{"id":16825,"date":"2020-02-28T11:46:58","date_gmt":"2020-02-28T09:46:58","guid":{"rendered":"https:\/\/www.gpec.ro\/blog\/?p=16825"},"modified":"2020-03-04T18:11:48","modified_gmt":"2020-03-04T16:11:48","slug":"cele-mai-frecvente-probleme-de-securitate","status":"publish","type":"post","link":"https:\/\/www.gpec.ro\/blog\/cele-mai-frecvente-probleme-de-securitate","title":{"rendered":"7 probleme de securitate \u00een e-commerce"},"content":{"rendered":"<div class=\"fcbkbttn_buttons_block\" id=\"fcbkbttn_left\"><div class=\"fcbkbttn_like \"><div class=\"fb-like fb-like-button_count\" data-href=\"https:\/\/www.gpec.ro\/blog\/cele-mai-frecvente-probleme-de-securitate\" data-colorscheme=\"light\" data-layout=\"button_count\" data-action=\"like\"  data-size=\"small\"><\/div><\/div><\/div><p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-16905 size-large\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_Cristian-Iosub-1-1024x586.png\" alt=\"\" width=\"910\" height=\"521\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_Cristian-Iosub-1-1024x586.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_Cristian-Iosub-1-300x172.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_Cristian-Iosub-1-768x440.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_Cristian-Iosub-1.png 2048w\" sizes=\"auto, (max-width: 910px) 100vw, 910px\" \/><\/p>\n<p><strong>Potrivit estim\u0103rilor ARMO (Asocia\u0163ia Rom\u00e2n\u0103 a Magazinelor Online) magazinele online au dep\u0103\u015fit valoarea de 4,3 miliarde de euro \u00een v\u00e2nz\u0103ri la finalul anului 2019, cu 20% mai mult dec\u00e2t \u00een 2018. \u00centr-o industrie aflat\u0103 \u00een plin\u0103 expansiune, succesul atrage adesea aten\u021bia nedorit\u0103, iar atacatorii dispun de metode din ce \u00een ce mai sofisticate pentru a exploata vulnerabilit\u0103\u021bile identificate \u00een securitatea magazinelor online.<\/strong><!--more--><\/p>\n<h2><b>Sunt magazinele online sigure?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Potrivit lui Filip Tru\u021b\u0103, specialist \u00een securitate informatic\u0103 la Bitdefender, companiile mici pot c\u0103dea prad\u0103 mai repede infractorilor cibernetici dec\u00e2t firmele mari care \u00ee\u0219i permit s\u0103 ia m\u0103suri costisitoare s\u0103 se apere de amenin\u021b\u0103ri avansate. Magazinele online sunt firme mici, cu bugete IT de regul\u0103 restr\u00e2nse, \u0219i astfel sunt mult mai slab preg\u0103tite pentru a face fa\u021b\u0103 unui atac cibernetic.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Constr\u00e2nse de cheltuieli, firmele mici deleag\u0103 atribu\u021biile de securitate aproape exclusiv administratorului IT. El trebuie s\u0103 jongleze cu toate aspectele legate de sistemul informatic al firmei, inclusiv componenta de securitate. Acest concept de \u201eom bun la toate\u201d merge p\u00e2n\u0103 \u00een punctul \u00een care firma cade prad\u0103 unor atacatori experimenta\u021bi, antrena\u021bi s\u0103 se infiltreze \u00een sistemul informatic f\u0103r\u0103 a fi detecta\u021bi. Dac\u0103 administratorul IT nu actualizeaz\u0103 platforma pe care e construit site-ul magazinului, un atacator poate exploata vulnerabilit\u0103\u021bi \u0219tiute \u00een platforma respectiv\u0103 pentru a-l infecta. De exemplu, poate injecta instruc\u021biuni menite s\u0103 fure datele de card ale clien\u021bilor \u0219i apoi s\u0103-i fraudeze.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">De\u0219i nu de\u021bin neap\u0103rat proprietate intelectual\u0103 valoroas\u0103, magazinele online de\u021bin date suficient de valoroase c\u00e2t s\u0103 trezeasc\u0103 interesul r\u0103uf\u0103c\u0103torilor: datele personale ale clien\u021bilor. Dac\u0103 printre aceste date se reg\u0103sesc parole necriptate, stocate \u00een clar, acestea pot fi folosite de hackeri pentru a compromite alte conturi online ale acelei persoane. Motivul? Utilizatorii de internet tind s\u0103 refoloseasc\u0103 aceea\u0219i parol\u0103 pentru mai multe conturi online.