Praktický návod pre e-shopárov: Ako sa brániť malwaru a krádeži hesiel. Prinášame rozhovor s bezpečnostným expertom Shoptetu Michalom Špačkom. Ako v praxi útočníci zneužívajú heslá, cookies aj falošné faktúry?
Michal Špaček, Head of Security Shoptet, nám v rozhovore priblíži základy, ktoré má poznať každý majiteľ e-shopu. Ako si chrániť svoje heslá, ako nastaviť spoluprácu so Shoptet Partnermi, keď im chcete dať prístupy do administrácie e-shopu. Vysvetlí, ako funguje malware a ukáže aj príklady ukradnutých dát z praxe.
Čo je malware a ako mi môže skomplikovať život?
Malware je skratka z malicious softvér, v preklade škodlivý softvér. Často sa mu tiež hovorí počítačový vírus. Má viacero podôb, známy je napr. ransomware, ktorý zašifruje disk, zneprístupní dáta a potom požaduje výkupné, za ktoré (možno) dostanete heslo na dešifrovanie.
Relatívnou novinkou je kategória infostealer, škodlivý softvér, ktorý kradne informácie z napadnutého počítača a obvykle sa inak neprejavuje. Infostealer sa zameriava na všetko, čo by sa mohlo niekomu hodiť. Heslá, cookies, súbory na ploche aj v dokumentoch, skeny občianskeho preukazu, uložené čísla platobných kariet a pod. To všetko stiahne a odošle majiteľovi, ktorí najčastejšie bývajú zo štátov od nás na východ.
Odoslané dáta sa potom často prepredávajú, vymieňajú a ponúkajú na stiahnutie aj zadarmo, dostanú sa tak k celkom veľkému množstvu záujemcov o nejakú neplechu.
Čo sa môže stať, keď malware ukradne heslo do administrácie e-shopu?
Pokiaľ vám malware ukradne heslo do administrácie e-shopu, vidíme najčastejšie tieto veci, ktoré zlodeji vykonajú:
Toto sú pre útočníkov najkratšie cesty, ako prísť k peniazom, ale možností majú oveľa viac. Môžu stiahnuť zoznam zákazníkov a buď ho predávať ďalej, alebo zákazníkom vo vašom mene posielať spam, prípadne skúšajú podvody typu „zaplaťte doplatok”. Je dobré dodať, že nie všetci útočníci sú takí sofistikovaní, ako nám často vykresľujú rôzne filmy. Niektorí ani nevedia, čo s takýmto získaným prístupom robiť, a tak ho len ako overený často prepredajú ďalej.
Ale na to sa nedá rozhodne spoliehať…
Nie, každý takýto pokus je iný. Skrátene povedané, útočníci sa snažia zarobiť peniaze spôsobom, ktorý o ne pripraví vás, alebo vašich zákazníkov. A môžu z toho byť zbytočné problémy pre vás – vrátane hlásenia na ÚOOÚ kvôli porušeniu zabezpečenia osobných údajov.
Dôležité je uvedomiť si, že ako prevádzkovateľ e-shopov máte aj heslá do systémov dopravcov a rôznych marketingových nástrojov, kde je možné tiež napáchať nemalé škody.
Zaujímavá je aj tá ľudská stránka, hovoríte si – prečo nechodia do práce rovnako ako ostatní? Čítal som priznanie jedného takého priekupníka, ktorý v celom reťazci ani nebol na začiatku, a ten písal, že druhá možnosť bola ísť do vojny. Namiesto toho zasadol k počítaču a zistil, že aj bez odborných znalostí sa peniaze dajú zarobiť, tak do vojny nešiel. Pravda, v porovnaní s tým je prepredávanie ukradnutých dát a hesiel asi ten lepší variant.
E-shopárov bude ale zaujímať, ako svoje heslá môžu ochrániť na Shoptete a čo sa deje vo chvíli, keď heslo unikne.
My v Shoptete sa snažíme našich klientov upozorňovať, pokiaľ niekde na Internete nájdeme ich údaje. Ale vždy je to reakcia, ktorá z princípu veci prichádza až po tom, čo problém nastane. Malware kradne dáta bez meškania, jeho páni potom tiež nečakajú, kým si to všimnete.
Prinášame aj nástroje, ktoré na tieto aj iné hrozby reagujú. Už skôr sme pridali dvojfaktorové overovanie prihlásení (2FA), posielame informácie o prihlásení z neznámeho prehliadača, čo môže znamenať ukradnuté heslo.
Videli sme mnoho pokusov o zmenu bankových účtov, preto sme to sťažili tak, aby to útočníci nemohli robiť. Existuje tiež možnosť využívať typ účtu s oprávnením Partner, ktorý bez zapnutého 2FA nedovolí Shoptet Partnerovi, napríklad kodérovi administráciu používať.
Snažíme sa tiež e-shopom pomáhať, pokiaľ sa ozvú, že majú nejaké podozrenie. Takto sme napríklad pomohli odhaliť hacknutú poštovú schránku u niekoľkých koncových zákazníkov, ktorým e-shop poslal faktúru, ale útočník ju obratom stiahol, pozmenil bankové údaje a znovu ju zákazníkovi odoslal z podobnej adresy, z ktorej faktúra prišla z e-shopu. Na tej novej bol dokonca pôvodný QR kód pre platbu – prekrytý novým s útočníkovým číslom, ktorý bol nepatrne posunutý a ten pôvodný šiel označiť a skopírovať.
Spomínal si 2FA. Keď si ho v e-shope aktivujeme, znamená to, že máme úplne po starostiach?
Samotné 2FA stačiť nemusí. Malware kradne aj cookies z prehliadačov, pomocou ktorých sa 2FA často obchádza. Aby aplikácia nepožadovala zadávanie 2FA kódov pri každom prihlásení, tak sa do cookie zapíše „nasledujúcich 30 dní 2FA nevyžaduje“, alebo „toto je známy prehliadač“. A keď infostealer ukradne cookie s takouto informáciou, tak ju útočník môže využiť vo svojom prehliadači a tým 2FA preskočiť.
Takže pre vyššiu bezpečnosť odporúčaš skôr nezaklikávať možnosť „Nevyžaduje nasledujúcich 30 2FA“, ale zadávať pri každom prihlásení?
Pokiaľ si do počítača sťahujete vírusy a neoficiálne vylepšenia hier, alebo používate nelegálny softvér, tak by to stálo za zváženie. Ja by som ale skôr odporučil na to ísť od lesa: nepoužívať nelegálny softvér a nesťahovať neoficiálne doplnky a cheaty do hier. Tá možnosť „Nevyžaduj nasledujúcich X dní“ je pohodlná, a tak ľuďom bude menej vadiť urobiť ten krok navyše raz za mesiac.
Ja som pre si 2FA zapnúť všade, kde je to možné, a to aj napriek tomu, že nedokáže vyriešiť všetky možné situácie. Pásy v aute si tiež zapínam, aj keď viem, že ma neochránia pred susedom, ktorý nevie veľmi cúvať do svojho parkovacieho miesta.
Ako sa malware môže dostať do počítača alebo telefónu?
Tu sa nevyhneme cudzím slovám, ale netechnickí e-shopári by sa nemali nechať odradiť od ďalšieho čítania, všetko si vzápätí zrozumiteľne vysvetlíme. Dostať sa tam môže napríklad cez cracky, keygeny, falošné prílohy, podvodné odkazy, herné módy, neoficiálne sťahovanie programov a pod.
Spoločne s ukradnutými dátami malware odosiela aj informácie o napadnutom zariadení, takže je vidieť operačný systém (macOS nie je výnimkou), koľko má počítač pamäte aj aký rýchly je procesor a aká je IP adresa. Malware tiež informuje o tom, kde sa spustil, z čoho sa dá odvodiť, čo si kto stiahol.
Môžeme si uviesť reálne príklady, ktoré sa v ukradnutých dátach objavujú:
Všetky tieto programy majú ale pár vecí spoločných: snažia sa na prvý pohľad vyzerať ako pomocníci, nech už tú pomoc potrebujete s čímkoľvek. Ale len sa otočíte, tak vám vrazia nôž do chrbta. Sú tiež obvykle stiahnuté z rôznych neoficiálnych zdrojov, z diskusných fór a pod. V prípade programov ako napr. Licence_Version_Loader.exe to vlastne ani inak nejde.
