Нещодавно виявлене шкідливе програмне забезпечення для веб-скімінгу здатне ховатися у Вас перед очима, при цьому викрадаючи дані платіжних карток на скомпрометованих веб-сторінках інтернет-магазинів.

Творці шкідливого програмного забезпечення замаскували його під кнопки шерингу у соціальних мережах, що підробляють такі популярні платформи, як Facebook, Twitter та Instagram, пише Bleeping Computer.

Скімери кредитних карток – це сценарії на основі JavaScript, якими група кіберзлочинців Magecart інфікує сторінки замовлення сайтів електронної комерції. Після завантаження в цільові магазини сценарії автоматично збирають платіжну та особисту інформацію, надіслану клієнтами, та передають її на сервери хакерів Magecart.

Це нове зловмисне програмне забезпечення було виявлено дослідниками нідерландської компанії з кіберзахисту Sansec, яка зосереджується на захисті веб-сайтів електронної комерції від атак цифрового скімінгу (також відомого як Magecart).

Шкідливе програмне забезпечення для обробки платежів використовує хитрість за допомогою подвійної структури передачі атрибутів платежу, де вихідний код сценарію скімера, який викрадає кредитні картки клієнтів, буде прихований в піктограмі шерингу у соціальних мережах, завантаженої як елемент HTML-svg з елемент ‘path’ як контейнер.

Синтаксис приховування вихідного коду скімера як кнопки шерингу у соціальних мережах ідеально імітує елемент svg, названий за допомогою імен платформ соціальних медіа (наприклад, facebook_full, twitter_full, instagram_full, youtube_full, pinterest_full та google_full).

Окремий декодер, розгорнутий окремо десь на сервері сайту електронної комерції, використовується для вилучення та виконання коду прихованого викрадача кредитних карток.

Ця тактика збільшує шанси уникнути виявлення, навіть якщо знайдено один із двох компонентів шкідливого програмного забезпечення, оскільки завантажувач шкідливого програмного забезпечення не обов’язково зберігається в тому самому місці, що і корисний набір скімера, і їх справжнє призначення може уникнути поверхневого аналізу.

Незважаючи на те, що кіберзлочинці не вперше використовують скімери, приховані у фейкових зображеннях, це шкідливе програмне забезпечення є першим, що використовує “цілком дійсне зображення”.

“Результатом є те, що сканери безпеки більше не можуть знаходити шкідливе програмне забезпечення, лише перевіряючи дійсний синтаксис”, – пояснюють у Sansec.

Подібне шкідливе програмне забезпечення за допомогою цієї інноваційної техніки завантаження було вперше виявлено ще в червні 2020 року.

“Це шкідливе програмне забезпечення не було таким складним, і його було виявлено лише на 9 сайтах за один день”, – кажуть у Sansec. – З цих 9 заражених веб-сайтів лише 1 мав функціональне шкідливе програмне забезпечення. Усі 8 інших сайтів пропустили один із двох компонентів, що зробило шкідливе програмне забезпечення марним. Ці частково працюючі зразки скімерів платежів могли бути використані в якості тестових запусків для повністю функціонуючої версії, виявленої в середині вересня”

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття “Шкідник” для крадіжки банківських даних ховається за іконками шерингу у соціальних мережах раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Як з’ясували організації, що займаються захистом прав споживачів, на таких онлайн-платформах як Amazon та eBay подекуди продаються надзвичайно небезпечні товари. Як правило, вони приваблюють покупців дуже низькою ціною.

Приводом для занепокоєння став ноутбук, який загорівся після того, як в ньому замінили оригінальний акумулятор на новий, куплений на Amazon. Саме після цього благодійна організація Electrical Safety First попередила про небезпеку придбання електротоварів у мережі. Про це пише ВВС.

ESF повідомила про виявлення деяких надзвичайно небезпечних товарів, виставлених на продаж на Amazon, eBay та Wish, і тепер хоче, щоб влада розробила законодавство, яке б регулювало такі продажі.

“Було близько 22:30, я була на кухні й саме збиралася вивести на прогулянку двох своїх собак. Ноутбук у цей час лежав на столі”, – розповідає Рейчел Кент, яка купила той самий акумулятор у продавця на Amazon.

“І тут пролунав тріск і вибух. Я в паніці вибігла разом із собаками в садок і вже звідти з жахом спостерігала, як у ноутбуці знову щось хлопнуло, він загорівся, і полум’я побігло по столу”.

Рейчел викликала пожежників і вогонь незабаром загасили.

