmy hostingowej i blokada Twojego konta, gdy pod zarządzaną przez Ciebie domeną otworzy się fałszywa strona. Prawdopodobnie do Twoich drzwi zapukają organy ścigania – jesteś przecież właścicielem domeny i serwera. W tej sytuacji masz przed sobą tłumaczenie się z zaistniałej sytuacji i wyjaśnianie, skąd pod Twoją domeną wzięła się fałszywa witryna internetowa.

Phishing – jak się ochronić?

Chociaż cybernetyczni oszuści wkładają dużo wysiłku, by w krótkim czasie wzbogacić się na Twojej ciężkiej, wieloletniej pracy, możesz ich przechytrzyć, pamiętając o kilku zasadach:

  • o bezpieczeństwie pomyśl już w momencie rejestrowania nazwy domeny – unikaj nazw z literami, które w prosty sposób można zastąpić niemal identycznie wyglądającym znakiem dostępnym np. w obcojęzycznym alfabecie,
  • zadbaj o certyfikat SSL na poziomie EV, to dobra praktyka – dzięki temu możliwe będzie szyfrowanie komunikacji, jaka nawiązuje się pomiędzy klientem i przeglądarką, z której korzysta,
  • postaw na weryfikację dwuskładnikową – to podwójne zabezpieczenie dostępu do swojego konta i ograniczenie ryzyka wystąpienia niepożądanego logowania się, gdy złodziej loginu i hasła poproszony zostanie dodatkowo o podanie np. odpowiedzi na pytanie typu: „co wiesz, kim jesteś, co lubisz” lub specjalnego kodu,
  • fraza lub obrazek – w wirtualnej przestrzeni coraz częściej pojawiają się witryny wykorzystujące do weryfikacji użytkownika spersonalizowane przez internautę obrazki lub frazy, które zna jedynie prawowity właściciel konta i które trzeba wskazać przy logowaniu się,
  • niepełne hasło – to praktyka weryfikacji użytkownika wykorzystywana od 20 lat i nadal skuteczna przy hasłach złożonych z dużej liczby znaków (ok. 12–16), gdzie podczas logowania się do domeny użytkownik musi wpisać jedynie wskazane elementy swojego hasła.

Podpowiedź:

Chcąc ograniczyć ryzyko nieprzyjemnych sytuacji związanych z phishingiem, korzystaj z najnowszych wersji oprogramowania. Im bardziej wiekowe jest to, na którym opierasz swój biznes w e-commerce, tym łatwiej jest oszustom znaleźć w nim luki i wykorzystać je do wprowadzenia złośliwego kodu, a w efekcie przejąć kontrolę nad Twoją domeną oraz serwerem.

Co zrobić po phishingu?

Od momentu, gdy w ręce cybernetycznego oszusta wpadną dane Twojego klienta, liczy się każda minuta. Chcąc ograniczyć straty w jak największym stopniu, nie trać czasu na zbędne ruchy i nic nieznaczące działania. Co zrobić?

  • zacznij od zdiagnozowania i oszacowania skali wycieku danych,
  • zapoznaj się z podrobionym mailem lub witryną i znajdź szczegóły, które odróżnią je od oryginalnych wiadomości oraz domeny,
  • dowiedz się, jak duża grupa Twoich klientów otrzymała podszywającą się pod Ciebie wiadomość,
  • skontaktuj się z firmą hostingową,
  • przygotuj kopię fałszywego maila lub domeny ze wskazaniem różnic i roześlij ją w wiadomości do swoich Klientów – uczul ich na niebezpieczeństwo,
  • zgłoś zdarzenie do CERT – to polska to organizacja, funkcjonująca w strukturach NASK i zajmująca się wykrywaniem oraz reagowaniem na wszelkie zagrożenia bezpieczeństwa w sieci.

Jak sprawdzić autentyczność strony?

Weryfikując witrynę internetową pod kątem jej autentyczności, zwróć uwagę na to, czy:

  1. W pasku przeglądarki widoczna jest domena — chodzi tu o adres strony po części https://.
  2. Przed adresem strony widoczna jest kłódka.
  3. Zainstalowany certyfikat jest zgodny z tym, jaki masz w swoim sklepie.
  4. W szczegółach certyfikatu jest widoczna nazwa Twojej firmy — powinna ona pokazać się, jeśli posiadasz SSL w walidacji EV.
  5. Layout strony, czyli jej układ, widoczne na niej logo, wykorzystana kolorystyka i kroje pisma są zgodne z tym, co znajduje się Twojej domenie.
  6. Tekst napisany został z zachowaniem poprawności językowej.
  7. Dane w stopce strony są prawidłowe.
phishing w sklepie internetowym
źródło grafiki: https://twitter.com/CSIRT_KNF/status/1465274595330736128/photo/2

Przykładem phishingu jest atak na mBank, jaki miał miejsce w 2021 roku. Do stworzenia podrobionej strony cyberprzestępcy wykorzystali występującą w nazwie banku literę „a”, zastępując ją niemal identycznym znakiem zaczerpniętym z obcojęzycznego alfabetu.

Spear phishing – czy jest groźny i na czym polega?

Podszywanie się pod sklep internetowy nie jest jedynym zagrożeniem, z jakim musi liczyć się branża e-commerce. Do ogromnych strat finansowych mogą doprowadzić działania, w których cyberoszuści podszywają się pod osoby cieszące się zaufaniem. Takim działaniem chcą wywołać pożądane przez siebie zachowanie, np. wystosowane przez przełożonego zalecenie przelania jakiejś kwoty pieniędzy na wskazany rachunek bankowy, przy czym cała sytuacja ma oczywiście miejsce bez wiedzy faktycznego przełożonego.

Atak na Sony Pictures — skradziono około 100 TB danych

Ofiarą oszustów może stać się każda firma korzystająca z wirtualnej przestrzeni. W 2015 roku zaatakowane zostało Sony Pictures, a celem było wyłudzenie Apple ID i danych logowania. W tym przypadku oszuści podszywali się pod stronę Apple. Pracownicy Sony Pictures posługiwali się tymi samymi danymi, korzystając z poczty elektronicznej i serwisów społecznościowych. Cyberzłodziejom udało się wysłać wiadomości, pod którymi podpisali się jako pracownicy wysokiego szczebla i w ten sposób wykradli ok. 100 TB danych.

Sprawdzając autentyczność maila, warto zwrócić szczególną uwagę na takie jego elementy jak:

  • nazwa nadawcy odebranej wiadomości, adres jego poczty i domeny,
  • ewentualne literówki oraz błędy ortograficzne i stylistyczne,
  • temat, który powinien być spójny z tym, który występuje w Twoim sklepie,
  • preheader będący częścią maila, która wyświetla się zwłaszcza w mobilnych klientach poczty i która jest zapowiedzią treści wiadomości,
  • layout wiadomości: szablon graficzny, logo, kolorystykę, kroje pisma,
  • poprawność językową i styl wypowiedzi,
  • zawartość stopki maila i jej pełna zgodność z Twoją.

Phishing – przygotowanie do akcji informacyjnej

Akcję informowania o cyberataku rozpocznij od zrobienia screenshota fałszywego maila. Za pomocą strzałek wskaż klientom elementy mówiące o tym, że wiadomość nie wyszła z Twojej skrzynki mailowej. Nie zapomnij o ukryciu na screenshocie wrażliwych danych odbiorcy fałszywej wiadomości. Strzałki wskazujące newralgiczne miejsca w mailu stworzysz, korzystając z dowolnego narzędzia graficznego, a w przypadku komputerów z systemem Windows 10/11 pomoże Ci w tym przyciśnięcie klawiszy: Windows+Shift+S.

phishing w sklepie internetowym

Tak przygotowaną grafikę dołącz do komunikatu, który wyślesz do klientów. W wiadomości opisz zaistniałą sytuację i ostrzeż ich przed niebezpieczeństwem. Zadbaj o to, by taka informacja znalazła się w każdym możliwym miejscu, wokół którego skupiają się Twoi klienci. Wykorzystaj:

  1. Mailing do bazy klientów, którą posiadasz.
  2. Popup lub stronę służącą do logowania się do panelu sklepu.
  3. Blog, na którym możesz opublikować stosowny artykuł.
  4. Wiadomości SMS.
  5. Oficjalne kanały sklepu w mediach społecznościowych, grupach dyskusyjnych i na forach, które odwiedzane przez Twoich klientów.

Phishing, a włamanie w e-commerce

Atak phishingowy i włamania do sklepu są różnymi od siebie mechanizmami. Co do zasady w sytuacji włamania na Twoim koncie umieszczony zostaje złośliwy skrypt lub wykonywane jest nieautoryzowane pobranie informacji przechowywanych w bazie danych. Phishing z kolei polega na podszyciu się pod zaufaną osobę i spowodowanie, że ofiara sama zachowa się w oczekiwany przez cyberoszusta sposób — najczęściej chodzi o zalogowanie się na wskazanej przez niego stronie.

Phishing, typosquatting, cybersquatting i atak homograficzny — o co chodzi?

Twój wirtualny sklep może być narażony na różnego rodzaju ataki:

  • typograficzne, który opiera się na omyłkowym wciśnięciu błędnej litery,
  • homograficzne, gdzie znaki zastępowane są łudząco podobnymi pochodzącymi np. z cyrylicy,
  • opierające się o łudząco podobną wymowę sklepu lub innej instytucji, np. mbank zamieniony na mpank,
  • bazujące na łudząco podobnych do siebie literach znanych nam z alfabetu łacińskiego, „l” zamienione na „i”,
  • polegające na tym, że niektóre cyfry wyglądają podobnie do liter.
phishing w sklepie internetowym

Certyfikat SSL — skuteczna ochrona?

Cyberprzestępcy dbają o wiele szczegółów, by w jak największym stopniu upodobnić fałszywą stronę do oryginału i bywa, że są one robione „od ręki”.

phishing w sklepie internetowym

Strona oryginalna z lewej i dla porównania podróbka wyłudzająca dane (z prawej), która została przygotowana „na żywo”.

Podpowiedź:

Tanim, szybkim i skutecznym sposobem ochrony transmisji danych jest szyfrowanie komunikacji. Proste certyfikaty są w stanie ograniczyć walidację do poziomu, w którym sprawdzisz swoją kontrolę nad domeną — stąd wzięła się ich nazwa: DV (Domain Validation). Nie jest on jednak w stanie wskazać właściciela danej domeny. W tym pomagają certyfikaty EV (Extended Validation).

Certyfikat EV, czyli Extended Validation, zapewnia rozszerzoną walidację i daje możliwość sprawdzenia, jaki podmiot jest odpowiedzialny za funkcjonowanie danej strony. Wystarczy kliknąć widoczną przy adresie kłódkę, by zapoznać się ze szczegółowymi informacjami:

phishing w sklepie internetowym

Certyfikat SSL na poziomie walidacji EV to jeden z możliwych sposobów, by ochronić sklep internetowy przed phishingiem.

Pamiętaj o regularnym sprawdzaniu zabezpieczeń i zachowaj czujność. W razie zauważonych nieprawidłowości — nie zastanawiaj się i działaj od razu. Teraz wiesz jak!

Reklama

Przeczytaj również:

Artykuł
24.06.2022

Personalizacja usług w e-handlu

Magdalena Hajduga

Magdalena Hajduga

Head of Business Development
Apaczka.pl

Artykuł
21.06.2022

Analiza zachowań użytkowników w CUX – krok po kroku

Kamila Kotowska

Kamila Kotowska

Head of marketing
cux.io

Ekomercyjni

Nowa, zamknięta grupa na facebooku. Dużo ekomercyjnej wiedzy, networking, pomoc. Tu się poznasz na e-commerce.

Zobacz grupę