<\/span><i><span style=\"font-weight: 400;\">\u00a0<\/span><\/i><span style=\"font-weight: 400;\">\u00a0<\/span><\/p>\n<h2><b>Semne c\u0103 un website a fost compromis:<\/b><\/h2>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">\u00eenc\u0103rcarea ridicat\u0103 pe server datorit\u0103 solicit\u0103rilor repetate de la acelea\u0219i adrese IP<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">bo\u021bi care \u00eencearc\u0103 s\u0103 fac\u0103 scraping pe con\u021binut \u0219i afecteaz\u0103 l\u0103\u021bimea de band\u0103<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">exist\u0103 produse pe care nu dvs. le-a\u021bi publicat pe site<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">mai mul\u021bi clien\u021bi au comandat produse \u0219i au beneficii pe care nu ar fi trebuit s\u0103 le aib\u0103 (ex: transport gratuit)<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">baza de date a magazinului este disponibil\u0103 spre v\u00e2nzare pe dark web<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">clien\u021bii v\u0103d pe site reclame ce le solicit\u0103 s\u0103 instaleze tot felul de aplica\u021bii malware<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">pentru site-urile web dinamice apar noi tabele de baze de date necunoscute<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">apar brusc utilizatori noi ai bazei de date sau cu drept de administrare<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">dac\u0103 ave\u021bi activate notificarile CPanel, primi\u021bi alerte cu sesiuni de autentificare de la adrese IP necunoscute<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">exist\u0103 pagini pe care nu dvs. le-a\u021bi publicat pe site (de regul\u0103 scrise \u00een limbi str\u0103ine)<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">clien\u021bii reclam\u0103 c\u0103 la accesarea site-ului sunt redirec\u021biona\u021bi c\u0103tre alte site-uri<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">analiza pachetelor de date din timpul navig\u0103rii, arat\u0103 c\u0103 datele sunt transmise \u0219i c\u0103tre adrese web sau IP necunoscute<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">utilizatorii reclam\u0103 c\u0103 au pl\u0103tit o comand\u0103, dar dvs. nu identifica\u021bi plata comenzii<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">log-urile serverului semnaleaz\u0103 un atac de tip brute force<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">magazinul dvs. este blacklistat de c\u0103tre Google sau aplica\u021bia antivirus.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-16826\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed-1024x766.png\" alt=\"online threats\" width=\"595\" height=\"445\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed-1024x766.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed-300x225.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed-768x575.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed-600x450.png 600w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/unnamed.png 1582w\" sizes=\"auto, (max-width: 595px) 100vw, 595px\" \/>\u00a0<\/span><\/p>\n<h2><b>4 vulnerabilit\u0103\u021bi \u00eent\u00e2lnite frecvent\u00a0<\/b><\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-16907\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_atacuri-1024x586.png\" alt=\"\" width=\"639\" height=\"366\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_atacuri-1024x586.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_atacuri-300x172.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_atacuri-768x440.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_atacuri.png 2048w\" sizes=\"auto, (max-width: 639px) 100vw, 639px\" \/><\/p>\n<ol>\n<li><b> Modificarea pre\u021burilor<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"> este scopul multor atacuri asupra magazinelor online. Platformele de ecommerce sunt de regul\u0103 automatizate \u0219i rareori persoanele care proceseaz\u0103 comenzile verific\u0103 dac\u0103 informa\u021biile \u00eenregistrate pe o comand\u0103 coincid cu cele care ar fi trebuit. \u00cen acela\u0219i timp, sunt platforme de ecommerce complet automatizate unde nu verific\u0103 nimeni \u00een fluxul de comand\u0103 \u0219i procesare dac\u0103 plata pentru un produs este cea corect\u0103, astfel c\u0103 interesul poten\u021bialilor atacatori cre\u0219te odat\u0103 cu gradul de automatizare a proceselor interne de \u00eenregistrare a comenzilor. \u00cens\u0103 nu doar pre\u021bul poate reprezenta un interes ci \u0219i beneficiile acordate pe l\u00e2ng\u0103 achizi\u021bia produselor. \u00cen urm\u0103 cu c\u00e2\u021biva ani comandam \u00een mod frecvent de pe un site rom\u00e2nesc al unui produc\u0103tor de cafea \u0219i \u00een func\u021bie de cantitatea de capsule achizi\u021bionate primeam gratuit ce\u0219cu\u021be de cafea, cutii de ciocolat\u0103, linguri\u021be, transport gratuit sau cutii de capsule.