Zašto “Shop od poverenja”
Indija: Hakovanje e-trgovine: Koje mere zaštite treba da preduzmu kompanije i korisnici
Izvor: Freepik.com
Rahul Tiagi, suosnivač, SAFE Securiti, kaže „ako su identiteti korisnika ugroženi, kompanije će morati da im daju određenu nadoknadu. Ako je jedini pogodak u podatke kompanije, onda korisnici nemaju nikakve veze s tim. Ali u slučaju da su podaci korisnika pogođeni, kompanija će obavestiti korisnika i o kojoj god nadoknadi bude odlučeno, oni će je morati dati. S obzirom na novi zakon o privatnosti podataka, postoji veoma velika kazna za kompaniju. Uz to, nadoknadu treba dati korisnicima.”
Stalno slušamo o hakovanju veb lokacija. Nedavno je hakovana B2C veb stranica. O čemu se radi u novom slučaju?
Ovo nije nova prevara, ali hak se promenio. Pre četiri do pet godina, hakeri su koristili cene veb-sajtova za e-trgovinu. Tako, na primer, ako su želeli da kupe nešto za 400 ili 500 Rs dok biraju 500 Rs kada će zahtev ići na gejtvej za plaćanje, oni će konvertovati tih 500 Rs u 0, tako da to znači da ćete moći da kupite bilo šta za 0 Rs i roba će vam biti isporučena, ali platni prolaz ne bi znao da nije primio novac. Ovo je bila prevara u kojoj su preskakali deo praćenja petljanjem u platni sistem.
Sada, u najnovijoj prevari, osoba koja je u Bengaluruu, prevarila je veb stranicu za 4,16 miliona Rs. Kreditna kartica ove osobe je hakovana, on je to prijavio banci i onda mu je, u skladu sa rešenjem, banka dala neke vaučere za otkup e-trgovine od kompanije Revard360. Ti vaučeri se mogu koristiti samo kao rešenje na veb lokacijama za e-trgovinu. Na primer, ako ste izgubili 5000 Rs, daće vam vaučere od 5000 Rs. Sada je ovaj kriminalac shvatio da banka izdaje ove vaučere od kompanije poznate kao Revard360. Sada, pošto je iz IT pozadine, pokušao je da hakuje Revard360 i uspeo je da održi redovan pristup toj kompaniji i kreira slične bankovne vaučere za sebe.
Koristio je te vaučere za kupovinu motocikala, zlata, nakita sa veb lokacija za e-trgovinu kao što je Tanishk i tako dalje i tako dalje. Bilo gde da se taj vaučer može iskoristiti, on ga je koristio i na kraju kada su ga uhvatili, već je prevario veb lokaciju za više od 4 miliona Rs.
Dakle, poenta za zabrinutost je da su to prevare vezane za e-trgovinu, tako da ovo postavlja pitanja io merama sajber bezbednosti na veb lokaciji. Šta bi po vama moglo da ošteti korisnika u pogledu njegovih podataka? Krajnji korisnik ovde je taj koji je pogođen?
Ceo ovaj hak, opet kao što sam vam rekao, nije nov. Postoji mnogo veb lokacija poput Freecharge ili nekih drugih veb lokacija koje su nekada bile hakovane na sličan način, gde su ljudi punili svoje mobilne telefone bez plaćanja kompaniji i kada je prevara otkrivena, mnogo ljudi je uhapšeno i milioni rupija je izgubljeno u toj prevari. Sada, kada je korisnik u pitanju, obično ovi kriminalci prodaju nagradne poene za manji iznos korisnicima. Ali problem je u tome što ako kompanija drži kritične podatke korisnika na sličnoj veb stranici, ako kriminalac može da dobije ove nagradne poene, to znači da je već ugrozio celokupnu bezbednost kompanije iu tom slučaju će moći da izbacuju i podatke kupaca. Ali u ovom slučaju kriminalac je samo želeo da otkupi vaučere, ali je nivo kršenja do kojeg je osoba mogla da uđe u organizaciju bio ogroman.
Sada, sa tačke gledišta kompanije, to je razlog zašto su naše RBI i PCI DSS usaglašenosti veoma teške. Gledao sam njihovu veb stranicu. Sada je bezbednost veoma stroga, nisam siguran da li je to bilo slično obezbeđenje kada se taj hak odvijao, ali na normalan način za organizacije, a posebno za nove startape koji se bave sličnim poslom ili koji žele da započnu sličan posao, za njih običan VAPT je normalan. VAPT je u osnovi proces u kojem angažujete organizaciju treće strane koja je veoma stručna u pogledu revizije kao haker. Oni će pokušati da hakuju vašu veb stranicu u svim medijima, svim fazama i daju vam izveštaj. To je isto kao izveštaj ovlašćenog računovođe koji se daje na kraju kvartala ili godine.
U skladu sa mandatom IRB-a, svaki kvartal morate sačiniti ovaj izveštaj i dostaviti ga IRB-u ako se bavite finansijskim transakcijama na veb stranici. Dakle, kompanije koje su naučile iz ovog napada je da moraju da obezbede da se redovni VAPT održava na njihovim veb lokacijama, kao i da su potrebne bezbednosne provere pozadine programera koji razvijaju ove veb stranice.
Izraz koji se koristi u našoj zajednici je DevSecOps što znači razvoj uz sigurnost. Ranije novac nije bio uključen, zbog toga je to bio samo razvoj, ali sada organizacije koje traže programere, koji razvijaju ove vrste veb lokacija, moraju da angažuju programere bezbednog koda koji znaju kako da kodiraju, ali i koji treba da ga kodiraju bezbedno, a takođe i revizija, u vreme izgradnje morate da ga izgradite bezbedno, a u vreme revizije to mora da bude svakog kvartala kad god nađete bilo kakav nedostatak možete ga vrlo brzo zakrpiti.
