Τον Σεπτέμβριο του 2020, εγκληματίες του κυβερνοχώρου παραβίασαν περίπου 2.800 e-commerce sites (sites ηλεκτρονικού εμπορίου), εισάγοντας κακόβουλο κώδικα, με σκοπό την κλοπή οικονομικών στοιχείων χιλιάδων πελατών. Η επίθεση θεωρείται έργο της Magecart, που χρησιμοποιεί JavaScript malware για να στοχεύσει “καλάθια αγορών”, που σχετίζονται με την open-source πλατφόρμα ηλεκτρονικού εμπορίου Magento. Οι ειδικοί ασφαλείας λένε ότι είναι το μεγαλύτερο περιστατικό Magecart που έχει εντοπιστεί, αλλά αποτελεί άλλη μια client-side επίθεση. Αυτές οι επιθέσεις είναι εξαιρετικά επικερδείς αλλά και πολύ κοινές. Στην πραγματικότητα, μια τέτοια επίθεση λαμβάνει χώρα κάθε 39 δευτερόλεπτα.
Οι client-side επιθέσεις έχουν σημαντικό αντίκτυπο στους εμπόρους λιανικής που διαχειρίζονται e-commerce sites. Οι επιτυχημένες επιθέσεις μπορεί να οδηγήσουν σε απώλεια 508.000-598.000 $ ανά ώρα.
Οι e-commerce εταιρείες πρέπει να ακολουθήσουν νέες στρατηγικές και να λάβουν νέα μέτρα για την ασφάλεια στον κυβερνοχώρο, για να προστατευτούν. Είναι φανερό ότι τα παραδοσιακά εργαλεία και οι παλιές προσεγγίσεις δεν αρκούν. Για να ανταποκριθούν αποτελεσματικά στις Magecart και σε άλλες client-side επιθέσεις, πρέπει να ενσωματώσουν τα ακόλουθα κρίσιμα στοιχεία στις στρατηγικές τους:
Λύσεις ασφαλείας που προλαμβάνουν μια επίθεση: Οι ομάδες ασφαλείας των e-commerce sites επωφελούνται από λύσεις που επιτρέπουν την παρακολούθηση, την ανίχνευση και την αποτροπή παραβιάσεων σε πραγματικό χρόνο, προτού γίνει οποιαδήποτε ζημιά. Πιθανότατα, οι ειδικοί παρατήρησαν ότι την περασμένη χρονιά, είχαν διαθέσει πάρα πολλούς πόρους στο server side και όχι στο client-side. Το 2021, πρέπει να επικεντρωθούν στο client-side, με τη χρήση εργαλείων που προλαμβάνουν και αποτρέπουν οποιαδήποτε παραβίαση των e-commerce sites.
Πλήρης γνώση της δραστηριότητας τρίτου μέρους / προμηθευτή: Οι εταιρείες ηλεκτρονικού εμπορίου χρησιμοποιούν 40 έως 60 third-party εργαλεία, ενώ προσθέτουν τρεις έως πέντε νέες third-party τεχνολογίες στα sites τους, κάθε χρόνο. Όταν χρησιμοποιούνται τόσα “ξένα” εργαλεία, υπάρχει πάντα κίνδυνος. Τα sites θα πρέπει να έχουν πλήρη γνώση των δραστηριοτήτων των προμηθευτών και συνεργατών. Αυτό είναι απαραίτητο όχι μόνο για την ασφάλεια του site, αλλά και γιατί είναι απαίτηση του Γενικού Κανονισμού Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης (GDPR). Ο Κανονισμός ορίζει ότι τα sites είναι υπεύθυνα για τις ενέργειες των τρίτων προμηθευτών τους.
Zero-trust προσέγγιση: Από τη στιγμή που τα e-commerce sites αποκτήσουν πλήρη γνώση του περιβάλλοντος, πρέπει να επιβάλουν αποτελεσματικούς ελέγχους σε αυτό. Ιδανικά, για να υπάρχει όσο το δυνατόν περισσότερη ασφάλεια, τα τρίτα μέρη θα πρέπει να μην έχουν πρόσβαση σε πολλές πληροφορίες, παρά μόνο στις απαραίτητες. Αυτό σημαίνει ότι οι εταιρείες ακολουθούν τη Zero-trust προσέγγιση, κατά την οποία δεν υπάρχει απόλυτη εμπιστοσύνη σε κανέναν και γι’ αυτό το λόγο η πρόσβαση σε συστήματα και δεδομένα είναι περιορισμένη στα απολύτως απαραίτητα. Οι εικονικές ιστοσελίδες για πρόσβαση τρίτων διαδραματίζουν ουσιαστικό ρόλο καθώς δημιουργούν ένα αντίγραφο της πραγματικής ιστοσελίδας, το οποίο όμως αποκλείει οτιδήποτε δεν πρέπει να δουν οι third party εταιρείες. Καθώς τα third-party scripts είναι απομονωμένα από τον πραγματικό ιστότοπο, οι αλλαγές σε JavaScript που δημιουργήθηκαν από hackers δεν θα προκαλέσουν καμία ζημιά.
Στις περισσότερες περιπτώσεις, οι hackers επιδιώκουν δύο πράγματα: να κερδίσουν όσο το δυνατόν περισσότερα χρήματα και να το κάνουν όσο πιο εύκολα γίνεται. Οι client-side επιθέσεις είναι ιδανικές και για τα δυο αυτά κριτήρια και γι’ αυτό είναι τόσο δημοφιλείς. Αυτό σημαίνει ότι οι e-commerce εταιρείες δεν μπορούν να κρατήσουν μια παθητική στάση. Πρέπει να εφαρμόσουν αμυντικές στρατηγικές που στηρίζονται κυρίως στην πρόληψη, την πλήρη γνώση των πάντων και την μηδενική εμπιστοσύνη. Με αυτόν τον τρόπο, μπορούν να ενισχύσουν σε ένα βαθμό την ασφάλειά τους.
Πηγή: Infosecurity Magazine