<br \/>\nO simpl\u0103 manipulare a elementelor transmise dintr-o pagin\u0103 \u00een alta \u00een procesul de checkout oferea posibilitatea unui atacator s\u0103 modifice cantit\u0103\u021bile astfel c\u0103 \u00een loc s\u0103 primeasc\u0103 o cutie de capsule gratuit la 15 cutii de capsule de cafea pl\u0103tite, comanda ajungea s\u0103 fie \u00eenregistrat\u0103 ca av\u00e2nd 15 cutii de capsule gratuite \u0219i o cutie de capsule pl\u0103tit\u0103. Vulnerabilitatea era prezent\u0103 pe toate site-urile brandului la nivel global \u0219i au fost aplicate m\u0103surile de securitate rapid. Rareori vulnerabilit\u0103\u021bile de acest tip sunt raportate c\u0103tre administratorii magazinelor online pentru c\u0103 o astfel de vulnerabilitate ofer\u0103 acces pentru o perioad\u0103 lung\u0103 de timp atacatorilor \u0219i scopul acestora este s\u0103 beneficieze c\u00e2t mai mult de un pre\u021b sc\u0103zut sau de facilit\u0103\u021bi gratuite.<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> Directory listing.<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"> Una din cele mai r\u0103sp\u00e2ndite vulnerabilit\u0103\u021bi este cea de afi\u0219are a con\u021binutului folderelor ce compun CMS-ul magazinului online. Este o vulnerabilitate cu o rezolvare extrem de simpl\u0103 dar ignorat\u0103 de c\u0103tre majoritatea programatorilor. La o prim\u0103 vedere, faptul c\u0103 sunt afi\u0219ate fi\u0219ierele dintr-un folder nu pare a fi o problem\u0103, mai ales c\u0103 de regul\u0103 magazinele online au foarte multe fi\u0219iere de tip imagine, fi\u0219iere pdf \u0219i nu pare a fi nimic distructiv. Totu\u0219i, \u00een timp faptul c\u0103 directory listing-ul este activat se uit\u0103 \u0219i apar tot mai multe module care \u00eencep s\u0103 scrie \u00een folderele site-ului. Astfel, un poten\u021bial atacator poate g\u0103si prin intermediul unei simple navig\u0103ri \u00een browser, de la baze de date salvate pe disk p\u00e2n\u0103 la backup-uri ale fi\u0219ierelor de configurare. \u00centr-un articol viitor vom discuta \u0219i despre dork-urile Google \u0219i ce m\u0103suri de protec\u021bie pute\u021bi impune dar p\u00e2n\u0103 atunci, pentru exemplificare, <a href=\"https:\/\/www.cristianiosub.com\/cvd-inregistrarile-audio-la-liber-pe-siteul-meridian-taxi\/\">am scris un articol despre ce poate s\u0103 \u00eensemne afi\u0219area informa\u021biilor dintr-un folder f\u0103r\u0103 s\u0103 existe un minim de protec\u021bie<\/a> (un fi\u0219ier index.html,\u00a0 sau dezactivat din .htaccess).<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> Bad bots,<\/b><span style=\"font-weight: 400;\"> sau \u00een traducere \u201ebo\u021bii \u0103ia r\u0103i\u201d, sunt programe automatizate, concepute pentru a \u00eendeplini o sarcin\u0103 specific\u0103 pe web, cu rol distructiv. Bo\u021bii buni sunt inofensivi \u0219i ajut\u0103 motoarele de c\u0103utare s\u0103 ofere rezultate utile, al\u0103turi de o mul\u021bime de alte ac\u021biuni benefice. Bo\u021bii r\u0103i imita fluxurile de lucru umane \u00een aplica\u021biile web pentru a se \u201ecomporta\u201d ca utilizatorii reali, put\u00e2nd fi o amenin\u021bare la adresa securit\u0103\u021bii magazinului online:<\/span><\/li>\n<\/ol>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Pot fi programa\u021bi pentru a testa seriile c\u0103r\u021bilor de credit furate (din alte p\u0103r\u021bi) \u0219i a descoperi CVV-urile, \u00een mod repetat, p\u00e2n\u0103 c\u00e2nd au succes. Dup\u0103 ce atacatorul are aceste informa\u021bii, va putea s\u0103 cumpere de pe magazinul online folosind metoda de plat\u0103 \u00een numele altcuiva.<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Furtul \u0219i v\u00e2nzarea detaliilor de autentificare reprezint\u0103 o industrie destul de mare \u00een dark web. Un atacator poate folosi bo\u021bi pentru a \u00eencerca combina\u021bii de nume de utilizator \u0219i parol\u0103 pe mai multe site-uri, p\u00e2n\u0103 c\u00e2nd va g\u0103si date de acces valide. Odat\u0103 intrat, atacatorul poate copia datele personale ale clientului \u0219i poate plasa comenzi \u00een numele acestuia, mai ales dac\u0103 vorbim de un magazin online unde pot fi plasate comenzi cu plata la termen sau unde sunt salvate carduri \u00een cont.<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">Price scraping sau monitorizarea pre\u021burilor. Magazinele competitoare v\u0103 pot monitoriza pre\u021burile, strategia de pre\u021b, nivelurile de inventar, planurile de marketing \u0219i multe altele, permi\u021b\u00e2ndu-le s\u0103 v\u0103 scad\u0103 pre\u021burile sau pentru a dezvolta o strategie mai bun\u0103 de SEO pentru motoarele de c\u0103utare.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Partea bun\u0103 este c\u0103 <strong>majoritatea bo\u021bilor pot fi bloca\u021bi<\/strong> cu ajutorul sistemelor de tip CAPTCHA (Completely Automated Turing test to tell Computer and Humans Apart). Cu siguran\u021b\u0103 \u0219ti\u021bi de aplica\u021biile CAPTCHA dezvoltate de c\u0103tre Google, cel mai popular fiind reCAPTCHA v2 (checkboxul &#8222;I\u2019m not a robot&#8221; sau cu Invisible reCAPTCHA badge). Mai exist\u0103 \u0219i o versiunea a treia de reCAPTCHA unde programatorii definesc manual nivelul de \u00eencredere \u00een func\u021bie de ac\u021biunile \u0219i comportamentul utilizatorilor de pe site. O alt\u0103 modalitate de a bloca bo\u021bii este de a afla IP-ul de pe care ace\u0219tia se conecteaz\u0103 \u0219i \u00eei pute\u021bi bloca chiar la nivel de server.<\/span><\/p>\n<ol start=\"4\">\n<li><b>Zero-Day Vulnerabilities <\/b><span style=\"font-weight: 400;\">sunt una dintre numeroasele amenin\u021b\u0103ri de securitate cibernetic\u0103 din spa\u021biul virtual pentru c\u0103 sunt vulnerabilit\u0103\u021bi care nu au fost raportate \u00eenc\u0103 furnizorului de software \u0219i probabil nu exist\u0103 patch-uri disponibile pentru ele. Dac\u0103 folosi\u021bi un CMS de tip Open Source, comunit\u0103\u021bile de regul\u0103 reu\u0219esc s\u0103 furnizeze update-uri de securitate rapid astfel \u00eenc\u00e2t num\u0103rul de poten\u021biale site-uri asupra c\u0103rora atacurile au avut succes s\u0103 fie c\u00e2t mai sc\u0103zut. De aceea este foarte important ca programatorii site-ului dvs. s\u0103 ruleze periodic verific\u0103ri asupra versiunilor de software disponibile \u0219i s\u0103 actualizeze at\u00e2t temele \u0219i modulele site-ului c\u00e2t \u0219i versiunile de software utilizate la nivel de server (apache, nginx, php, mysql etc.).<\/span><\/li>\n<\/ol>\n<h2><b>6 cele mai frecvente atacuri cibernetice\u00a0<\/b><\/h2>\n<ol>\n<li><b> Blocarea co\u0219ului de cump\u0103r\u0103turi<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">. \u00cen func\u021bie de managementul rezervarii produselor \u00eentr-un magazin online, blocarea co\u0219ului de cump\u0103r\u0103turi poate reprezenta o problem\u0103 ce duce inexplicabil, la prima vedere, la sc\u0103derea v\u00e2nz\u0103rilor. Persoane r\u0103u inten\u021bionate pot ad\u0103uga \u00een co\u0219ul de cump\u0103r\u0103turi numeroase produse, de pe diverse adrese IP, astfel \u00eenc\u00e2t poten\u021bialii clien\u021bi s\u0103 vad\u0103 produsele ca fiind out of stock. De regul\u0103 metoda este automat\u0103 \u0219i controlat\u0103 prin intermediul unei re\u021bele de bo\u021bi al c\u0103ror obiectiv principal este de a opri clien\u021bii s\u0103 cumpere produse de pe un anumit magazin online. Mai mult, clien\u021bii se simt enerva\u021bi \u0219i frustra\u021bi de lipsa stocului de pe magazinul preferat \u0219i se \u00eendreapt\u0103 c\u0103tre site-uri concurente. Blocarea co\u0219ului de cump\u0103r\u0103turi \u0219i comenzile fictive sunt practici \u201csezoniere\u201d ce au loc de regul\u0103 \u00een timpul unui eveniment important de shopping.<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> Hacktivism<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">-ul. La prima vedere, hacktivism-ul nu pare a fi str\u00e2ns legat de dorin\u021ba unui atacator de a face r\u0103u \u00een mod direct magazinului online. Totu\u0219i, din dorin\u021ba de a promova c\u0103tre o mas\u0103 c\u00e2t mai mare de oameni idealurile sale politice ori sociale, atacatorii recurg la metode de tip SMS Bomber sau email flooder, ceea ce \u00eenseamn\u0103 c\u0103 vor bombarda \u021bintele cu mii sau zeci de mii de mesaje de tip SMS sau email p\u00e2n\u0103 c\u00e2nd c\u0103su\u021ba email se va umple. Este o problem\u0103 pe termen scurt pentru c\u0103 solu\u021bia este ca filtrul antispam al providerului de email s\u0103 blocheze mesajele pe baz\u0103 de sender, IP, subiect sau orice criteriu este disponibil.<br \/>\nAm ad\u0103ugat hacktivismul \u00een aceast\u0103 list\u0103 pentru c\u0103 tot mai multe filtre anti-spam sunt ineficiente, \u00een special cele cu care vine implicit contul de g\u0103zduire web al multor furnizori. Umplerea c\u0103su\u021bei de mesaje scrise din telefon este o problem\u0103 ce poate fi rezolvat\u0103 manual prin \u0219tergerea mesajelor \u0219i blocarea expeditorului. Dar umplerea c\u0103su\u021bei de email poate fi o problem\u0103 greu de identificat de c\u0103tre administratorul unui magazin online pentru c\u0103 foarte multe magazine au serverul de email pe acela\u0219i cont cu fi\u0219ierele CSM-ului utilizat la construirea magazinului (Prestashop, Opencart, Woocommerce etc). Umplerea c\u0103su\u021bei de email \u00eenseamn\u0103 de cele mai multe ori umplerea spa\u021biului pe disk \u0219i imposibilitatea CMS-ului de a mai scrie fi\u0219iere temporare, necesare \u00eenregistr\u0103rii traficului \u0219i comenzilor.<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> Social engineering<\/b><span style=\"font-weight: 400;\">-ul era un pic mai greu de pus \u00een practic\u0103 fa\u021b\u0103 de administratorii \u0219i operatorii magazinelor online. \u00cen ultimii doi ani am identificat tot mai multe cazuri prin care persoane r\u0103u inten\u021bionate \u00eencercau, \u0219i de foarte multe ori reu\u0219eau, s\u0103 beneficieze de servicii \u0219i produse pentru care nu au pl\u0103tit. Volumul mare de munc\u0103, bugetele sc\u0103zute pentru personal, lipsa trainingurilor cu privire la modul \u00een care trebuie procesat\u0103 o comand\u0103 duc de multe ori la erori umane cu prejudicii greu de recuperat. Social engineering-ul nu este o metod\u0103 fix\u0103, clar\u0103, precum celelalte metode prezentate \u00een cadrul acestui articol \u0219i \u021bine foarte mult de competen\u021bele atacatorului de a convinge victima s\u0103 execute ni\u0219te comenzi pe care nu ar fi trebuit s\u0103 le execute. Voi exemplifica prin dou\u0103 cazuri \u00eent\u00e2lnire recent.\u00a0<\/span><\/li>\n<\/ol>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">O firm\u0103 repar\u0103 echipamente electronice \u0219i are prezentate serviciile pe vreo 3 site-uri. Firma este micu\u021b\u0103, pre\u021burile se schimb\u0103 periodic \u00een cadrul diverselor campanii de promovare, \u00eentre 150 \u0219i 300 lei. Dup\u0103 repara\u021bia unui laptop, casierul solicit\u0103 plata serviciilor prestate \u00een valoare de 220 lei dar clientul reclam\u0103 faptul c\u0103 atunci c\u00e2nd s-a uitat diminea\u021b\u0103 pe site era 100 lei \u0219i este incorect s\u0103 pl\u0103teasc\u0103 pre\u021bul standard al repara\u021biei, at\u00e2ta timp c\u00e2t pre\u021bul era clar afi\u0219at la 100 lei. Angajatul, intimidat de faptul c\u0103 avea un client nemul\u021bumit ce amenin\u021ba cu reclama\u021bii la ANPC, c\u0103 va suna patronul s\u0103 \u00eel dea afar\u0103, c\u0103 el \u00ee\u0219i trimitea p\u00e2n\u0103 acum to\u021bi prietenii s\u0103 \u00ee\u0219i repare telefoanele la acea firm\u0103, accept\u0103 s\u0103 \u00eencaseze pre\u021bul men\u021bionat de c\u0103tre client, adic\u0103 100 lei, de\u0219i acest pre\u021b nu a fost niciodat\u0103 prezentat \u00een procesul de comand\u0103 al repara\u021biei de pe site.<\/span><\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">O alt\u0103 situa\u021bie, poate mult mai \u00eent\u00e2lnit\u0103 \u0219i sigur mult mai discret\u0103 de social engineering este comanda online cu plata prin transfer bancar din marketplace-uri. Magazinele online sunt de cele mai multe ori \u00eenscrise \u00een 2-3 marketplace-uri, personalul este insuficient, canalele de v\u00e2nzare au interfe\u021be total diferite, cu proceduri de \u00eencasare diferite. Astfel, \u00een ultimul timp au ap\u0103rut tot mai multe persoane ce comand\u0103 produse cu plata prin transfer bancar, dar pe care nu le achit\u0103, \u0219i apoi apeleaz\u0103 telefonic sau prin email c\u0103tre magazinul online men\u021bion\u00e2nd c\u0103 \u00ee\u0219i doresc produsele urgent invoc\u00e2nd diverse motive (pleac\u0103 din \u021bar\u0103, pleac\u0103 \u00een vacan\u021b\u0103, au nevoie disear\u0103 la o petrecere de echipamentul foto comandat etc). \u00cen unele cazuri magazinele trimit produsul f\u0103r\u0103 s\u0103 realizeze c\u0103 acesta nu a fost achitat, cu at\u00e2t mai mult cu c\u00e2t de regul\u0103 tranzac\u021biile bancare pot fi v\u0103zute abia a doua zi (sunt \u0219i magazine unde casiera \u0219ef totu\u0219i are acces real time la tranzac\u021biile din cont). \u00cen alte cazuri, operatorul magazinului solicit\u0103 clientului extrasul de cont ce dovede\u0219te c\u0103 a achitat prin transfer bancar, lucru u\u0219or de falsificat cu ajutorul unui editor pdf.<\/span><\/li>\n<\/ul>\n<ol start=\"4\">\n<li><span style=\"font-weight: 400;\"><strong> Injectarea unui cod mali\u021bios<\/strong> (<\/span><b>malicious code injection<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">) presupune cuno\u0219tin\u021be un pic mai avansate de programare \u00een func\u021bie de limbajul \u00een care este scris codul surs\u0103 al magazinului online \u0219i \u00een func\u021bie de configura\u021bia serverului unde este g\u0103zduit magazinul. Viru\u0219ii, troienii \u0219i viermii par la prima vedere denumiri dintr-un joc pe telefonul mobil. Pe c\u00e2t de simpatic\u0103 este denumirea acestora, pe at\u00e2t sunt de periculo\u0219i. Injectarea unui cod mali\u021bios \u00een codul surs\u0103 al site-ului sau \u00een baza de date a acestuia are ca scop coruperea site-ului sau chiar a echipamentelor clien\u021bilor magazinului.<br \/>\nViru\u0219ii sunt \u00een mod normal amenin\u021b\u0103ri externe \u0219i pot corupe fi\u0219ierele de pe site-ul web dac\u0103 \u00ee\u0219i g\u0103sesc calea \u00een re\u021beaua intern\u0103. Pot fi foarte periculo\u0219i deoarece distrug sistemele informatice complet \u0219i pot deteriora func\u021bionarea normal\u0103 a serverului. Un virus are \u00eentotdeauna nevoie de o gazd\u0103, \u00eentruc\u00e2t nu se poate r\u0103sp\u00e2ndi de unul singur. Viermii \u00eens\u0103, sunt foarte diferi\u021bi \u0219i sunt mai serio\u0219i dec\u00e2t viru\u0219ii. Pot infecta milioane de calculatoare \u00een doar c\u00e2teva ore \u0219i au abilitatea de a se autoreplica \u00een re\u021beaua informatic\u0103. Troienii sunt coduri de programare ce pot \u00eendeplini func\u021bii distructive. \u00cen mod normal, atac\u0103 computerul clien\u021bilor atunci c\u00e2nd descarc\u0103 un fi\u0219ier (ex: garan\u021bia produsului achizi\u021bionat).<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> SQL Injection<\/b><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"><span style=\"font-weight: 400;\"> reprezint\u0103 o metod\u0103 de atac prin care atacatorii reu\u0219esc s\u0103 adauge informa\u021bii \u00een baza de date execut\u00e2nd comenzi mali\u021bioase sau reu\u0219esc s\u0103 extrag\u0103 informa\u021bii ce \u00een mod normal ar fi fost protejate. Problem\u0103 comun\u0103 a tuturor platformelelor populare de comer\u021b electronic precum Prestashop, OpenCart, Magento, etc., este c\u0103 toate au fost vulnerabile la injec\u021bia SQL la un moment dat. Aceast\u0103 vulnerabilitate este \u00eenc\u0103 r\u0103sp\u00e2ndit\u0103 din cauza faptului c\u0103 plugin-urile \u0219i extensiile pentru CMS-uri pot fi vulnerabile, \u00een func\u021bie de modul \u00een care a fost scris codul sursa al acestora de c\u0103tre programatori. Un atacator poate, prin acest tip de atac, s\u0103 compromit\u0103 baza de date \u0219i s\u0103 fure \u00eentreaga baz\u0103 ce con\u021bine detalii sensibile, cum ar fi: istoricul tranzac\u021biilor, date personale sau informa\u021bii despre cardul de credit utilizat.\u00a0 Atacatorul mai poate \u0219terge sau edita con\u021binutul bazei de date (ex: pentru a utiliza produse gratuite). Acest atac face, \u00een esen\u021b\u0103, atacatorul un proprietar al bazei de date a site-ului dvs.<\/span><\/span><\/span><\/span>&nbsp;<\/li>\n<li><b> Atacurile de tip DoS<\/b><span style=\"font-weight: 400;\"> (Denial of Service) <\/span><b>sau<\/b> <b>DDoS<\/b><span style=\"font-weight: 400;\"> (Distributed Denial of Service) sunt u\u0219or de realizat \u0219i reprezint\u0103 o \u00eencercare frauduloas\u0103 de a indisponibiliza sau bloca resursele unui server web. De\u0219i mijloacele \u0219i obiectivele de a efectua acest atac sunt foarte diverse, \u00een general acest atac este efectul eforturilor intense ale unei persoane de a \u00eempiedica un site de a func\u021biona eficient, temporar sau nelimitat. O metod\u0103 tradi\u021bional\u0103 de atac provoac\u0103 \u201esaturarea\u201d serverului cu cereri de comunicare externe, astfel ca s\u0103 nu mai poat\u0103 reac\u021biona eficient la traficul internet legitim, sau chiar s\u0103 devin\u0103 indisponibil. \u00cen termeni generali, atacurile de tip DoS\/DDoS provoac\u0103 un reset for\u021bat al serverului, consum\u0103 intens resursele disponibile ale unui server, astfel \u00eenc\u00e2t acesta s\u0103 nu mai poat\u0103 furniza servicii, sau blocheaz\u0103 comunica\u021biile dintre utilizatorii bine inten\u021biona\u021bi \u0219i server, astfel \u00eenc\u00e2t acesta s\u0103 nu mai poat\u0103 comunica adecvat.<\/span><\/li>\n<\/ol>\n<h2><b>Frecven\u021ba unui audit de securitate<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">La fel ca mentenan\u021ba infrastructurii IT, securizarea datelor este un proces continuu. Dac\u0103 firma nu are buget pentru personal specializat, devine imperativ\u0103 prospectarea solu\u021biilor de securitate care pot ajuta s\u0103 reduc\u0103 efortul \u0219i timpul necesar s\u0103 se depisteze posibile lacune din infrastructur\u0103, comportamentul suspect al sistemului informatic, gafe interne \u0219i, nu \u00een ultimul r\u00e2nd, atacuri cibernetice asupra companiei.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Recomand efectuarea unui <\/span><b>audit de securitate major<\/b><span style=\"font-weight: 400;\"> ce implic\u0103 o palet\u0103 larg\u0103 de teste de penetrare <\/span><b>o dat\u0103 la trei ani<\/b><span style=\"font-weight: 400;\"> \u0219i periodic, <\/span><b>o dat\u0103 pe an, un audit de securitate av\u00e2nd un grad de dificultate mediu<\/b><span style=\"font-weight: 400;\"> astfel \u00eenc\u00e2t s\u0103 pute\u021bi acoperi cele mai recente metode de exploatare a vulnerabilit\u0103\u021bilor.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00cen general costul unui audit complet whitebox (f\u0103r\u0103 acces la codul surs\u0103 al site-ului) poate fi estimat \u00eentre 2.000 \u20ac \u0219i 6.000 \u20ac. Auditurile periodice de verificare pot fi evaluate \u00eentre 500 \u20ac \u0219i 2.000 \u20ac. \u00cen ambele situa\u021bii depinde foarte mult de tipul de platforma ecommerce utilizat, complexitatea platformei, num\u0103rul de site-uri testate (dac\u0103 pe l\u00e2ng\u0103 magazinul online mai este prezent\u0103 \u0219i o alt\u0103 platform\u0103 cum ar fi cea de nout\u0103\u021bi \/ blog) \u0219i func\u021bionalit\u0103\u021bile prezente \u00een cadrul magazinului.<\/span><\/p>\n<h2><b>Instrumente utile<\/b><\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-16908\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_securitate-1024x586.png\" alt=\"\" width=\"749\" height=\"429\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_securitate-1024x586.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_securitate-300x172.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_securitate-768x440.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/gpec_blog_securitate.png 2048w\" sizes=\"auto, (max-width: 749px) 100vw, 749px\" \/><\/p>\n<p><span style=\"font-weight: 400;\">De fiecare dat\u0103 c\u00e2nd este dezvoltat\u0103 o component\u0103 nou\u0103 pentru magazinul dvs. este recomandat s\u0103 fie testat\u0103 inhouse specific acea component\u0103 \u0219i cum influen\u021beaz\u0103 ac\u021biunile acesteia ecosistemul magazinului online. De exemplu, dezvoltarea unei componente prin care clien\u021bii pot urca fi\u0219iere al\u0103turi de review, \u00een func\u021bie de modul \u00een care este scris codul surs\u0103, poate permite unui atacator s\u0103 \u00eencarce fi\u0219iere mali\u021bioase pe server-ul magazinului online, pentru ca ulterior s\u0103 ofere comenzi acelui fi\u0219ier \u0219i s\u0103 exploateze vulnerabilitatea \u00een mod r\u0103u inten\u021bionat.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Magazinele online trebuie s\u0103 adopte un plan de preven\u021bie astfel \u00eenc\u00e2t s\u0103 minimalizeze posibilitatea unui atac cibernetic reu\u0219it, s\u0103 ruleze periodic scenarii de testare a platformei pe care ruleaz\u0103 website-ul \u0219i s\u0103 aplice actualiz\u0103ri software atunci c\u00e2nd apare o nou\u0103 versiune stabil\u0103 pentru temele \u0219i modulele folosite.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ca o simpl\u0103 verificare, sunt disponibile foarte multe tool-uri cu ajutorul c\u0103rora pot fi verificate o plaj\u0103 destul de larg\u0103 de vulnerabilit\u0103\u021bi pe care un magazin online le poate avea.<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\"><b>Pentest Tools<\/b><span style=\"font-weight: 400;\"> (<\/span><a href=\"https:\/\/pentest-tools.com\"><span style=\"font-weight: 400;\">https:\/\/pentest-tools.com<\/span><\/a><span style=\"font-weight: 400;\">) este o aplica\u021bie de tip Saas care permite chiar \u0219i utilizatorilor cu un nivel sc\u0103zut spre mediu de competente tehnice\u00a0 s\u0103-\u0219i testeze singuri securitatea unui site.<\/span><\/li>\n<li style=\"font-weight: 400;\"><b>SSL Labs<\/b><span style=\"font-weight: 400;\"> (<\/span><a href=\"https:\/\/www.ssllabs.com\/ssltest\/\"><span style=\"font-weight: 400;\">https:\/\/www.ssllabs.com\/ssltest\/<\/span><\/a><span style=\"font-weight: 400;\">) ofer\u0103 \u00een mod gratuit\u00a0 posibilitatea utilizatorilor de a analiza modul \u00een care este instalat certificatul de securitate, dac\u0103 este afectat\u0103 vizibilitatea magazinului online din pricina unor elemente de configurare a acestuia \u0219i versiunile de criptare la nivel de server.<\/span><\/li>\n<li style=\"font-weight: 400;\"><b>Sucuri<\/b><span style=\"font-weight: 400;\"> (<\/span><a href=\"https:\/\/sitecheck.sucuri.net\"><span style=\"font-weight: 400;\">https:\/\/sitecheck.sucuri.net<\/span><\/a><span style=\"font-weight: 400;\">) scaneaz\u0103 \u00een mod automat dac\u0103 sunt elemente de tip malware prezente la accesarea site-ului, dac\u0103 versiunea de CMS utilizat\u0103 este actualizat\u0103, dac\u0103 site-ul este prezent ca fiind infectat \u00een listele principalelor companii de solu\u021bii antivirus sau \u00een Google Safe Browsing \u0219i multe altele.