Laik ili krajnji korisnik bi definitivno mogao da dekodira sve ovo. Dakle, ako ste korisnik jedne od ovih veb lokacija i ova veb lokacija je zapravo hakovana, koje bi bile vaše crvene zastavice – možda previše dobro da bi bile prave vrste ponuda ili nagradnih poena. Kako dolazite do saznanja da je veb lokacija ili e-trgovina na kojoj trgujete zapravo hakovana?
Postoje dve vrste hakova: Kada kriminalac želi da korisnici te veb stranice znaju da je veb lokacija hakovana, u tom slučaju ćete uvek videti da kada god otvorite veb lokaciju, početna stranica veb lokacije je potpuno zamenjena, što znači to je uglavnom šteta reputacije koju kriminalac želi da nanese kompaniji. Drugi put kada želite da odete tamo bićete oprezni.
U ovom konkretnom haku, korisnik neće moći da pronađe ništa jer kriminalac na prednjoj strani veb-sajta ne želi da korisnici paniče jer što više korisnika ide tamo, više nagradnih poena mora da sadrži i u pozadini će imaju neku vrstu tunela unutar veb stranice koji će izvlačiti te kupone jedan po jedan, jedan po jedan bez davanja novca kompaniji.
Dakle, za korisnika je obično veoma teško uočiti ako i dok veb lokacija ne dođe u javni domen da je ovo hakovano. Danas je revard360.co dobio vest da je ovo hakovano, ali koliko je vremena ovo kršenje nastavljeno, nije jasno.
Šta će veb lokacija učiniti u slučaju štete nanesene korisniku? Da li bi nadoknadili?
Dakle, za korisnika, mislim da će u većini slučajeva, ako je korisnikov identitet kompromitovan ili tako nešto, uglavnom kompanije daju neku nadoknadu. Dakle, kompanija ga mora dati korisnicima. Ako je to jedini pogodak u podatke kompanije, onda korisnici nemaju nikakve veze s tim. Ali u slučaju da je kompanija prekršena, podaci korisnika su pogođeni, kompanija će obavestiti korisnika i bez obzira na kompenzaciju koja se odluči, oni moraju da je daju.
S obzirom na novi zakon o privatnosti podataka, postoji veoma velika kazna za kompaniju. Uz to, treba dati i naknadu korisnicima.
Ko proverava sajber higijenu na svim ovim platformama? IRB kao regulator dao je dosta mandata. Ali onda, da li je zapravo tamo gde bi trebalo da bude?
IRB igra veoma važnu ulogu. Bilo je vremena kada je Bhim aplikacija bila lansirana i postojali su drugi pristupi za plaćanje kao što su Ksiaomi, GPai i drugi. IRB je tada naložio da kada god objavljujete bilo koju veb stranicu, morate dati izveštaj o bezbednosti te aplikacije pre nego što ona ode do korisnika. To je tačka broj jedan. To je obavezno za svaku kompaniju u Indiji koja se bavi finansijskim transakcijama.
Drugo, svaka tri meseca, to znači svaki kvartal, moraju da angažuju nezavisnu bezbednosnu kompaniju treće strane koja će doći u vašu organizaciju ili će pokušati da hakuje vašu veb stranicu, testira globalne standarde bezbednosti i da izveštaj vašoj organizaciji. Mislim da su u ovom slučaju možda angažovali samo jednu firmu. To je razlog zašto je tok izostao. Obično veće organizacije angažuju jednu, dve, tri, možda pet kompanija koje istovremeno testiraju svoju veb stranicu i kada podnesu izveštaj, kompanija prikuplja te izveštaje, pravi jedan izveštaj i dostavlja ga Rezervnoj banci Indije.
Ljudi obično pokušavaju da uštede novac i reći će da, u redu, hajde da zaposlimo samo jednu kompaniju. Ali to nije efikasno i zato je potrebno uključiti jedan broj ovih kompanija koje će obavljati ovo testiranje svakog kvartala.
Dok se sve to ne dogodi, svi korisnici moraju da budu oprezni?
Korisnici apsolutno moraju da budu veoma oprezni i to je razlog zašto kažemo „ne verujte lako novim veb lokacijama“. Ovo nije protiv bilo kakvog pokretanja, ali kad god posetite bilo koju veb lokaciju, ispod veb stranice uvek se nalazi logotip na kome piše da je PCI DSS sertifikovan. To znači da je sertifikovan od strane industrije platnih kartica što je svetski standard.
Poslednja stvar koju želim da podelim je da ponekad ove veb lokacije za e-trgovinu koriste interne prolaze za plaćanje. Sada, ako je to nova veb lokacija koja koristi sopstveni prolaz za plaćanje, neću mu verovati. Želim da na novoj veb lokaciji za e-trgovinu, kada kliknem na uplatu, ona treba da ode na Razorpai ili Paitm plaćanja ili negde drugde što je renomirani server mrežnog prolaza za plaćanje.
Kao kompanija, ako niste 100% sigurni da ćete se pobrinuti za gejtvej za plaćanje, nemojte rizikovati; samo se uverite da ste priključili gejtvejeve za plaćanje kao što su Razorpai, Paitm i neki drugi koji su poznati na tržištu i kada budete sigurni da su vaše programiranje i vaša skalabilnost sa bezbednosne tačke gledišta spremni, onda možete da koristite sopstvene, ali osim ako i dok niste sigurni, nemojte to činiti jer u suprotnom možete upasti u ovu vrstu prevare.
Izvor: Economictimes.indiatimes.com
