Biznes i Finanse
Wzrost liczby kradzieży danych z kart. FBI wydaje ostrzeżenie
Amerykańskie FBI wydało ostrzeżenie o atakach skimmera mającego na celu kradzież danych kart płatniczych ze sklepów internetowych. Ostrzeżenie odnosi się do wzrostu zagrożenia wywołanego przez tzw. wirtualne karty kredytowe, które można zakupić na czarnorynkowych stronach za niewielką opłatą.
„To ostrzeżenie jest skierowane w szczególności do małych i średnich firm oraz agencji rządowych, które przyjmują płatności kartą kredytową przez Internet”, wskazuje FBI w swoim komunikacie. „E-skimming występuje, gdy cyberprzestępcy wstrzykują złośliwy kod na stronę internetową. Zły aktor może uzyskać dostęp poprzez atak phishingowy wymierzony w Twoich pracowników - lub przez podatnego zewnętrznego dostawcę podłączonego do serwera Twojej firmy” – zaznacza FBI.
Jak podkreśla biuro ataki tego typu zazwyczaj zaczynają się od wstrzyknięcia złośliwego kodu JavaScript na strony płatności. Dane te, można później nabyć za niezbyt wygórowaną kwotę na czarnorynkowych stronach jako tzw. skimmery JavaScript, czyli wirtualne karty kredytowe.
FBI wskazuje również na proste sposoby zapobiegania kradzieży danych przy dokonywaniu płatności online.
- Aktualizacja oprogramowania;
- Aktualizacja i zmiana hasła oraz innych danych uwierzytelniających. W tym również wykorzystywania unikalnych haseł na wszystkich urządzeniach i aplikacjach;
- Wdrożenie uwierzytelniania wieloskładnikowego;
- Unikanie klikania w podejrzane linki, zwłaszcza jeśli pochodzą one z nieznanego adresu e-mail;
- Segmentacja sieci, aby oddzielić dane dotyczące płatności i klientów.
Jak podkreśla Jérôme Segura, reprezentujący firmę Malwarebytes, wciąż wiele witryn e-commerce nie weryfikuje prawidłowo swoich zewnętrznych dostawców oraz nie nalega, aby przestrzegali oni określonych praktyk bezpieczeństwa. „Liczne grupy zagrożeń wdrażające skimmery zwykle wykorzystują lukę w zabezpieczeniach oprogramowania bazowego działającego na platformie e-commerce lub być może załadują złośliwy kod za pośrednictwem strony trzeciej” – kontynuuje Segura. „Niektórzy przestępcy tworzą również strony phishingowe zaprojektowane do kradzieży danych uwierzytelniających w sklepie internetowym, umożliwiając im w ten sposób wstrzykiwanie złośliwego kodu”.