Dostávajú sa infostealery a vírusy do počítačov a iných zariadení ešte inak?
Infostealery a vírusy sa do počítačov aj iných zariadení tiež dostávajú ako programy maskujúce sa za rôzne dokumenty, nezaplatené faktúry a žiadosti od „právnikov” na odstránenie nelegálneho obsahu.
Niekoľkokrát sme tiež videli dokument, ktorý sa volal: Popis_pracovní_pozice.docx[50 medzier].exe, kde tých 50 medzier naozaj bolo ako medzery, takže to na prvý a vlastne aj na druhý pohľad vyzeralo ako wordovský dokument.
Crack – program na prelomenie licenčnej ochrany iného programu tým, že ho priamo upraví. Cracky môžu a často obsahujú aj pribalené vírusy.
Keygen – generátor licenčných kľúčov. Vytvorí falošný, ale napriek tomu funkčný kľúč. Ten sa potom zadáva do obvykle neupraveného programu, za ktorý užívateľ nechce platiť, taktiež obvykle obsahuje vírusy.
Infostealer – typ vírusu, ktorý „len“ kradne dáta z napadnutého počítača.
Prečo je pirátsky softvér taký rizikový, aj keď si človek samotný program ani nenainštaluje? Môžem ho ako bežný používateľ rozpoznať?
Samotné vírusy, alebo všeobecne malware môže byť a býva už v inštalačnom programe, stačí teda spustiť obvykle nejaký setup.exe a vírus sa už môže aktivovať bez toho, aby som si program nainštaloval. Vírusy tiež môžu byť v keygene alebo cracku, ak treba nejako obísť licenčnú ochranu.
Na prvý pohľad sa to ťažko spoznáva, ale programy alebo doplnky sťahované mimo oficiálnych zdrojov sú veľmi podozrivé. Pirátsky Photoshop ťažko budete sťahovať z oficiálneho zdroja, ale je skoro isté, že v doplnkoch do hier alebo práve vo Photoshope stiahnutom z náhodného diskusného fóra nejaký malware bude. A keď už to chcete vyskúšať, tak prosím nie na počítači, kde máte pracovné veci. V prípade e-shopu sa to týka nielen majiteľa, ale všetkých užívateľov, ktorí k jeho správe majú prístup.
Aká je prevencia? Na čo si dať pozor?
Na počítači, kde máte pracovné veci a prístup k administráciám e-shopov, prístup do všetkých DPD a Zásielkovní, nerobiť nič nepracovné. Nepoužívať doplnky do hier, nesťahovať a neinštalovať pirátsky Photoshop.
Keď niečo vyzerá trochu divne (rôzne hlásenia podobné tomu, že na webe máte nelegálny obsah), alebo to naopak vyzerá veľmi dobre (ponuka novej práce alebo odmeny za niečo), tak to nechajte plávať, alebo sa s niekým poraďte. Tieto veci často zneužívajú ľudskú zvedavosť aj strach, a preto je ťažké s nimi bojovať technickými prostriedkami.
Útoky typu „ClickFix“ (slovensky by sa dalo preložiť ako „klikni sem a tým to vyrieš“) sa vás snažia presvedčiť, aby ste na preukázanie, že ste človek, ešte na počítači niečo spustili. Na klasickej captche nájdete všetky motorky alebo semafory a potom vás stránka ešte vyzve na to, aby ste stlačili Win+R a potom Ctrl+V a potom Enter. Tým ako sme klikli na motorky a semafory v captche, tak sa vám do schránky vám vložil príkaz, ktorý potom pomocou Ctrl+V a Enteru spustíte. Príkaz stiahne vírus, spustí ho u vás na počítači, ale vy máte radosť, že nie ste robot.
Čo má človek urobiť hneď, ak podobný súbor spustil alebo má podozrenie, že jeho zariadenie mohlo byť napadnuté?
Ľudia na to obvykle prídu neskoro. Až keď im začnú chodiť upozornenia na podozrivé alebo nové prihlásenie z Google, Facebooku a pod. Infostealer malware sa schválne snaží nijako neprejavovať, jeho úlohou je len kradnúť údaje a dáta.
