2019 08 30

Į internetines parduotuves įsisuko kenkėjiška programa, specialistai ragina blokuoti banko korteles

Trijose lietuviškose internetinėse parduotuvėse saugumo specialistas Darius Povilaitis aptiko saugumo spragų, kurios liudija apie įsilaužimus. Kol kas iki galo nėra aišku, kokią žalą įmonėms ir jų vartotojams daro dviejose parduotuvėse esantys kenkėjai, bet trečioje – galimai nutekėjo pirkėjų banko kortelių duomenys. Specialistai ragina imtis atsargumo priemonių ir kuo greičiau korteles blokuoti.
15min nuotr. / Fotokoliažas
15min nuotr. / D.Povilaitis trijose internetinėse parduotuvėse aptiko saugumo spragų.

Kibernetinio saugumo eksperto D.Povilaičio teigimu, pažeidimai pastebėti sildymokatilai.com, doras.lt ir vynoguru.lt parduotuvėse. Aptiktas spragas jis įamžino šiame videoklipe.

VIDEO: Kibernetinio saugumo specialistas D.Povilaitis trijose internetinėse parduotuvėse aptiko saugumo spragų

Naudotojus klaidino lietuviškai

Pasak D.Povilaičio, be išsamesnės analizės sunku pasakyti, kaip veikia kenkėjai sildymokatilai.com ir doras.lt parduotuvėse.

Užtat vynoguru.lt tinklalapyje, specialistas pastebi, įsilaužimo būta rimtesnio. Anot D.Povilaičio, nusikaltėliai galimai modifikavo sistemą taip, kad vartotojai, pirkdami prekes, privalėtų įvesti banko kortelių duomenis – vardą, pavardę, sąskaitos numerį ir CVV kodą. Paskui ši informacija galėjo nutekėti užkrato platintojams.

„Kas pirko vynoguru.lt ir suvedė banko kortelės informaciją – turėtų susirūpinti“, – teigia jis.

Partnerio nuotr./Darius Povilaitis
Partnerio nuotr./Darius Povilaitis

Jam nuostabą kelia ne tik tai, kad su užsienyje registruotu adresu siejami nusikaltėliai koduotėje naudoja „Paysera“ vardą, tačiau ir tai, kad įrašyti banko kortelės savininko vardą ir kortelės numerį jie nurodė lietuviškai.

Įtarimą kelti galėtų nebent žodžiai „vardas ant kortelės“ ar faktas, kad „Kreditinės Kortelės Numeris“ yra užrašytas didžiosiomis raidėmis, o „Galiojimo laikas“ – iš didžiosios ir mažosios. Tačiau kiti užrašai yra gana pažįstami. Tad be specialių žinių ir atidumo tokią spragą vartotojams pastebėti – ypač sudėtinga.

15min nuotr. / Nusikaltėliai modifikavo turinį, prašo įvesti kortelės duomenis
15min nuotr. / Nusikaltėliai modifikavo turinį, prašo įvesti kortelės duomenis

„Negaliu garantuoti 100 proc., (kad nusikaltėliai tą įrašė – red.), bet 99,99 proc. (...) Mokėjimą norime daryti per interneto banką, bet kartu prašoma prieš mokant būtinai suvesti kortelės duomenis. Ar teko susidurti su tokiu dalyku? Aš matau (kad turėtų būti įsilaužimas). Čia yra modifikuotas kodas“, – sako specialistas.

Jo teigimu, nuskenuoti duomenys galimai keliauja į internetinį adresą ankese.com, kuris yra registruotas Prancūzijoje. Į šį tinklalapį ekspertai eiti nerekomenduoja, mat apsaugos sistemos rodo, kad jis – užkrėstas.

Dariaus Šveikausko nuotr. / Užkrėstas ankese.com tinklalapis
Dariaus Šveikausko nuotr. / Užkrėstas ankese.com tinklalapis

Pasak D.Povilaičio, tikėtina, kad vynoguru.lt, kaip ir sildymokatilai.com bei doras.lt, internetinių svetainių saugumas sušlubavo po to, kai buvo įsilaužta į bendrovės „Magento“ sistemas, mat lietuviškų el.parduotuvių platformos yra grįstos pastarosios kompanijos produktu.

„Nusiperki programinę įrangą ir paleidi parduotuvę savo vardu. „Magento“ parduoda kodą, pataisymus. (…) Jie ne taip seniai turėjo spragas, kurios, panašu, dabar buvo išnaudotos“, – tikina D.Povilaitis.

Specialistas taip pat pažymi nežinantis, kada minimuose tinklalapiuose atsirado užkratai, bet teigia juos pastebėjęs dar praėjusią savaitę. Kartu jis teigia, kad keliose kitose internetinėse parduotuvėse, kurtose pagal „Magento“, užkrato nepastebėjo.

Jo teigimu, dabar minimų svetainių kūrėjams būtina atnaujinti sistemą ir diegti specializuotas apsaugas, kad užkirstų kelią numanomiems nusikaltimams.

Duomenimis gali pasinaudoti iškart

Kad el.parduotuvėje vynoguru.lt yra aptikta jautri saugumo spraga, patikino ir saugumo ekspertas Darius Šveikauskas. Jo teigimu, problema yra „labai didelė ir paplitusi visame pasaulyje“.

„Jei neklystu, mes matome „Magecart“ kenkėjišką programinę įrangą, kurią aktyviai nuo 2014 metų naudoja kelios įsilaužėlių grupuotės. Principas labai paprastas: įsilaužiama į svetainę, įdiegiama kenkėjiška programinė įranga, kuri taikosi į atsiskaitymo puslapius, o tiksliau į laukelius, kuriuose suvedami atsiskaitymo kortelių numeriai. Paspaudus atsiskaitymo mygtuką, duomenys galimai keliauja į dvi puses, viena duomenų kopija į numatytą atsiskaitymo sistemą, o kita į įsilaužėlių nurodytą sistemą. Tokio tipo ataka vadinama „skimming“, šiuo atveju duomenų „nugriebimas“, – sako specialistas.

Asmeninio archyvo nuotr. / Darius Šveikauskas
Asmeninio archyvo nuotr. / Darius Šveikauskas

Vynoguru.lt mokėjimo surinkimo paslaugą teikianti „Paysera“ taip pat patvirtina įsilaužimą.

„Tai buvo mokėjimo kortelių duomenų vagišių ataka prieš konkrečią elektroninę parduotuvę. (...) Pati ataka, tai yra, mokėjimo kortelių duomenų rinkimas bei siuntimas į juos surenkantį serverį, nėra niekaip susiję su „Paysera“, – sako bendrovės Informacijos ir kibernetinio saugumo vadovas Šarūnas Krivickas.

Kalbėdamas apie kitas parduotuves – sildymokatilai.com ir doras.lt – D.Šveikauskas teigė be didesnės analizės taip pat nepastebėjęs apčiuopiamos žalos, tačiau patikino, kad užkratas yra.

„Katilų svetainė yra tikrai užkrėsta. Reikia atsiminti, kad atakos yra automatizuotos, nėra labai gilinamasi. Tiesiog į svetainę yra laužiamasi įvertinus tam tikrus požymius, šiuo atveju įsilaužėlius domino konkreti elektroninės komercijos sistema ir jos pažeidžiamumai. Kadangi elektroninės komercijos sistema naudojama kaip prekių katalogas be pirkimo ir atsiskaitymo galimybės, tai kortelės duomenų lyg ir negalima pavogti. Bet tokioje svetainėje įjungus atsiskaitymo sistemą kenkėjiška programinė įranga veiks visavertiškai ir „nugriebinės“ įsilaužėlius dominančius duomenis iš atsiskaitymo formos“, – tikino jis.

Dariaus Šveikausko nuotr. / Užkrėstas sildymokatilai.com tinklalapis
Dariaus Šveikausko nuotr. / Užkrėstas sildymokatilai.com tinklalapis

Pažymėtina, kad svetainėje sildymokatilai.com atsiskaityti internetu galimybės nėra.

Kalbėdamas apie doras.lt tinklalapį, specialistas pažymi, jog, skirtingai nei vynoguru.lt, svetainėje perkant prekes internetu nėra prašoma suvesti kortelės duomenų. O ir atsiskaitymas yra nukreiptas į saugų puslapį. Visgi, pažymi jis, svetainė turi kenkėjišką programą ir ji yra identifikuojama kaip „JS/Spy.Agent.P“ trojanas.

Dariaus Šveikausko nuotr. / Užkrėstas doras.lt tinklalapis
Dariaus Šveikausko nuotr. / Užkrėstas doras.lt tinklalapis

Pasak D.Šveikausko, įprastai nusikaltėliai nelegaliu būdu gautus duomenis siekia kuo greičiau panaudoti arba kaupia į duomenų bazes, kurios paskui yra parduodamos tamsiajame internete.

Taip neturėjo būti.

Aktyvios prekybos internetu nevykdo

Susisiekus su sildymokatilai.com atstovais paaiškėjo, kad tinklalapis pastaruoju metu nėra aktyvus, jame nevykdomi pardavimai, todėl naujieną apie galimą įsilaužimą vienas iš savininkų sutiko ramiai.

„Tas puslapis buvo sukurtas prieš 6 metus ir jame buvo atnaujinama informacija, kažkokių klientų kartais atsirasdavo. Dabar jau 3 metai jis tiesiog yra. Nieko aktyviai nevyksta kol kas. (…) Kadangi nevedame nei registracijų, nei nieko, tai man tas nelabai aktualu. Pasiaiškinsiu, kad administruojantis prisijungtų, pasižiūrėtų, kas ten darosi“, – teigė Dainius Lukošaitis.

15min nuotr. / Tinklalapyje sildymokatilai.com nėra galimybės už prekės mokėti internetu
15min nuotr. / Tinklalapyje sildymokatilai.com nėra galimybės už prekės mokėti internetu

Svetainės doras.lt savininkas, juvelyras Dainius Stončius teigia, kad apie galimą įsilaužimą taip pat nežinojęs, bet dabar domėsis, kaip galima tai pašalinti.

„Bandysiu susisiekti su administratoriais, ačiū už informaciją“, – sakė D.Stončius.

Jeigu įtariama, kad kortelės duomenys galėjo būti nusiurbti, ekspertai pataria kuo greičiau ją blokuoti ir artimiausiu metu – pasikeisti.

Prisistatyti nepanoręs kitas svetainės doras.lt atstovas teigė, kad jau kuris laikas tinklalapyje nėra vykęs pardavimas internetu, todėl galimų pažeidimo aukų būti neturėtų.

Įsilaužimo net negalėjo pamatyti

15min žurnalistams susisiekus su vynoguru.lt direktoriumi Andriumi Apulskiu jis patvirtino, kad įsilaužimas yra užfiksuotas ir kad įmonė jau ėmėsi veiksmų pažeidimams užkardyti.

„Čia yra įsilaužimas. Taip neturėjo būti. (…) Dėl to kaip čia atsirado ir kas ten toliau vyko, reikės kreiptis į policiją ar kur, kad tyrimą darytų“, – tikino direktorius.

„Asmeniškai lengvas šokas. (...) Išjungėme, kad iš viso nebūtų galimybės, kad nereikalautų duomenų (banko kortelių – red.)“, – pridėjo jis.

Josvydo Elinsko / 15min nuotr./Andrius Apulskis
Josvydo Elinsko / 15min nuotr./Andrius Apulskis

Anot A.Apulskio, lietuviškais užrašais svetainėje įvardinti laukai, kuriuose reikėjo įrašyti kortelės savininko vardą ir kortelės numerį bei CVV kodą, buvo įsilaužėlių darbas. Įdomu tai, kad sistema buvo užprogramuota taip, jog jos administratoriai ir savininkai pakeitimų matyti net negalėjo.

„Taip neturėjo būti. Maža to, netgi buvo padaryti nustatymai, kad mums visa tai net nesimatė. Ar pagal IP adresą, ar ką, aš prisijungęs nematau. Nėra jokių laukelių, nėra duomenų. Tik prisijungęs per „incognito“ (iš dalies privatus režimas interneto naršyklėje – red.) pamačiau, kad tikrai jie prašo tų duomenų. Vadinasi, kažkas tą suprasdamas specialiai tą nustatė, kad to nepastebėtume“, – tikino A.Apulskis.

15min nuotr. / Stopkadras / Nusikaltėliai modifikavo turinį, prašo įvesti kortelės duomenis
15min nuotr. / Stopkadras / Nusikaltėliai modifikavo turinį, prašo įvesti kortelės duomenis

Paklaustas, kiek įmonė skiria lėšų kibernetiniam saugumui, patikino, kad papildomos lėšos tam nėra skiriamos – tik tiek, kiek reikia bendram svetainės palaikymui. Kartu jis atkreipia dėmesį ir į vartotojų atsakomybę – ragina internete juos būti budrius.

„Jeigu mokama pavedimu, kortelių duomenų nereikėtų įvedinėti, logiškai mąstant“, – tikina jis.

Pasak A.Apulskio, kenkėjiškas kodas iš svetainės jau yra pašalintas, kol kas duomenų apie nukentėjusiuosius neturi.

Ragina kuo greičiau pasikeisti kortelę

Jeigu įtariama, kad kortelės duomenys galėjo būti nusiurbti, ekspertai pataria kuo greičiau ją blokuoti ir artimiausiu metu – pasikeisti.

„Jeigu kortelės duomenys tampa žinomi tretiems asmenims ar sukčiams nusikaltėliams, tada, be jokios abejonės, ta kortele naudotis pasidaro nelabai saugu. Pirmiausia kortelę reikėtų užblokuoti, o paskui pasikeisti“, – teigia Lietuvos bankų asociacijos Finansinių nusikaltimų prevencijos komiteto pirmininkas Audrius Šapola.

SEB nuotr./Audrius Šapola
SEB nuotr./Audrius Šapola

„Jeigu žmonėms kyla kokių abejonių, jie gali kontaktuoti su savo banku ir pasitarti, kaip geriau padaryti“, – pridėjo jis tikindamas, kad jeigu pinigai sukčių jau buvo nuskaičiuoti, kai kurie bankai tam tikromis aplinkybėmis gali juos sugrąžinti savo sąskaita.

Saugumo specialistas Darius Šveikauskas taip pat pataria turėti atskirą banko kortelę, skirtą apsipirkimams internete.

„Sveika būtų turėti atskiras korteles kasdienėms reikmėms ir tą, su kuria atsiskaitote internetu. Pastarosios kortelės sąskaitoje nelaikykite pinigų, o juos įdėkite tik tada, kai planuojate apsipirkimą ir žinote, kokia suma jums bus reikalinga atsiskaitymui“, – sako jis.

Kartu, jo teigimu, rekomenduojama atšaukti atsiskaitymo internetu galimybę toms kortelėms, kurios yra naudojamos apsipirkti fizinėse parduotuvėse. Pasak specialisto, kortelių duomenis galima prarasti ne tik internete, bet ir „fizinėse parduotuvėse ar net bankomatuose“.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis