Tupperware + malware

Sokszor és sokat írtunk már a biztonságos vásárlásról, mikre érdemes figyelni, mik az intő jelek, milyen online boltokból meneküljünk hanyatt-homlok. Most egy érdekes incidens arra is példát mutat, hogy egy neves gyártó hivatalos webshopjában is elveszhet időnként a pénzünk, és sajnos sokadszorra arra is példát láthatunk, hogy a beismerés, a gyors reagálás is oly gyakran hiányzik még mindig az üzemeltetőkből.

 

Március 20-án figyeltek fel biztonsági szakértők arra, hogy az amerikai Tupperware cég weboldalán szokatlan dolgok történnek. A szakemberek olyan célzott támadást azonosítottak, amelyben a vásárlók fizetési adatait a hivatalos VISA CyberSource oldalt utánzó hamis, adathalász aloldal segítségével szerezték meg.

Az IT biztonsági szakértők megpróbálták felvenni a kapcsolatot a céggel, ám azok sem a telefonos, sem az e-mailes figyelmeztetésre nem válaszoltak, nem reagáltak. Nyilván van egyfajta tanult tehetetlensége a mostani home office rendszernek, de ez sem adhat felmentést súlyos hibákkal kapcsolatos jelzések figyelmen kívül hagyására. Arról még nincsenek információk, hogy a vásárlók közvetlenül kaptak-e figyelmeztetést a cégtől.

A webes módosítás, belepiszkálás nem volt túl látványos, egy titokban beszúrt iframe elem a fizetési szakaszban egy orosz oldalra irányított el, ahol a bankkártya szám, lejárati dátum és a 3 jegyű CVV biztonsági kód után érdeklődtek a tudjukkik nagy tisztelettel. És bár a hivatalos, kijelzett URL közben láthatóan korrekt volt, meg ott vigyorgott a kis aranyos HTTPS lakatka is címsorban, de ettől még a pénz el lett lopva.

Az első begépelés után egy timeout hibaüzenettel húzták az időt, és mire a második adatbegépelést elvégezték az áldozatok, a csalók a fizetési adatok birtokában addigra gyorsan leürítették a számlát, vagy esetleg felkoppantak a napi limitösszegen, illetve az online fizetést esetlegesen védő multifaktoros jóváhagyáson, ha volt ilyen.

Ez utóbbit azért valljuk be, sajnos ma még elég kevesen ismerik és használják. A lényege az, hogy óvatos ember ugye sosem használja a neten az igazi bankkártyáját, hanem egy külön erre a célra szolgáló virtuális net kártyát húz elő ilyenkor (leánykori nevén Unembossed Card). Ezen a számlán alaphelyzetben sosincs pénz, csakis a vásárlás előtt pár perccel lesz rá átutalva egy akkora összeg, ami éppen fedezi az aktuális költést.

Vagyis ellophatják ezeket a banki adatokat, akár a 3 jegyű biztonsági kóddal együtt, sokra nem mennek vele. És ezt lehet még pluszban megfejelni a multifaktoros jóváhagyással, ami minden virtuális fizetéskor még egy eseti kódot is bekér egy másik eszközről.

Körülbelül egy héttel az incidens kiszivárgása, és 5 nap teljes hallgatás után a mai reagálás is elég beszédes, a Rolls Frakció egyik korai slágerét idézi: “Még nincs itt az idő, vagy már késő.” Vagyis hát akkor mindenki szépen nyugodjon le, hiszen ugye túl korai még bármit mondani, már amúgy is vizsgálják az esetet, és ők mindent megtesznek, na meg a vásárlóik biztonsága a legfontosabb számukra, stb.

“Our investigation is continuing and it is too early to provide further details. We anticipate providing all necessary notifications as we get further clarity about the specific timeframes and orders that may have been involved. We want to assure our customers that protecting their information is our top priority, and we will continue to work vigilantly to pursue this matter quickly to resolution.” Azért is elgondolkodtató ez a dolog, mert nagyjából egymillióan látogatják havonta ezt az oldalt.

Forrás: https://antivirus.blog.hu