Kako lahko hekerji napadejo vaše spletno mesto?

Postavitev lastne spletne trgovine je lažja kot kadarkoli prej. Na trgu najdemo kar nekaj rešitev za začetnike in že uveljavljene poslovneže, ki ne zahtevajo naprednih znanj programiranja. Toda ta razcvet e-commerce platform je s sabo prinesel tudi nekaj nezaželenih stvari, kot so hekerji, spammerji in ostali, ki želijo izkoristiti ranljivost spletnih trgovin za lasten profit.

Ne glede na to, kako uspešna je vaša spletna trgovina, kako dobra je vaša marketinška strategija ali kako dober je dizajn spletnega mesta, lahko vse skupaj propade zaradi preprostega DDoS napada, SQL injekcije ali drugih groženj.

Varnostna vprašanja so izziv številka ena za e-trgovino. Podjetja se morajo zavarovati pred krajo podatkov. Že ena majhna napaka vas lahko ogromno stane. V začetku letošnjega leta so na primer hekerji okužili in ukradli podatke 227 spletnih trgovin na način, da so najprej okužili njihove ogaševalske partnerje, zaradi česar je nastalo več sto tisoč evrov škode.

Znaki, da so vam vdrli na spletno stran ali trgovino

Kot lastnik spletnega mesta, verjetno spremljate aktivnosti uporabnikov s pomočjo raznih orodij in meritev. Če ste opazili nenadno zmanjšanje prodaje, se to ne navezuje nujno na sezonski padec povpraševanja ali nedavno zvišanje cen, ampak je razlog za to morda povezan z varnostno grožnjo. Vendar upad prodaje ni edini znak, ki bi vas moral skrbeti.

Tukaj je nekaj glavnih namigov, na katere morate biti pozorni:

  • V spletni trgovini se pojavijo izdelki, ki jih niste dodali vi
  • Spletno mesto deluje slabo in počasi
  • Podatki se prenašajo na »čudne« strani (prepoznate jih lahko z orodjem WireShark)
  • Stranke pravijo, da so nakup opravile, vendar pa ta ni zabeležen pri vas
  • Spletno mesto je umaknjeno z gostovanja ali je na črnem seznamu na Googlu
  • Vaša zbirka podatkov se prodaja na spletu (na t.i. Dark webu)
  • Strežnik je preobremenjen zaradi večkratnih zahtevkov z istega IP naslova (Brute force attack attempts)
  • Na spletnem mestu se pojavijo (zlonamerni) pop-up oglasi
  • V nadzorni plošči se pojavi nov administrator, ki ga niste dodali
  • Iz sistemskih dnevnikov (system logs) lahko vidite nenavadno povezavo s C -panelom z neznanega IP naslova
  • Stanke se pritožujejo nad zlonamerno uporabo njihovih kreditnih kartic
  • Na spletnem mestu se pojavijo nove podstrani, ki jih niste dodali sami

Najpogostejše vrste napadov

DDoS napadi

Če mislite, da je to zastarela vrsta napadov, se motite. Do leta 2020 naj bi se zvrstilo kar 17 milijonov (vir) takšnih napadov. Napadi pa niso omejeni le na spletne trgovine, ampak se dogajajo tudi pri medijskih, tržnih, bančnih in ostalih podjetjih. Napadalci napadejo strežnike, sisteme in tudi cele mreže ter jih obremenijo z maso podatkov in tako onesposobijo delovanje. Čeprav se to na prvi pogled zdi nenevarno, lahko takšni napadi pripeljejo do izgube dobička ali padca zanesljivosti in ugleda podjetja. Najboljša zaščita proti tej vrsti napada je dobra arhitektura spletnega mesta, omogočen požarni zid in varnoste kopije za obnovo podatkov.

Man-in-the-middle napadi

Pri tej vrsti napada se napadalci (hekerji) postavijo med povezave (npr. med brskalnikom in strežnikom) ter prestrežejo, modificirajo in zbirajo podatke za lastno korist. Tipične tarče so spletne trgovine in finančna podjetja. Enostavne rešitve ni, najboljša zaščita pa je SSL/TLS certifikat na spletem mestu, ki zavaruje HTTP promet. Dober primer zaščite je tudi uporaba VNP-ja (Virtual Private Network), ki ustvari varen prehod in šifrira prihajajoče in odhajajoče podatke. Kupi ga lahko vsak, običajno pa se zaračunavajo na mesečni ali letni ravni.

SQL injekcije

Specifična tehnika, ki cilja na vdor v podatkovno bazo spletnega mesta. Ustvarja luknje v back-end kodi in hekerjem omogoča vstavljanje zlonamerne kode v razne forme (kontaktni obrazci, spletna iskanja itd.), tako lahko heker prevzame popoln nadzor nad upravljanjem. Kot zaščito se uporabljajo orodja za identifikacijo napadov, kot npr. WordPress Security Scan, Qualis in podobni.

Malware

Gre za zlonamerno programsko opremo (dropperji, črvi, trojanci, adware itd.), ki je na sistem nameščena brez vednosti uporabnika/lastnika. Povzroči lahko počasno delovanje spletnega mesta ali izvažanje podatkov. Eden od odmevnih dogodkov je bil vdor na več kot 7.000 spletnih trgovin, ki delujejo na platformi Magento, kjer so hekerji pridobivali podatke o bančnih karticah oseb, ki so kupovali na eni od teh spletnih trgovin. Najboljša zaščita za to vrsto napada je omogočen požarni zid.

Cross-Site Scripting (XSS)

XSS ranljivosti so ena od najpogostejših ranljivosti WordPress, OpenCart in Prestashop vtičnikov. Celo Google ponuja nagrade v vrednosti 10.000 dolarjev (vir) za identifikacijo XSS ranljivosti. V primerjavi z SQL injekcijo, XSS napadalci ne škodijo strežniku, ampak uporabnikom okuženega spletnega mesta. Žrtev prenese spletno mesto, ki ima vgrajeno zlonamerno javascript kodo in tako krade podatke iz brskalnika. Napadalci uporabnike prepričajo v prenos na več načinov, na primer tako, da jim pošljejo e-poštno sporočilo (ki zgleda tako, kot da je prišlo od uradnega administratorja gostovanja), kjer jih prosijo, da preverijo svoje uporabniške nastavitve. Tako napadalec pridobi piškotke administratorja in prevzame nadzor nad spletnim mestom.

Povzeto po: blog.cs-cart.com, 2019. Top E-commerce Cyber Threats to be Aware of in 2019 [spletni vir] Dostopno na: https://blog.cs-cart.com/2019/11/05/top-ecommerce-cyber-threats-to-be-aware-of-in-2019/ [5.11.2019]

Slika: GraphiqaStock