Mga Key Takeaway
- Nagawa ng mga attacker kamakailan na mag-install ng mga digital card skimmer sa mahigit 500 website.
- Ang responsibilidad para sa proteksyon ay nasa mga may-ari ng website.
-
Iminumungkahi ng mga eksperto sa seguridad ang iba't ibang paraan na magagamit ng mga user para protektahan ang kanilang sarili.
Sa halip na ikompromiso ang mga indibidwal na account, ang mga hacker ay nagbago ng taktika at ngayon ay humahabol sa mother lode, na nag-i-install ng mga card skimmer sa mga online na web store.
Noong Pebrero 8, 2022, nagbahagi ang mga mananaliksik ng seguridad ng mga detalye tungkol sa malawakang paglabag sa mahigit 500 online na tindahan na nagpapatakbo ng Magento ecommerce platform. Nag-load ang mga attacker ng payment card skimmer sa lahat ng tindahan, sa tinatawag na magecart attack. Bagama't ang pag-aayos ay nakasalalay sa mga online na tindahan, ang mga target ay ang mga end-user na pinaniniwalaan ng mga eksperto na dapat ding maging mas mapagbantay kapag nakikipagtransaksyon online.
"[Ang] kamakailang pag-atakeng ito ay dapat na isang matinding paalala sa lahat ng online na parokyano [na] may tungkulin silang protektahan ang kanilang sarili bilang karagdagan sa inaasahan mo mula sa iyong provider ng online store, " Ron Bradley, VP ng Shared Assessments, sinabi sa Lifewire sa pamamagitan ng email.
Digital Skimming
Gustavo Palazolo, Staff Threat Research Engineer sa Netskope, ay nagsabi sa Lifewire sa pamamagitan ng email na ang Magento ay isa sa mga sikat na platform ng ecommerce na tina-target ng mga umaatake dahil maraming tindahan ang nagpapatakbo ng mga hindi napapanahong pagkakataon ng software, habang ang iba ay gumagamit ng mga third-party na plugin na kung minsan ay naglalaman ng mga hindi na-patch na mga bahid sa seguridad na nagpapahintulot sa mga umaatake na magtanim ng mga digital skimmer.
Sabi niya, bagama't hindi simpleng i-verify kung ang website kung saan ka namimili ay naging target ng isang magecart campaign, may ilang mga hakbang na maaaring sundin ng mga user upang mapalakas ang kanilang online na seguridad.
Inirerekomenda ng Palazolo ang paggamit ng mga extension ng browser upang harangan ang mga hindi kilalang script, gaya ng NoScript para sa Firefox. Iminungkahi din niya ang paggamit ng mga solusyon sa antivirus na nagbibigay ng mga extension ng browser dahil maaari nilang i-scan ang binisita na website at i-block ang mga nakakahamak na script.
Idinagdag niya na hindi na sinusuportahan ng Adobe ang Magento v1, ngunit dahil sa katanyagan nito, mayroong ilang mga patch ng seguridad na ibinibigay ng komunidad upang makatulong sa pag-secure ng bersyong ito. Gayunpaman, iminumungkahi niya sa mga user na iwasang makipagtransaksyon sa mga website na pinapagana ng hindi sinusuportahang platform na ito.
Upang i-verify kung ang website na binibili mo ay nagpapatakbo ng pinakabagong Magento v2, itinuro ni Palazolo ang Wappalyzer para sa Chrome at Firefox, na maaaring makakita ng teknolohiya sa likod ng isang web page.
"Kung ang pag-install ng extension ng browser ay hindi isang opsyon, ang mga online na tool ay maaaring maging isang magandang pagpipilian upang i-verify ang mga detalye tungkol sa Magento, gaya ng MageReport, na maaaring magpakita sa iyo hindi lamang ang bersyon kundi pati na rin ang impormasyon tungkol sa mga kahinaan sa seguridad na makikita sa website na bibilhin mo," payo ni Palazolo.
Maging Iyong Sariling Firewall
Sinabi ni Bradley na ang mga online na mamimili ay hindi kailangang maging mga eksperto sa cybersecurity para protektahan ang kanilang sarili ngunit dapat magkaroon ng malalim na kaisipan para maiwasang maging biktima.
"Ang cybersecurity ay parang sibuyas na [binubuo] ng maraming layer. Mahalagang tukuyin ang iyong perimeter at ipatupad ang mga hakbang sa seguridad upang maprotektahan ang iyong sarili," sabi ni Bradley. "Magsimula sa iyong bank o credit card issuer. I-on ang lahat ng alerto na maaari mong gawin, hanggang sa puntong nakakainis ito, at kailangan mong bumalik at i-dial ito."
Iminumungkahi din niya na i-on ang multi-factor authentication hangga't maaari at nagsusulong laban sa paggamit ng mga debit card habang sinasamantala ang credit freeze facility, na walang gastos, at tumutulong na protektahan ang mga customer mula sa mga pagnanakaw ng pagkakakilanlan.
Sinabi ng Palazolo na dapat gamitin ng mga user ang kakayahan upang bumuo ng natatangi at pansamantalang digital card number para sa mga online na pagbili. Kahit na nahawahan ang website, titiyakin ng opsyong ito na ang mga nakaw na detalye ng card ay walang silbi sa mga umaatake.
Mga Mata na Dilat
Si Erich Kron, isang tagapagtaguyod ng kaalaman sa seguridad sa KnowBe4, ay nagmungkahi ng mga mamimili na regular na suriin ang kanilang mga credit card at bank statement, na pinapanatili ang kanilang mga mata para sa mga hindi pangkaraniwang singil o pagbili.
"Napakadalas, nadaragdagan lang ang mga singil sa balanse ng credit card nang hindi napapansin ng biktima. Kahit na maliliit na singil, isang dolyar o dalawa sa isang pagkakataon, na magagamit upang kumpirmahin sa cybercriminal na ang card ay nananatili pa rin. valid, maaaring maging senyales na ang card ay nakompromiso, " ibinahagi ni Kron sa Lifewire sa pamamagitan ng email.
"Mahalagang tukuyin ang iyong perimeter at ipatupad ang mga hakbang sa seguridad para protektahan ang iyong sarili."
Iminungkahi rin niya na dapat maunawaan ng mga user ang mga proteksyong inaalok ng kanilang mga credit card at magkaroon ng kamalayan sa lahat ng opsyong magagamit nila upang mabilis na mag-ulat ng mga kahina-hinalang singil.
Gayunpaman, sa pagtatapos ng araw, responsibilidad ng mga may-ari ng website ng ecommerce na tiyaking nagpapatakbo sila ng isang secure na barko, itinuro ni Kunal Modasiya, senior director ng pamamahala ng produkto sa cybersecurity firm na PerimeterX. Sinabi niya dahil limitado ang mga aksyon ng consumer, ang mga may-ari ng website ng ecommerce ay dapat gumamit ng mga solusyon na nagbibigay ng tuluy-tuloy na visibility sa mga aksyon na nangyayari sa kanilang mga website.
"Dapat gumamit ang mga kumpanya ng ecommerce ng isang multi-layer na defense-in-depth na solusyon na tumutulong na protektahan ang account ng mga user at impormasyon ng pagkakakilanlan saanman sa kanilang digital na paglalakbay."