<\/span><\/li>\n<li style=\"font-weight: 400;\"><b>Upguard <\/b><span style=\"font-weight: 400;\">(<\/span><a href=\"https:\/\/www.upguard.com\/webscan\"><span style=\"font-weight: 400;\">https:\/\/www.upguard.com\/webscan<\/span><\/a><span style=\"font-weight: 400;\">) este un alt website ce ofera \u00een regim de SaaS foarte multe informa\u021bii ajut\u0103toare, \u00een special \u00een zona de protec\u021bie a domeniului, phishing \u0219i securitate la nivel de re\u021bea<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Ce presupune un audit extern de securitate, de la metodologii utilizate p\u00e2n\u0103 la rolurile pe care fiecare trebuie s\u0103 le \u00eendeplineasc\u0103 pentru a acoperi c\u00e2t mai mult din poten\u021bialele vulnerabilit\u0103\u021bi, vom discuta \u00eentr-un articol viitor. P\u00e2n\u0103 data viitoare, #StaySafe!<\/span><\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p><strong><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-16827 alignleft\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-944x1024.jpg\" alt=\"cristi iosub\" width=\"212\" height=\"229\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-944x1024.jpg 944w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-277x300.jpg 277w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-768x833.jpg 768w\" sizes=\"auto, (max-width: 212px) 100vw, 212px\" \/>Cristian Iosub <\/strong><\/p>\n<p><strong>Digital Platforms Manager <a href=\"https:\/\/www.conversion.ro\/\">Conversion Marketing<\/a><\/strong><\/p>\n<p>Cristian Iosub este Digital Platforms Manager la Conversion \u0219i are o experien\u021b\u0103 de peste 15 ani \u00een dezvoltare software si auditor pentru sistemul de management al securit\u0103\u021bii informa\u021biei. Cu numeroase proiecte la activ, Cristian a coordonat \u0219i a dezvoltat software pentru peste 100 de clien\u021bi internationali din domenii precum eCommerce, Banking \u0219i Retail.<\/p>\n<p>Pe l\u00e2ng\u0103 proiectele pe care le coordoneaz\u0103, Cristian administreaz\u0103 principalele platforme dezvoltate de Conversion. Mai exact: Profitshare, platforma de marketing afiliat cu cele mai mari v\u00e2nz\u0103ri din Rom\u00e2nia, Conectoo, platforma de email marketing, prin care se trimit lunar in inbox peste 150.000.000 emailuri si CookieBox, platforma de management a cookie-urilor.<\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>Nu rata seria de articole cu con\u021binut #CraftedToInspire semnate de speciali\u0219ti \u00een eCommerce \u0219i Digital Marketing, aboneaz\u0103-te la <a href=\"https:\/\/www.gpec.ro\/aboneaza-te-la-newsletter-ul-gpec\/\">Newsletter-ul GPeC<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"<div class=\"fcbkbttn_buttons_block\" id=\"fcbkbttn_left\"><div class=\"fcbkbttn_like \"><div class=\"fb-like fb-like-button_count\" data-href=\"https:\/\/www.gpec.ro\/blog\/cele-mai-frecvente-probleme-de-securitate\" data-colorscheme=\"light\" data-layout=\"button_count\" data-action=\"like\"  data-size=\"small\"><\/div><\/div><\/div><p>Potrivit estim\u0103rilor ARMO (Asocia\u0163ia Rom\u00e2n\u0103 a Magazinelor Online) magazinele online au dep\u0103\u015fit valoarea de 4,3 miliarde de euro \u00een v\u00e2nz\u0103ri la finalul anului 2019, cu 20% mai mult dec\u00e2t \u00een 2018. \u00centr-o industrie aflat\u0103 \u00een plin\u0103 expansiune, succesul atrage adesea aten\u021bia nedorit\u0103, iar atacatorii dispun de metode din ce \u00een ce mai sofisticate pentru a exploata vulnerabilit\u0103\u021bile identificate \u00een securitatea magazinelor online.<\/p>\n","protected":false},"author":27,"featured_media":16905,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3459],"tags":[3461,3489,739,3463,3465],"class_list":["post-16825","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","tag-cristian-iosub","tag-cyber-attacks","tag-ecommerce","tag-online-security","tag-securitate-online"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/16825","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/comments?post=16825"}],"version-history":[{"count":12,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/16825\/revisions"}],"predecessor-version":[{"id":16922,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/16825\/revisions\/16922"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/media\/16905"}],"wp:attachment":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/media?parent=16825"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/categories?post=16825"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/tags?post=16825"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}