Kibernetinio saugumo eksperto D.Povilaičio teigimu, pažeidimai pastebėti sildymokatilai.com, doras.lt ir vynoguru.lt parduotuvėse. Aptiktas spragas jis įamžino šiame videoklipe.
Naudotojus klaidino lietuviškai
Pasak D.Povilaičio, be išsamesnės analizės sunku pasakyti, kaip veikia kenkėjai sildymokatilai.com ir doras.lt parduotuvėse.
Užtat vynoguru.lt tinklalapyje, specialistas pastebi, įsilaužimo būta rimtesnio. Anot D.Povilaičio, nusikaltėliai galimai modifikavo sistemą taip, kad vartotojai, pirkdami prekes, privalėtų įvesti banko kortelių duomenis – vardą, pavardę, sąskaitos numerį ir CVV kodą. Paskui ši informacija galėjo nutekėti užkrato platintojams.
„Kas pirko vynoguru.lt ir suvedė banko kortelės informaciją – turėtų susirūpinti“, – teigia jis.
Jam nuostabą kelia ne tik tai, kad su užsienyje registruotu adresu siejami nusikaltėliai koduotėje naudoja „Paysera“ vardą, tačiau ir tai, kad įrašyti banko kortelės savininko vardą ir kortelės numerį jie nurodė lietuviškai.
Įtarimą kelti galėtų nebent žodžiai „vardas ant kortelės“ ar faktas, kad „Kreditinės Kortelės Numeris“ yra užrašytas didžiosiomis raidėmis, o „Galiojimo laikas“ – iš didžiosios ir mažosios. Tačiau kiti užrašai yra gana pažįstami. Tad be specialių žinių ir atidumo tokią spragą vartotojams pastebėti – ypač sudėtinga.
„Negaliu garantuoti 100 proc., (kad nusikaltėliai tą įrašė – red.), bet 99,99 proc. (...) Mokėjimą norime daryti per interneto banką, bet kartu prašoma prieš mokant būtinai suvesti kortelės duomenis. Ar teko susidurti su tokiu dalyku? Aš matau (kad turėtų būti įsilaužimas). Čia yra modifikuotas kodas“, – sako specialistas.
Jo teigimu, nuskenuoti duomenys galimai keliauja į internetinį adresą ankese.com, kuris yra registruotas Prancūzijoje. Į šį tinklalapį ekspertai eiti nerekomenduoja, mat apsaugos sistemos rodo, kad jis – užkrėstas.
Pasak D.Povilaičio, tikėtina, kad vynoguru.lt, kaip ir sildymokatilai.com bei doras.lt, internetinių svetainių saugumas sušlubavo po to, kai buvo įsilaužta į bendrovės „Magento“ sistemas, mat lietuviškų el.parduotuvių platformos yra grįstos pastarosios kompanijos produktu.
„Nusiperki programinę įrangą ir paleidi parduotuvę savo vardu. „Magento“ parduoda kodą, pataisymus. (…) Jie ne taip seniai turėjo spragas, kurios, panašu, dabar buvo išnaudotos“, – tikina D.Povilaitis.
Specialistas taip pat pažymi nežinantis, kada minimuose tinklalapiuose atsirado užkratai, bet teigia juos pastebėjęs dar praėjusią savaitę. Kartu jis teigia, kad keliose kitose internetinėse parduotuvėse, kurtose pagal „Magento“, užkrato nepastebėjo.
Jo teigimu, dabar minimų svetainių kūrėjams būtina atnaujinti sistemą ir diegti specializuotas apsaugas, kad užkirstų kelią numanomiems nusikaltimams.
Duomenimis gali pasinaudoti iškart
Kad el.parduotuvėje vynoguru.lt yra aptikta jautri saugumo spraga, patikino ir saugumo ekspertas Darius Šveikauskas. Jo teigimu, problema yra „labai didelė ir paplitusi visame pasaulyje“.