“На щастя, діти в цей момент були в бабусі, але якби вони були вдома, то пожежа відрізала б мене від них, і про це навіть думати страшно”, – зізнається жінка. – Потім мені повідомили, що причиною всього був акумулятор, який я купила”.

Навіть іграшки можуть бути небезпечними

Виконавчий директор ESF Леслі Радд не сумнівається, що подібні покупки в інтернеті напередодні Різдва робить чимало людей.

“Ми наполегливо рекомендуємо всім, хто купує електроприлади, робити це в магазинах або на сайтах відомих виробників чи відомих продавців, а не в третіх осіб, що торгують в інтернеті”, – каже Радд.

“Під час розслідування ми виявили доволі небезпечні товари. А неякісні чи підробні речі іноді дуже непросто виявити, особливо якщо у вас бракує досвіду”.

З Раддом погоджується голова відділу захисту прав споживачів компанії Which, яка займається тестуванням і порівнянням широкого спектра товарів і послуг.

“Which постійно виявляє багато небезпечних товарів, які продаються в інтернет-магазинах, зокрема тих, які купуються як різдвяні подарунки, – наприклад прикраси для ялинки і дитячі іграшки”, – каже Девіс.

“Враховуючи, що цієї зими люди як ніколи розраховують на покупки в інтернеті, онлайн-продавців варто було б юридично зобов’язати нести відповідальність за безпеку продукції, якою вони торгують. І не допустити, щоб небезпечні товари опинилися вдома у людей на Різдво”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?

Фішингові листи: розпізнаємо шахрайство на реальному прикладі

Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?

Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ

Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ

Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.

Також мешканця  міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців

До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.

Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.

Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.

Ця стаття Яку небезпеку може становити дешева електроніка з інтернет-магазинів? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанії Visa, Mastercard і Adobe закликали власників online-магазинів оновити свої платформи Magento, оскільки 30 червня версія Magento 1.x досягне терміну закінчення підтримки (End of Life, EOL).

Магазини, які не оновляться до останньої гілки 2.x стануть уразливими до атак кіберзлочинців, пише ZDNet.

За словами команди фахівців Mastercard Account Data Compromise (ADC), відповідальної за розслідування кіберінцидентів з даними платіжних карт, в останні роки почастішали випадки web-скімінгу. Більшість з них були пов’язані з web-сайтами, які використовують старі версії програмного забезпечення Magento. За даними Mastercard, 77% компаній, які постраждали в результаті подібних інцидентів, не дотримувалися норм стандарту безпеки даних індустрії платіжних карт (PCI DSS), що вимагає використання сучасного програмного забезпечення.

Як і Mastercard, Visa також попередила власників магазинів, щоб вони оновилися до останньої версії Magento 2.3.x з метою уникнути потенційних атак.

22 червня компанія Adobe, що володіє платформою Magento, випустила останні оновлення безпеки для гілки Magento 1.x.

За даними ІБ-фірми SanSec, в цей час близько 110 тис. магазинів і раніше використовують гілку Magento 1.x і тільки 37,5 тис. магазинів оновилися до нових версій.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

ЯК ПОСТІЙНО ВІДКРИВАТИ ПОСИЛАННЯ У CHROME, А НЕ У SAFARI НА ПРИСТРОЯХ IOS? ІНСТРУКЦІЯ

ЯК НАДСИЛАТИ ПОВІДОМЛЕННЯ У WHATS APP ЗІ СВОГО КОМП’ЮТЕРА? – ІНСТРУКЦІЯ

ОГЛЯД УСІХ ПЛАНШЕТІВ ВІД APPLE: ЯКИЙ IPAD ВАРТИЙ ВАШОЇ УВАГИ?

ОГЛЯД П’ЯТИ ФУНКЦІЙ ANDROID 11, ЧЕРЕЗ ЯКІ ВАРТО ОНОВИТИСЯ

Нагадаємо, Mac переживає ще одну величезну зміну процесора. До кінця 2020 року Apple випустить Mac, які містять “Apple Silicon”, як і iPad та iPhone. Ось що означає кінець процесорів Intel для майбутнього Mac. Новий macOS 11.0 Big Sur, який очікують восени 2020 року, стане першою версією macOS, яка підтримує цю нову архітектуру.

Також Apple на всесвітній конференції розробників Worldwide Developers Conference (WWDC) 2020 анонсувала нові функції конфіденційності та безпеки для користувачів iOS і macOS.

Окрім цього, після років спекуляцій та чуток, Huawei офіційно представила свою операційну систему Harmony OS в 2019 році. Можна сказати, що було поставлено більше питань, ніж відповідей. Як це працює? Які проблеми вона вирішує? І це продукт ворожнечі між Huawei та урядом США?

До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.

Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.

Ця стаття Adobe, Mastercard і Visa закликали відмовитися від старого ПЗ для інтернет-магазинів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Далеко не так просто розпізнати обман під час покупок в Інтернеті. На кожному торговому майданчику існують недобросовісні продавці, які готові обманути Вас.

Якщо Ви хочете бути в безпеці, важливо вивчити сайт перш, ніж робити замовлення, і задатися головним питанням. Наскільки добре налагоджений захист покупців? Як здійснюється обробка претензій і повернення грошових коштів?

На ці запитанні спробуємо відповісти у цій статті. Для прикладу візьмемо сайт AliExpress.

AliExpress є частиною Alibaba Group, що представляє собою китайську компанію в сфері електронної комерції, яка надає різноманітні послуги в сфері торгівлі бізнесу і простим покупцям по всьому світу. У квітні 2016 ця компанія обігнала Walmart і стала найбільшим рітейлером у світі. Про це пише Securitylab.

Підрозділ AliExpress було запущено в 2010 році. Цей торговий майданчик орієнтований виключно на продаж через Інтернет в основному китайських товарів і більше схожий на аукціон eBay, ніж на Amazon. По суті AliExpress – це платформа, що дозволяє різним компаніям продавати свої товари. Сам по собі AliExpress нічого не продає.

Захист покупців

Покупки в Інтернеті пов’язані з невід’ємними ризиками, оскільки на відміну від шопінгу в фізичному магазині, Ви не можете побачити товар до тих пір, поки Вам не доставлять замовлення.

У випадку з онлайн-магазинами відсутня важлива частина процесу покупки: ви не можете перевірити працездатність електронного пристрою і оцінити якість продукту в цілому, поки до вас не прийде кур’єр.

Якщо Ви купуєте товар відомого бренду, то можете прочитати відгуки інших покупців, а в разі виникнення проблем звернутися безпосередньо в магазин.

Але під час шопінгу в AliExpress, де представлено багато дешевих китайських товарів, які не доступні в звичайних магазинах, Ви, по суті, надані самі собі і повинні приймати рішення виключно на основі опису і декількох фотографій. Тому на подібного роду майданчиках життєво важливий надійний механізм захисту покупців.

Гарантії

• Повне повернення коштів, якщо замовлення не отримано – навіть якщо товар не доставлений протягом терміну, зазначеного продавцем, Ви в праві вимагати повне повернення коштів.
• Повне або часткове повернення коштів, якщо товар не відповідає опису – якщо покупка розходиться з вашими очікуваннями у вас є два шляхи. Ви можете повернути товар і отримати повне повернення або залишити товар собі і отримати часткове повернення.

Спірні питання

На жаль, як і в випадку з будь-яким іншим інтернет-магазином, одержати гроші за втрачений, бракований або невідповідний опису товар не можна просто натиснувши на кнопку “Повернення”. Існує ціла система врегулювання суперечок, через яку потрібно пройти:

• Вам потрібно вийти на контакт з продавцем і позначити свою проблему. Якщо суперечка виникла до того, як замовлення завершено, або через 15 днів і більше після завершення – цей варіант єдино можливий. Якщо замовлення поки ще не завершене, і продавець відмовляється співпрацювати, потрібно почекати до закриття замовлення і зв’язатися з представниками AliExpress. На жаль, якщо 15 днів після завершення замовлення минули, і продавець відмовляється співпрацювати, інші варіанти вирішення проблем відсутні.
• Якщо протягом 15 днів після завершення замовлення Ви не задоволені відповідями продавця, то можете створити претензію, щоб зробити процес вирішення спірної ситуації офіційним.
• Якщо Ви не задоволені формальної дискусією, то далі можете зв’язатися з представниками AliExpress, і буде призначений арбітр для вирішення спору між вами і продавцем.

Продавець з хорошою репутацією

Найпростіший спосіб уникнути обману і ситуацій, пов’язаних з врегулюванням суперечок – знайти надійного продавця. Якщо тисячі задоволених покупців вже користувалися послугами продавця в минулому, швидше за все, і у Вас теж не виникне проблем.

Найбільш очевидний спосіб перевірити репутацію продавця – ознайомитися з історією діяльності, зайшовши в розділ “Відгуки”( Feedback ) на сторінці продавця.

Кожен продавець має відсоток позитивного зворотного зв’язку (Positive Feedback) і загальний рейтинг (Feedback Score), який складається з усіх оцінок, 4 і 5 зірок додають до рейтингу один бал, 3 зірки не додають нічого, 1 і 2 зірки зменшують загальний рейтинг на одиницю.

Далі на сторінці відображаються рейтинги в розрізі окремих категорій: товар відповідає опису (Item as Described), комунікація з покупцями (Communication) і швидкість доставки (Shipping Speed). Для кожної категорії можна подивитися рейтинг продавця щодо середнього значення по всьому майданчику.

У самому низу сторінки відображається історія оцінок і коментарі покупців.

Продавці також можуть пропонувати покупцям певні гарантії. Загальне правило говорить: чим більше гарантій дається, тим більше впевненості у Вас буде під час покупки.

Продавці дають гарантії на конкретний товар. Однак безліч гарантій на один продукт зовсім не означає, що ці ж гарантії поширюються на весь каталог. Відповідно, перед покупкою бажано провести ретельний аналіз.

Якими бувають гарантії:

• Доставка в термін – продавець обіцяє повне повернення, якщо товар не буде доставлений в зазначений термін.
• Повернення та відшкодування коштів – продавець обіцяє повне повернення, якщо товар не буде відповідати опису.
• Повернення всередині країни – у продавця є склад у Вашій країні, і Ви можете повернути товар, не турбуючись про витрати на пересилку і митні збори.
• Гарантована справжність – якщо Ви купуєте дорогу електроніку, варто звернути увагу на цю гарантію, яка б означала, що товар був перевірений представниками AliExpress.

Перелік наданих гарантій на конкретний товар зазначений в секції Захист покупця (Buyer Protection) на сторінці продукту (розділ Quick Info) або в розділі Гарантії продавця (Seller Guarantees) під зображенням товару.

Власні заходи безпеки

Незалежно від того, які заходи безпеки впроваджені на торговому майданчику, слід завжди брати частину відповідальності за свої дії.

AliExpress дає корисні поради, як уникнути обману під час покупок, які носять досить загальний і очевидний характер, але освіжити пам’ять ніколи не завадить:

Якщо ціна занадто приваблива, щоб бути правдою, швидше за все, так і є. Вибачте, але Ви не зможете купити iPhone за 10 доларів. За цю ціну Вам ймовірно надішлють брелок у вигляді iPhone. Читайте інформацію, написану дрібним шрифтом.

Ніколи не посилайте гроші на банківський рахунок продавця. Якщо продавець хоче, щоб Ви відсилали гроші безпосередньо, замість AliExpress, ніколи не погоджуйтеся. Відправлення грошей поза AliExpress означає, що на Вас не буде поширюватися політика захисту покупців.

Ще не підтверджуйте доставку перед отриманням замовлення. Ніколи не підтверджуйте доставку перш, ніж замовлений товар виявиться у Вас на руках і перш, ніж Ви не перевірите прислане на предмет дефектів і працездатності.

Багато товарів AliExpress гідної якості і коштують дешевше, ніж еквіваленти, що продаються в Північній Америці і Європі. Якщо ви візьмете на озброєння ці поради то шопінг в Інтернеті стане таким же безпечним як на Amazon або eBay.

До речі, у рамках своїх активних зусиль щодо захисту мільярдів користувачів Інтернету компанія Google виявила та попередила понад 12 тисяч своїх користувачів, які зазнали кібератак від “державних хакерів” у третьому кварталі цього року.

Якщо Вас турбує “одвічне” питання геймерів та ентузіастів: побудувати комп’ютер із власноруч вибраних комплектуючих або купити готовий укомплектований системний блок? CyberCalm розібрав це питання.

Стало відомо, що Фінляндія першою в Європі почала привласнювати так звані ярлики кібербезпеки мережевим “розумним” пристроям.

Також 14 січня 2020 року Microsoft завершить підтримку операційної системи Windows 7 і пакету офісних програм Office 2010. Тому якщо Windows 10 виявилася занадто важкою системою для Вашого комп’ютера, як варіант – можете перейти на ОС Linux. У чому її переваги, читайте у статті.

Зверніть увагу, в наступному році iPhone чекають ще більш значущі зміни, ніж ті, що відбувалися з ними раніше. Apple планує зменшити діагональ дисплея одного з iPhone 2020 модельного року.

Здається, вже всі знають, що таке QR-код, але мало хто знає, як він з’явився, де застосовується і які особливості має. Усі подробиці про QR-код читайте у статті.

Ця стаття Як здійснити безпечний інтернет-шопінг? Приклад AliExpress раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин