Амит Найк, консультант по системам безопасности с более чем двадцатилетним стажем, объясняет, что такое цифровой скимминг и как защитить от него клиентов и бизнес.
Цифровой скимминг — одна из серьезных скрытых угроз любому бизнесу. Поскольку правила социальной дистанции остаются в силе, компании все больше взаимодействуют с клиентами через цифровые каналы, такие как веб-сайты и мобильные приложения. Даже традиционные предприятия вроде ресторанов теперь позволяют клиентам совершать предзаказы и онлайн-оплату.
Цифровая транзакция всегда связана со сбором персональной клиентской информации. Такие данные могут содержать имена, электронные адреса, пароли, номера телефонов, реквизиты платежных карт и проверочные коды. И данные такого рода наиболее уязвимы.
Кража из источника
Цифровой скимминг, также известный как magecart-атака, заключается в краже данных прямо на точке входа, где пользователь вводит информацию в веб-форму или мобильное приложение. Зачастую предприятие даже не подозревает об этом, поскольку информация утекает с пользовательского компьютера, а не с серверов компании. Такие атаки могут оставаться незамеченными неделями и месяцами, позволяя хакерам получать огромное количество номеров банковских карт для последующей перепродажи в даркнете.
По подсчетам исследователей с 2019 года прибыль от подобных атак на популярные платформы электронной коммерции может достигать 130 млн долларов. Прибыльность таких атак является столь очевидной, что в даркнете появляются инструменты, позволяющие даже не самым продвинутым хакерам заниматься цифровым скиммингом. Попавшие под санкции государства запускают собственные скимминг-операции, пытаясь воспользоваться альтернативным источником доходов.
Обычно скимминг-атака начинается с получения привилегированного доступа к консоли администратора сайта электронной коммерции. Затем хакеры помещают небольшой скрипт в сценарии сайта. Когда пользователь загружает сайт в браузере, вместе с разрешенными сценариями скачивается и скиммер-скрипт. Пока пользователь вводит платежные реквизиты в веб-форму, скрипт копирует данные и пересылает их на хакерский сервер. Здесь хакеры собирают номера платежных карт и далее продают их в даркнете.
Чтобы замаскировать скиммер-атаку, хакеры используют похожие доменные имена или широко известные сторонние сервисы вроде Google Analytics.
Что с этим делать?
Конфиденциальность данных должна быть важной частью любых цифровых технологий. С увеличением регулирования в области конфиденциальности — можно вспомнить Акт о защите потребителей Калифорнии (CCPA) и Глобальные правила защиты данных (GDPR) — ставки для бизнеса повышаются. Наибольший штраф за несоблюдение GDPR был назначен за утечку данных в ходе цифровой скиммер-атаки. Тогда британский регулятор оштрафовал British Airways на 240 млн долларов за утечку данных почти 300 тыс. клиентов в течение двух недель 2018 года.
Разрабатывая клиентские интерфейсы, компании должны соблюдать принципы сохранения конфиденциальности, а также предпринимать шаги по защите данных на точке их ввода. Приложения по защите на стороне клиента, такие как PerimeterX Code Defender, могут обезопасить от цифрового скимминга и кражи данных.
Любой бизнес, принимающий платежи по картам, должен соответствовать стандартам PSI-SSC для защиты данных держателей карт. Нужно, чтобы данные карты шифровались или были токенизированы у источника, а также никогда не хранились в открытом виде. Тем не менее даже PCI-совместимый бизнес пока что остается уязвимым к скиммер-атакам, когда данные крадутся на точке ввода.
Некоторые компании используют сторонние платежные сервисы, вроде Stripe или Braintree, которые работают в iframe и не передают номера карт другим скриптам. Хакеры могут обойти такую защиту, создавая фейковые регистрационные страницы, которые требуют у ничего не подозревающих пользователей ввести информацию о карте.
Брутфорс аккаунтов
Брутфорс аккаунтов — это атаки грубой формы для получения доступа к защищенному паролем сайту. Злоумышленники применяют автоматических ботов, которые занимаются перебором логинов и паролей для авторизации на веб-сайте или в мобильном приложении. Эти могут быть случайные комбинации или наборы паролей, купленные в даркнете. Боты могут выполнять тысячи запросов в секунду, тем самым упрощая подбор необходимой для успешной брут-атаки комбинации.
Большинство таких ботов — хорошие. Например, поисковый движок Google использует автоматические веб-краулеры для индексации страниц в интернете. Службы мониторинга могут периодически загружать данные вашего сайта, чтобы собирать статистику.
Имейте в виду, что всякий желающий может внести годовую плату и зарегистрировать незанятое доменное имя. При регистрации владелец домена может потребовать сохранить свое имя в тайне. Так что становится почти невозможно проверить, действительно ли домен принадлежит бизнесу. Это позволяет хакерам запускать скимминг- и фишинг-атаки.
Бесконтактные платежи и социальное дистанцирование стали частью жизни. Важно не позволять цифровым скиммерам зарабатывать — для чего требуется защитить точку ввода данных от воровства.
Перевод. Источник: https://www.atmmarketplace.com/blogs/digital-skimming-the-lucrative-cybercrime/