„Jei neklystu, mes matome „Magecart“ kenkėjišką programinę įrangą, kurią aktyviai nuo 2014 metų naudoja kelios įsilaužėlių grupuotės. Principas labai paprastas: įsilaužiama į svetainę, įdiegiama kenkėjiška programinė įranga, kuri taikosi į atsiskaitymo puslapius, o tiksliau į laukelius, kuriuose suvedami atsiskaitymo kortelių numeriai. Paspaudus atsiskaitymo mygtuką, duomenys galimai keliauja į dvi puses, viena duomenų kopija į numatytą atsiskaitymo sistemą, o kita į įsilaužėlių nurodytą sistemą. Tokio tipo ataka vadinama „skimming“, šiuo atveju duomenų „nugriebimas“, – sako specialistas.
Vynoguru.lt mokėjimo surinkimo paslaugą teikianti „Paysera“ taip pat patvirtina įsilaužimą.
„Tai buvo mokėjimo kortelių duomenų vagišių ataka prieš konkrečią elektroninę parduotuvę. (...) Pati ataka, tai yra, mokėjimo kortelių duomenų rinkimas bei siuntimas į juos surenkantį serverį, nėra niekaip susiję su „Paysera“, – sako bendrovės Informacijos ir kibernetinio saugumo vadovas Šarūnas Krivickas.
Kalbėdamas apie kitas parduotuves – sildymokatilai.com ir doras.lt – D.Šveikauskas teigė be didesnės analizės taip pat nepastebėjęs apčiuopiamos žalos, tačiau patikino, kad užkratas yra.
„Katilų svetainė yra tikrai užkrėsta. Reikia atsiminti, kad atakos yra automatizuotos, nėra labai gilinamasi. Tiesiog į svetainę yra laužiamasi įvertinus tam tikrus požymius, šiuo atveju įsilaužėlius domino konkreti elektroninės komercijos sistema ir jos pažeidžiamumai. Kadangi elektroninės komercijos sistema naudojama kaip prekių katalogas be pirkimo ir atsiskaitymo galimybės, tai kortelės duomenų lyg ir negalima pavogti. Bet tokioje svetainėje įjungus atsiskaitymo sistemą kenkėjiška programinė įranga veiks visavertiškai ir „nugriebinės“ įsilaužėlius dominančius duomenis iš atsiskaitymo formos“, – tikino jis.
Pažymėtina, kad svetainėje sildymokatilai.com atsiskaityti internetu galimybės nėra.
Kalbėdamas apie doras.lt tinklalapį, specialistas pažymi, jog, skirtingai nei vynoguru.lt, svetainėje perkant prekes internetu nėra prašoma suvesti kortelės duomenų. O ir atsiskaitymas yra nukreiptas į saugų puslapį. Visgi, pažymi jis, svetainė turi kenkėjišką programą ir ji yra identifikuojama kaip „JS/Spy.Agent.P“ trojanas.
Pasak D.Šveikausko, įprastai nusikaltėliai nelegaliu būdu gautus duomenis siekia kuo greičiau panaudoti arba kaupia į duomenų bazes, kurios paskui yra parduodamos tamsiajame internete.
Taip neturėjo būti.
Aktyvios prekybos internetu nevykdo
Susisiekus su sildymokatilai.com atstovais paaiškėjo, kad tinklalapis pastaruoju metu nėra aktyvus, jame nevykdomi pardavimai, todėl naujieną apie galimą įsilaužimą vienas iš savininkų sutiko ramiai.
„Tas puslapis buvo sukurtas prieš 6 metus ir jame buvo atnaujinama informacija, kažkokių klientų kartais atsirasdavo. Dabar jau 3 metai jis tiesiog yra. Nieko aktyviai nevyksta kol kas. (…) Kadangi nevedame nei registracijų, nei nieko, tai man tas nelabai aktualu. Pasiaiškinsiu, kad administruojantis prisijungtų, pasižiūrėtų, kas ten darosi“, – teigė Dainius Lukošaitis.
Svetainės doras.lt savininkas, juvelyras Dainius Stončius teigia, kad apie galimą įsilaužimą taip pat nežinojęs, bet dabar domėsis, kaip galima tai pašalinti.
„Bandysiu susisiekti su administratoriais, ačiū už informaciją“, – sakė D.Stončius.
Jeigu įtariama, kad kortelės duomenys galėjo būti nusiurbti, ekspertai pataria kuo greičiau ją blokuoti ir artimiausiu metu – pasikeisti.
Prisistatyti nepanoręs kitas svetainės doras.lt atstovas teigė, kad jau kuris laikas tinklalapyje nėra vykęs pardavimas internetu, todėl galimų pažeidimo aukų būti neturėtų.
Įsilaužimo net negalėjo pamatyti
15min žurnalistams susisiekus su vynoguru.lt direktoriumi Andriumi Apulskiu jis patvirtino, kad įsilaužimas yra užfiksuotas ir kad įmonė jau ėmėsi veiksmų pažeidimams užkardyti.
„Čia yra įsilaužimas. Taip neturėjo būti. (…) Dėl to kaip čia atsirado ir kas ten toliau vyko, reikės kreiptis į policiją ar kur, kad tyrimą darytų“, – tikino direktorius.
„Asmeniškai lengvas šokas. (...) Išjungėme, kad iš viso nebūtų galimybės, kad nereikalautų duomenų (banko kortelių – red.)“, – pridėjo jis.
Anot A.Apulskio, lietuviškais užrašais svetainėje įvardinti laukai, kuriuose reikėjo įrašyti kortelės savininko vardą ir kortelės numerį bei CVV kodą, buvo įsilaužėlių darbas. Įdomu tai, kad sistema buvo užprogramuota taip, jog jos administratoriai ir savininkai pakeitimų matyti net negalėjo.
„Taip neturėjo būti. Maža to, netgi buvo padaryti nustatymai, kad mums visa tai net nesimatė. Ar pagal IP adresą, ar ką, aš prisijungęs nematau. Nėra jokių laukelių, nėra duomenų. Tik prisijungęs per „incognito“ (iš dalies privatus režimas interneto naršyklėje – red.) pamačiau, kad tikrai jie prašo tų duomenų. Vadinasi, kažkas tą suprasdamas specialiai tą nustatė, kad to nepastebėtume“, – tikino A.Apulskis.
Paklaustas, kiek įmonė skiria lėšų kibernetiniam saugumui, patikino, kad papildomos lėšos tam nėra skiriamos – tik tiek, kiek reikia bendram svetainės palaikymui. Kartu jis atkreipia dėmesį ir į vartotojų atsakomybę – ragina internete juos būti budrius.
„Jeigu mokama pavedimu, kortelių duomenų nereikėtų įvedinėti, logiškai mąstant“, – tikina jis.
Pasak A.Apulskio, kenkėjiškas kodas iš svetainės jau yra pašalintas, kol kas duomenų apie nukentėjusiuosius neturi.
Ragina kuo greičiau pasikeisti kortelę
Jeigu įtariama, kad kortelės duomenys galėjo būti nusiurbti, ekspertai pataria kuo greičiau ją blokuoti ir artimiausiu metu – pasikeisti.
„Jeigu kortelės duomenys tampa žinomi tretiems asmenims ar sukčiams nusikaltėliams, tada, be jokios abejonės, ta kortele naudotis pasidaro nelabai saugu. Pirmiausia kortelę reikėtų užblokuoti, o paskui pasikeisti“, – teigia Lietuvos bankų asociacijos Finansinių nusikaltimų prevencijos komiteto pirmininkas Audrius Šapola.
„Jeigu žmonėms kyla kokių abejonių, jie gali kontaktuoti su savo banku ir pasitarti, kaip geriau padaryti“, – pridėjo jis tikindamas, kad jeigu pinigai sukčių jau buvo nuskaičiuoti, kai kurie bankai tam tikromis aplinkybėmis gali juos sugrąžinti savo sąskaita.
Saugumo specialistas Darius Šveikauskas taip pat pataria turėti atskirą banko kortelę, skirtą apsipirkimams internete.
„Sveika būtų turėti atskiras korteles kasdienėms reikmėms ir tą, su kuria atsiskaitote internetu. Pastarosios kortelės sąskaitoje nelaikykite pinigų, o juos įdėkite tik tada, kai planuojate apsipirkimą ir žinote, kokia suma jums bus reikalinga atsiskaitymui“, – sako jis.
Kartu, jo teigimu, rekomenduojama atšaukti atsiskaitymo internetu galimybę toms kortelėms, kurios yra naudojamos apsipirkti fizinėse parduotuvėse. Pasak specialisto, kortelių duomenis galima prarasti ne tik internete, bet ir „fizinėse parduotuvėse ar net bankomatuose“.
