في هذه المقالة سوف نتحدث عن أمن التجزئة. سنركز بشكل أساسي على المتاجر عبر الإنترنت ، وعمليات الشراء التي كانت شائعة منذ فترة طويلة ، ولكننا سنولي أيضًا القليل من الاهتمام للمتاجر غير المتصلة بالإنترنت.
أجرينا مسحًا لممثلي قطاع البيع بالتجزئة واكتشفنا التهديدات الأمنية التي يعتبرونها الأكثر خطورة وأي الهجمات يجب أن نتوقع أكبر الخسائر.
أظهرت نتائج الاستطلاع أن مصدر القلق الأكبر هو تسرب البيانات الشخصية للعملاء. وهناك كل سبب لذلك. التشريع الروسي يتغير نحو مسؤولية أكثر صرامة في هذا المجال. ولكن لا يعني دائمًا أن المهاجمين مهتمون بالبيانات الشخصية مثل الاسم وعنوان المنزل وتجزئة كلمة المرور من الحساب. أكثر جاذبية هو بيانات البطاقات المصرفية التي يمكن وضعها في الأعمال التجارية دون مغادرة مكتب النقدية.
لا تعد المتاجر عبر الإنترنت مصدرًا لمعلومات البطاقة المصرفية للعملاء فحسب ، بل أيضًا مكانًا حيث يمكن للمحتالين استخدام البيانات التي تم شراؤها في السوق السوداء لإجراء عمليات الشراء. على الأرجح ، لن يؤدي هذا إلى خسائر مالية ، ولكن سيكون من الصعب تجنب السمعة. لذلك ، ترفض بعض المواقع العمل في البلدان التي تزدهر فيها الجرائم الإلكترونية.
قد يكون هناك أيضًا تسرب للبيانات المتعلقة بالأمور المالية والمعلومات السرية الأخرى حول المتجر. في هذه الحالة ، تعتمد عواقب التسرب وحجم الخسائر على من يمكنه الوصول إلى البيانات وكيف سيتم استخدامها.
هناك عدة أنواع من الهجمات ، خاصة الخطورة على المتاجر عبر الإنترنت. يخشى جميع المستجيبين من إمكانية الوصول غير المصرح به إلى حسابات المستخدمين والموظفين. أكثر رعبا من هذا هو الوصول غير المصرح به إلى لوحات الإدارة. من خلال هذه الحسابات ، يمكنك الوصول إلى قواعد البيانات وإدارة الأسعار والعروض الترويجية وما إلى ذلك. ليس من الصعب تخيل عواقب مثل هذا السيناريو.
البرنامج المستخدم في المتاجر عبر الإنترنت مليء بالثغرات ، مثل أي برنامج آخر ، كما أنه يثير مخاوف تجار التجزئة. يمكن استخدام حقن SQL في قواعد البيانات ، وإمكانية هجمات XSS و CSRF على المواقع ونقاط الضعف الخطيرة الأخرى لاختراق شبكة الشركة وسرقة البيانات. ليس بدون سبب يسبب القلق بشأن درجة أمان الخوادم السحابية المستخدمة. فيما يلي بعض الأمثلة على نقاط الضعف في خادم أمازون. إن استخدام الحلول السحابية في حد ذاته يعني الثقة الكاملة في طرف ثالث.
يخشى جميع تجار التجزئة على الأقل من خسائر السمعة من الأعمال الكوميدية للقراصنة ، مثل نشر صور مضحكة على الموقع.
لا يخشى معظم تجار التجزئة هجمات DDoS. ومع ذلك ، أظهرت دراسة أجراها Digital Security أنه ليست كل وسائل حماية DDoS فعالة.
خطر منفصل هو الترقيات. ولأنها "مؤقتة" ، فإنها لا تحظى باهتمام كاف. لم يتم اختبار منطق عملهم ، ويمكنك العثور على طريقة للتعامل معه. موقف مماثل مع بطاقات المكافأة: باستخدام الأخطاء في الرمز ، يمكنك زيادة رصيد المكافأة الخاص بك إلى ما لا نهاية.
نقدم الآن أمثلة على حالات استغلال الثغرات الأمنية في المتاجر عبر الإنترنت.
على سبيل المثال ، على موقع متجر Magneto عبر الإنترنت ، يتم تنزيل معاينات الفيديو عبر طلب POST مع عنوان URL للصورة نفسها. يمكن للمهاجم تغيير هذا الطلب إلى طلب GET ، حيث يمكن أن يكون هناك أي رمز ضار يتم تشغيله على موقع المتجر الإلكتروني عبر الإنترنت بدلاً من عنوان URL.
اكتشف باحث في Digital Security ثغرة أمنية تسمح لك بإنهاء عدد لا نهائي من النقاط التي يمكن دفعها حتى 100٪ من سعر الشراء. هذا ممكن بسبب المعالجة غير الصحيحة للمعلومات التي يتلقاها الخادم ، ولاستغلال هذه الثغرة الأمنية لا تحتاج إلى أي مهارات خاصة.
في الآونة الأخيرة ، تسربت مصادر برمجيات ايروفلوت. من بينها ، يمكنك العثور على أجزاء من التعليمات البرمجية المسؤولة عن شهادات الهدايا وتوليد المكافآت ، وبالطبع ، استخدمها لصالحك.
يمكنك التلاعب ليس فقط بالمال الافتراضي ، ولكن أيضًا بأسعار السلع. شراء هاتف ذكي بسعر قلم؟ هذا ممكن إذا تم تخزين قيم الأسعار حيث يسهل الوصول إليها وتغييرها. على سبيل المثال ، يمكنك تغيير سعر الاشتراك عن طريق إرسال طلب HTTP مزيف.
أخبرنا أحد ممثلي متجر البيع بالتجزئة عن كيفية إجراء حملة في سلسلة متاجره حيث حصل العملاء على خصم يساوي درجة الحرارة خارج النافذة. كل شيء سيكون على ما يرام ، لكن روسيا بلد كبير ، وعندما كان في سان بطرسبرغ كان فقط +10 ، في كراسنودار كان +35. هذا ما استخدمه المشترون عند طلب السلع مع التوصيل المجاني من المدن الجنوبية. في هذه الحالة ، لم يكن حتى "الانهيار" مضطرًا لذلك. قواعد الترقية غير الواضحة واضحة. كان يكفي الحد من نطاق التسليم أو حتى جعل التسليم غير قابل للوصول عند استخدام هذا العرض الترويجي.
يعلم الجميع الترويج "شراء سلعتين والحصول على ثالث مجانا". من المعلوم أن أرخص المنتجات عند الطلب ستكون مجانية. ومع ذلك ، ونتيجة لبعض التلاعبات ، تمكن مشتري متجر واحد عبر الإنترنت من شراء ثلاثة أقلام وثلاثة هواتف ذكية ، يدفعون مقابل الأقلام وهاتف ذكي واحد فقط.
نقطة ضعف أخرى هي موظفي الشركة. قد يسيئون استخدام سلطاتهم أو يجدون طريقة للوصول إلى قواعد بيانات المستخدم ، المعلومات الداخلية التي تشكل سرًا تجاريًا ، إلخ. الموظفون هم أحد مصادر البيانات التي تقع في الأسواق السوداء.
يمثل التجار خطرًا أمنيًا كبيرًا في المتاجر غير المتصلة بالإنترنت ، حيث يصبحون غالبًا أهدافًا للهندسة الاجتماعية. ينسون كلمات المرور التي تحتوي على كلمات المرور من الحسابات على الشاشات في طوابق التداول ولا يخرجون من الحسابات ، تاركين الشاشة مفتوحة.
ماذا تفعل
هناك العديد من الإجراءات الأمنية التي يمكن أن تساعد في منع المواقف المذكورة أعلاه ، أو على الأقل تقليل الضرر الناجم عن تصرفات المهاجمين. من بينها ، تجدر الإشارة إلى:
- اختبار جميع مكونات موقع المتجر الإلكتروني ؛
- إجراء عمليات تدقيق أمنية منتظمة ؛
- المراقبة المستمرة لنشاط الموقع ؛
- استخدام الأدوات التقنية مثل WAF والحماية من هجمات DDoS ؛
- استخدام مبدأ الحد الأدنى من الامتيازات للمستخدمين (وهذا يشمل المشترين والموظفين في المتجر عبر الإنترنت والإداريين) ؛
- تصفية المعلومات التي يدخلها المستخدمون في النماذج ؛
- مصادقة العملاء ذات العاملين عند مدخل حسابك الشخصي ؛
- تدريب موظفي المتاجر عبر الإنترنت وغير متصل على كيفية مواجهة الهندسة الاجتماعية.