Tippek-trükkök

2020.04.02. 06:00

Neves gyártó webáruházában is eltűnhet a pénzünk – így védekezzünk

Még március 20-án figyeltek fel biztonsági szakértők arra, hogy az amerikai Tupperware cég weboldalán szokatlan dolgok történnek.

Forrás: Shutterstock

A szakemberek olyan célzott támadást azonosítottak, amelyben a vásárlók fizetési adatait a hivatalos VISA CyberSource oldalt utánzó hamis, adathalász aloldal segítségével szerezték meg.

Biztonsági szakértők megpróbálták felvenni a kapcsolatot a céggel, ám azok sem a telefonos, sem az e-mailes figyelmeztetésre nem válaszoltak, nem reagáltak – írja az ESET Blog. Nyilván van egyfajta tehetetlensége a mostani home office rendszernek, de ez sem adhat felmentést a súlyos hibákkal kapcsolatos jelzések figyelmen kívül hagyására.

Az átverés alapja, egy webes módosítás, kis belepiszkálás egyáltalán nem volt túl látványos. A titokban beszúrt iframe elem a fizetési szakaszban egy orosz oldalra irányított el, ahol a bankkártya szám, lejárati dátum és a 3 jegyű CVV biztonsági kód után érdeklődtek a bűnözők nagy tisztelettel.

És bár a hivatalos, kijelzett URL közben láthatóan korrekt volt, meg ott volt a HTTPS lakatka is címsorban, de ettől még a pénzt ellopták.

Az első begépelés után egy timeout hibaüzenettel húzták az időt, és mire a második adatbegépelést elvégezték az áldozatok,

a csalók a fizetési adatok birtokában addigra gyorsan leürítették a számlát,

vagy esetleg felkoppantak a napi limitösszegen, illetve az online fizetést védő multifaktoros jóváhagyáson. Már ha volt ilyen.

A multifaktoros jóváhagyás védelmét sajnos ma még elég kevesen ismerik és használják – pedig sok kellemetlenségtől védene.

A lényege az, hogy

óvatos ember sosem használja a neten az igazi bankkártyáját, hanem egy külön erre a célra szolgáló virtuális net kártyát

húz elő. Azon a számláján pedig alaphelyzetben sosincs pénz, csakis a vásárlás előtt pár perccel utal át pont akkora összeget, ami éppen fedezi az aktuális költést.

Vagyis ellophatják ezeket a banki adatokat, akár a háromjegyű biztonsági kóddal együtt, sokra nem mennek vele. És ezt lehet még pluszban megfejelni a multifaktoros jóváhagyással, ami minden virtuális fizetéskor még egy eseti kódot is bekér egy másik eszközről.

Lehangoló, hogy körülbelül egy héttel az incidens kiszivárgása, és öt nap teljes hallgatás után a Tupperware még mindig csak általánosságokat válaszol – vizsgálják az esetet, számukra vásárlóik biztonsága a legfontosabb, bla-bla-bla.

Védjük magunkat, mert íme, egy nagyjából havi egymilliós látogatottságú oldalon is elveszhet a pénzünk. És ezúttal az derült ki, hogy az üzemeltetők alkalmanként még a beismerés, a gyors reagálás gesztusától is eltekintenek.

Hírlevél feliratkozás
Ne maradjon le a heol.hu legfontosabb híreiről! Adja meg a nevét és az e-mail-címét, és mi naponta elküldjük Önnek a legfontosabb híreinket!