Shoptet posiela e-mailové upozornenie po prihlásení z neznámeho prehliadača. Pokiaľ vám takéto oznámenie príde, venujte mu prosím pozornosť. Môže ísť o situáciu, keď prihlásenie použil útočník na svojom počítači.
Pokiaľ máte podozrenie, alebo vírus je potvrdený, tak je dôležité zmeniť heslá, ideálne všetky a úplne všade – k e-shopu, do e-mailu a pod. Je potrebné to urobiť z „čistého“ zariadenia. Až potom sa pokúste napadnuté zariadenie odvíriť. Ide o čas, útočníci majú skúšanie prihlasovacích údajov automatizované a rýchle.
Služby ako Google aj spomínaný Facebook a rovnako tak Shoptet ponúka zoznam posledných prihlásení, to je dobré preskúmať (Nastavenie -> Administrácia -> Správcovia obchodu a tab Zoznam prihlasovaní). V niektorých prípadoch je možné neznáme zariadenie odobrať, inokedy stačí zmeniť heslo.
Poďme si prejsť konkrétny postup, čo robiť, ak mám podozrenie na únik hesla do administrácie.
Pokiaľ máte podozrenie alebo rovno potvrdenie, že uniklo heslo do administrácie e-shopu, tak zmeňte heslá z nezavírovaného zariadenia.
Začnite e-shopom, zmeňte heslo do administrácie a rovno si nastavte 2FA, pokiaľ ešte nemáte. Ak máte v Shoptete aj e-mailovú schránku, tak nezabudnite heslo zmeniť aj tam. Pozrite sa tiež, či si niekto nejakú e-mailovú schránku nepridal – občas to zlodeji robia kvôli rozosielaniu spamu. Skontrolujte HTML kódy v editore vzhľadu, správnosť bankového účtu, aby sa neposielali faktúry s číslom cudzieho účtu.
Pozrite sa, či neprebehol nejaký „neobjednaný“ export objednávok a zákazníkov, v oboch prípadoch to nájdete na záložke Prístupový log. Tiež je dobré skontrolovať nahrané súbory do e-shopu – útočníci občas nahrajú nejaký vlastný obrázok ako akýsi podpis v štýle „bol som tu, Fantomas“. Pokiaľ nebudete vedieť alebo si nebudete istí, napíšte alebo zavolajte na podporu Shoptetu. Je to lepšie ako si hovoriť, že sa predsa nič nestalo.
Vykonajte tieto kontroly:
Poučte sa z toho, obmedzte práva, zmažte starých užívateľov, nastavte si všade 2FA, ktoré môže budúci útok zastaviť!
Aký je postup pri úniku hesla do administrácie e-shopu?
Zmeňte heslá z nezavírovaného zariadenia. Začnite e-shopom, zmeňte heslo do administrácie a rovno si nastavte 2FA, pokiaľ ešte nemáte. Ak máte v Shoptete aj e-mailovú schránku, tak nezabudnite heslo zmeniť aj tam. Pozrite sa tiež, či si niekto nejakú e-mailovú schránku nepridal (občas to robia kvôli rozosielaniu spamu). Skontrolujte HTML kódy v editore vzhľadu, správnosť bankového účtu, aby sa neposielali faktúry s číslom cudzieho účtu. Pozrite sa, či neprebehol nejaký „neobjednaný“ export objednávok a zákazníkov.
Čo je malware?
Malware je skratka z anglického malicious softvér, teda škodlivý softvér. Často sa mu všeobecne hovorí počítačový vírus. Malware môže mať rôzne podoby. V rozhovore je spomínaný napríklad ransomware, ktorý zašifruje disk, zneprístupní dáta a následne požaduje výkupné za ich možné dešifrovanie.
Dá sa malware spoznať na prvý pohľad?
Podozrivé sú hlavne programy a doplnky sťahované mimo oficiálnych zdrojov. Môže ísť o doplnky do hier alebo pirátsky Photoshop stiahnutý z náhodného diskusného fóra.
Aké dáta môže útočník pomocou infostealer získať?
Heslá, cookies, prístupy do služieb, dokumenty, možnosť obídenia 2FA.
Napísať komentár