Clau per emportar
- Recentment, els atacants han aconseguit instal·lar skimmers de targetes digitals en més de 500 llocs web.
- La responsabilitat de la protecció recau en els propietaris dels llocs web.
-
Els experts en seguretat suggereixen diversos mitjans que els usuaris poden utilitzar per protegir-se.
En lloc de comprometre els comptes individuals, els pirates informàtics han canviat d'orientació i ara van després de la mare, instal·lant skimmers de targetes a les botigues web en línia.
El 8 de febrer de 2022, els investigadors de seguretat van compartir detalls sobre una incompliment massiu a més de 500 botigues en línia amb la plataforma de comerç electrònic Magento. Els atacants van carregar un skimmer de targetes de pagament a totes les botigues, en el que es coneix com a atac magecart. Tot i que la solució recau en les botigues en línia, els objectius són els usuaris finals que els experts creuen que també haurien d'estar més atents a l'hora de fer transaccions en línia.
"[Aquest] atac recent hauria de ser un recordatori contundent per a tots els usuaris en línia [que] tenen el deure de protegir-se a més del que espereu del proveïdor de la vostra botiga en línia", Ron Bradley, vicepresident d'Avaluacions compartides., va dir a Lifewire per correu electrònic.
Desnatació digital
Gustavo Palazolo, enginyer d'investigació d'amenaces del personal de Netskope, va dir a Lifewire per correu electrònic que Magento és una de les plataformes de comerç electrònic populars a les quals s'apunten els atacants, ja que moltes botigues tenen instàncies obsoletes del programari, mentre que altres utilitzen complements de tercers que de vegades contenen defectes de seguretat sense pegar que permeten als atacants implantar skimmers digitals.
Va dir que tot i que no és fàcil verificar si el lloc web on estàs comprant ha estat l'objectiu d'una campanya de Magecart, hi ha algunes mesures que els usuaris poden seguir per reforçar la seva seguretat en línia.
Palazolo recomana utilitzar extensions del navegador per bloquejar scripts desconeguts, com ara NoScript per a Firefox. També va defensar l'ús de solucions antivirus que proporcionin extensions de navegador, ja que poden escanejar el lloc web visitat i bloquejar scripts maliciosos.
Va afegir que Adobe ja no admet Magento v1, però a causa de la seva popularitat, hi ha diversos pedaços de seguretat proporcionats per la comunitat per ajudar a assegurar aquesta versió. No obstant això, suggereix que els usuaris evitin fer transaccions en llocs web impulsats per aquesta plataforma no compatible.
Per verificar si el lloc web que esteu comprant té l'última versió de Magento v2, Palazolo va indicar el Wappalyzer per a Chrome i Firefox, que pot detectar la tecnologia que hi ha darrere d'una pàgina web.
"Si instal·lar una extensió del navegador no és una opció, les eines en línia poden ser una bona opció per verificar detalls sobre Magento, com ara MageReport, que us pot mostrar no només la versió sinó també informació sobre les vulnerabilitats de seguretat que es troben al lloc web que esteu a punt de comprar", va aconsellar Palazolo.
Sigues el teu propi tallafoc
Bradley va dir que els compradors en línia no han de ser experts en ciberseguretat per protegir-se, sinó que han de tenir una mentalitat de defensa en profunditat per evitar convertir-se en víctimes.
"La ciberseguretat és com una ceba [composta] de múltiples capes. És important definir el vostre perímetre i implementar mesures de seguretat per protegir-vos", va dir Bradley. "Comenceu amb el vostre banc o l'emissor de la targeta de crèdit. Activeu totes les alertes que pugueu, fins al punt que sigui molest, i haureu de tornar enrere i marcar-lo."
També suggereix activar l'autenticació multifactorial sempre que sigui possible i advoca contra l'ús de targetes de dèbit alhora que s'aprofita la facilitat de congelació de crèdit, que no costa res, i ajuda a protegir els clients dels robatoris d'identitat.
Palazolo va dir que els usuaris haurien d'utilitzar la capacitat per generar números de targeta digital únics i temporals per a compres en línia. Fins i tot si el lloc web està infectat, aquesta opció garantirà que els detalls de la targeta robada no serveixin de res als atacants.
Ulls ben oberts
Erich Kron, defensor de la seguretat a KnowBe4, va suggerir als compradors que revisin la seva targeta de crèdit i els seus extractes bancaris regularment, mantenint els ulls ben oberts per a càrrecs o compres inusuals.
"Massa sovint, els càrrecs simplement s'afegeixen al saldo de la targeta de crèdit sense que la víctima se n'adoni. Fins i tot els petits càrrecs, un dòlar o dos a la vegada, que es poden utilitzar per confirmar al cibercriminal que la targeta encara és vàlid, pot ser un signe que la targeta s'ha vist compromesa", ha compartit Kron amb Lifewire per correu electrònic.
"És important definir el vostre perímetre i implementar mesures de seguretat per protegir-vos."
També va suggerir que els usuaris entenguessin les proteccions que ofereixen les seves targetes de crèdit i estiguessin al corrent de totes les opcions disponibles per informar ràpidament de càrrecs sospitosos.
No obstant això, al cap i a la fi, és responsabilitat dels propietaris del lloc web de comerç electrònic assegurar-se que tenen un vaixell segur, va assenyalar Kunal Modasiya, director sènior de gestió de productes de l'empresa de ciberseguretat PerimeterX. Va dir que com que les accions dels consumidors són limitades, els propietaris de llocs web de comerç electrònic han d'utilitzar solucions que proporcionin una visibilitat contínua de les accions que tenen lloc als seus llocs web.
"Les empreses de comerç electrònic haurien d'utilitzar una solució de defensa en profunditat de múltiples capes que ajudi a protegir la informació del compte i la identitat dels usuaris a tot arreu al llarg del seu viatge digital."