Interneta veikalu kredītkaršu datu zagļi arī Latvijā

Iekš HackerNews ir nopublicēts interesants pētījums par “jaunu” skimminga veidu, izmantojot interneta veikalus – interneta skimmings. Domāju, ka visi esam dzirdējuši par bankomātu jeb ATM skimmeriem, Kijevā vai Rēzeknē. Tās plastmasas uzlikas, kas “nosmeļ” vai nolasa tavas kredītkartes datus, kad to mēģina izlaist cauri, lai iebāztu bankomātā un izņemtu naudu.

Tā kā esam tehnoloģiju laikmetā, tad arī jārēķinās, ka zagļi arī šajā vidē šivērē, jo šeit ir vieglāk, kā arī nemanāmāk apzagt cilvēkus internetā. Tie laiki, kad puikas zaga Draugiem lietotāju paroles, ir pagājuši, jo tagad ir daudz izdevīgāk nozagt šo lietotāju kredītkaršu datus.

Darbojas interneta skimmings diezgan eleganti un vienkārši. Uzlaužam mājaslapu, ieliekam tajā savus JavaScript kodus un vēsā mierā kopējam visus datus, ko ievada lietotājs uz saviem mākoņiem. Lietotājs mierīgi veic pirkumu, kamēr zaglis tikpat mierīgi savāc visus datus. Nedz interneta veikala īpašnieks, nedz lietotājs neko par to pat nezina, jo nekur un nekas neliecina par draudiem. Eleganti.

Interneta bankas izskatu “viltot” vairs neatmaksājas, jo tur ir kodu kalkulatori vai sliktākajā gadījumā kodu kartes, kas padara dzīvi grūtu.

In short: hackers gain access to a store’s source code using various unpatched software flaws. Once a store is under control of a perpetrator, a (Javascript) wiretap is installed that funnels live payment data to an off-shore collection server (mostly in Russia). This wiretap operates transparently for customers and the merchant. Skimmed credit cards are then sold on the dark web for the going rate of $30 per card .

Interesanti, ka šis krāpšanas veids kļūst populārs.

online skimming

Bet vēl interesantāk bija tajā atrast arī dažus interneta veikalus no .LV zonas. Visu 5900 uzlauzto interneta veikalu saraksts gan ir izņemts un tagad ir palikusi vien kopija no tā.
colourvue.lv
drgiorgini.lv
fiziocentrs.lv
lv-shop.lv
zippoveikals.lv

Visbiežāk tiek uzlauzti populāri risinājumi, kā, piemēram, Magento interneta veikala programmatūra. Līdzīgi kā tas bija agrāk, kad lauza PHP-Nukes sporta pēc, tā tagad jaunā paaudze ir gudrāka un lauž, lai nopelnītu naudu. Varbūt arī tie jau ir paaugušies nukes lauzēji, kas tagad tādā veidā pelna sev iztiku.

Kā aizsargāt sevi no šādiem gadījumiem?

Kādreiz Latvijā gandrīz katrs otrais interneta veikals bija caurs. Nezinu kā ir šobrīd. Bet mums ir priekšrocība – tā kā mūsu banku piedāvātās komisijas ir visai nedraudzīgas interneta veikaliem, tad tie paši nelabprāt pieņem kartes. Tā kā šajā ziņā katram mīnusam ir savi plusi.

Ja gadījumā ir jāpērk kaut kas aiz Latvijas robežām, tad labāk censties izvairīties no apšaubāmiem interneta veikaliem un labāk nepirkt tajos neko. Ja nu nekādi nevar, tad izmantot tādus servisus kā PayPal. Lai gan nevajag aizmirst par tādu lietu kā “droši pirkumi internetā“, kas mums kā Eiropas Savienības valstij ir obligāts pasākums kopš pagājušā gada. Tas gan neliedz atsevišķos veikalos “apiet” šo fīču, jo viņi var kredītkartes datus savākt un pēc tam manuāli ievadīt ar roku caur savu termināli.

Dažreiz ir vērts pievērst uzmanību arī tam, ko saka tavs pārlūks. Es domāju tieši norēķinu brīdī – pārliecināties vai lapa kurā tu atrodies ir pilnībā kriptēta. Vai tā atslēdziņa nav salūzusi.

Šis gan ir naivs ieteikums, jo pat pašās norēķinu sistēmās bieži vien ir redzami visādi zili brīnumi. Attiecīgi vislabākais ieteikums būtu sekot līdzi sava konta izrakstam caur bankas aplikācijām vai arī “ziedot” tos dažus centus par īsziņām, kas nāk pēc katras operācijas.

3 thoughts on “Interneta veikalu kredītkaršu datu zagļi arī Latvijā

  1. Banker

    Tas saucās sniffings nevis skimmings, tiek pievienots js snifferis vajadzīgajām formām. Tas notiek jau vismaz 4-5 gadus. Latvijā neesmu redzējis veikalu kam būtu integrētas maksāšanas formas iekš veikala dzinēja, maksimums freims, bet parasti vienkārši firstdata processingā vai kādā banklinkā un tur notiek datu ievade, šādā variantā nav iespējams nosnīfot kartes datus bez banklinka uzlauzšanas. Nosnīfotās kartes nemaksā 30$, North America maksā līdz 10$, viss pārejais līdz 15$ un tas ir mazumtirdzniecībā. Vairumtirdzniecībā cenas ir pavisam zemas. Atsevišķos gadījumos tiek nosniffota papildus info, kā date of birth, ssn, etc… šur, tur ar to pietiek lai resetotu Verified by Visa, Mastercard Secure Code, tad maksā dārgāk, 25-30$.
    Sniffingā līdzīgi, kā atm skimmingā lielajām bankām ir ļoti viegli atrast “vainīgo” resursu un nobloķēt visas kartes kas ir izmantotas tur, īpaši ja uzlauztais resurss ir ar lielu pirkumu apjomu, problemātiskāk tas ir mazajām/nepopulārām bankām un gadījumos kad tiek uzlauzti daudz resursi ar mazu pirkumu apjomu katrā. Mūsdienās ir ļoti daudz veikalu kuru īpašnieks un darbinieki neko no IT nesaprot, viņi paņem kādu lētāko IT džeku lai sainstalē viņam to pašu magento, bet pašiem no datu drošības ir 0 sajēga.

    Atbildēt
  2. Banker

    Un darknetā visādi scriptkiddies pārdod vecas un apstrādātas bāzes kur 90%+ kartes jau ir bloķētas.
    Kartes pārdod speciālos “interneta veikalos”:
    centralshop.cn
    approved.su
    yalelodge.ru
    jvcc.su
    utt…

    Konkrētie piemēri ir publiskie “veikali” kuros noteikti arī karšu kvalitāte ir nekāda, ir ļoti daudz slēgtā tipa “veikali”, kuros var tikt tikai ar ielūgumiem vai iemaksājot konkrētu naudas summu.
    Ir arī veikali kur reālā laikā kartes tiek pievienotas no snifferiem – “svaigi pīrādziņi, tiko no krāsns” 🙂 Tas ir multimiljonu bizness. Piem. ir novērots, tiek pievienota bāze ar 100k karšu datiem, to izpērk 3h laikā, katra karte maksā 8$, tur vēl ir dažas nianses, bet pat sliktākajā variantā īpašnieks saņem vismaz 50% un šādi “update” ir gandrīz katru dienu un novērojums ir no publiska veikala. Nav slikti vismaz 400 000$ 3h laikā.

    Atbildēt
  3. Andron Mc

    Pilnīgi bezjēdzīgs raksts.
    To visu vajadzēja 1 teikumā – PATĒRĒTĀJ, NEESI DEBĪLS!
    Ja tie kredītkaršu nummuri un 3ciparu kodelis iziet caur kaukādu dajebko, tad tas jau nau droši. Pohuj atslēdziņa, ja tas internetveikals griežās uz izdrāzta servera.
    Kā arī, ja tie dati saglabājas e-veikalā – kas pie velna man liedz uztaisīt legālu internetveikalu, sakrāt tos datus, aizklapēt savu SIA, un pēc tam tos datus izmantot?!
    Iepērkoties internetā, tikai un vienīgi – atsūtiet rēķinu pa e-pastu, es apmaksāšu! Tad arī man ir kāds e-pasts kā pierādijums.
    Un tā ir jādara līdz kamēr neieviesīs kārtīgus sodus tiem “uzlauztajiem”! Piemēram, uzlauztam “interneta veikalam”, jāsamaksā visiem klientiem 2reizēja apdraudētā summa, vai 3reizēja nozagtā! Pilna mantas konfiskācija un piespiedu darbs kamēr atmaksās! Vot tikai tad varēs uzticēties visiem interneta veikaliem.

    Atbildēt

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *