Pułapka w brodzie św. Mikołaja: jak hakerzy mogli wykorzystać luki AliExpress

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Broda Świętego Mikołaja jest zwykle biała, ma kolor czystości i niewinności. Jednak cyberprzestępcy, którzy atakują kupujących w Internecie w okresie poprzedzającym Czarny Piątek i Święta Bożego Narodzenia, mogą próbować wykorzystać tę niewinność.

Badacze z Check Point niedawno odkryli, że przestępcy mają nowy sposób na oszukiwanie kupujących prezenty za pośrednictwem popularnego portalu sprzedażowego AliExpress. Posiadając ponad 100 milionów klientów i 23 miliardów dolarów przychodów na całym świecie, AliExpress, część grupy AliBaba, jest jednym z najpopularniejszych stron dedykowanych zakupom online.AliExpress-Coupon-2

Po wykryciu luki, badacze z firmy Check Point natychmiast poinformowali AliExpress, który ze względu na bardzo poważne podejście do cyberbezpieczeństwa, podjął szybkie działania i naprawił je w ciągu dwóch dni od powiadomienia. Jest to bardzo godne pochwały i stanowi przykład dla innych portali tego typu.

Nowa luka umożliwiała przestępcom namierzanie użytkowników AliExpress, wysyłając im link do strony internetowej AliExpress zawierającej złośliwy kod JavaScript. Po otwarciu strony kod był uruchamiany w przeglądarce użytkownika, tym samym omijając ochronę AliExpress przed atakami z wykorzystaniem skryptów cross-site przy użyciu luki w zabezpieczeniach na stronie internetowej.

Teoretycznie cyberprzestępcy mogli zainicjować ten atak poprzez e-mailową kampanię phishingową, wykorzystując regularną podróż klienta (ang. customer journey) AliExpress, bez sygnalizowania użytkownikowi, że dzieje się coś niezwykłego lub niecodziennego. W związku z tym jest mało prawdopodobne, aby użytkownik w ogóle zauważył cokolwiek podejrzanego.

Atakujący mogli następnie za pomocą okienka pop-up wyświetlić ofertę kuponu na ekranie głównym – działającym pod domeną podrzędną AliExpress – prosząc klientów o podanie danych karty kredytowej, aby umożliwić płynniejsze i bardziej wydajne zakupy. Atakujący kontrolowali tylko to okno pop-up, zbierając dane dotyczące wszystkich kart kredytowych, które w tym wypadku przesłane zostały bezpośrednio do nich, a nie do witryny zakupowej.

Z ostatnich doniesień wynika, że cyberataki na sprzedawców online podwoiły się od 2016 r., dlatego kupujący powinni mieć świadomość, że broda Świętego Mikołaja nie zawsze jest tak biała, jak się wydaje i zachowywać czujność podczas robienia zakupów online w dowolnym miejscu w tym sezonie świątecznym.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

Cła na przesyłki z Chin podniosły ceny. Temu, Shein i AliExpress zmieniły strategie

Wbrew często powtarzanej tezie, że po wprowadzeniu ceł na...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Od ochrony systemów do zarządzania ryzykiem. Tak ewoluuje rola CISO

Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w...
Coś dla Ciebie

Wybrane kategorie