Рассказываем как мошенники пытались кинуть нашего клиента почти на 1 мл. рублей
Если кто не в курсе. В любом программном обеспечении есть дыры. Специалисты по защите их постоянно закрывают, а хакеры находят новые. Эта история произошла в ночь с 14 на 15 апреля . Наш клиент крупный портал по продаже бытовой техники.
Ближе к полуночи наше ПО на портале клиента зафиксировало аномальную активность, Количество заказов от базового выросло в 60 раз. По регламенту дежурный администратор мгновенно перевел все заказы в статут на оформлении и заблокировал дальнейшую обработку заказов.
Анализ логов показал что все заказы идут с разных IP но через одно место - сервис программы лояльности, который клиент использует на своем сайте. Анализ заказов показал что все они оплачены сертификатами. Мы поняли что это атака на сайт группы мошенников.
Техподдержка сервиса, в режиме 24\7, оказалась только обещанием на сайте. За час, не по каким контактам, мы не смогли до них достучаться. И что же нам теперь делать? Остановить оформление заказов надолго мы не можем, интернет магазин торгует на всю страну, а в некоторых регионах уже утро. Люди начнут покупать.
По "тревоге" поднята наша команда разработки. Начинаем фильтровать трафик от сервиса, разобрались быстро, у ребят дыра с параллельными потоками. Мошенническая схема проста как 2х2. Покупаешь сертификат за 1000р. копируешь 100 раз вкладку с активацией и вот у вас сертификат на 100 000 Р Идёшь с этим сертификатом к нашему клиенту и покупаешь на 100 000 чего душе угодно. Завтра выходные, офис не работает, а склад работает. Все товары будут отгружены. Решение простое отключаем на время о сайта клиента сервис лояльности, обнуляем их сертификаты. Заказов мошенники успели оформить почти на миллион рублей.
Клиент о ситуации узнал только сегодня утром. Пока он там употреблял карвалол, мы связались с сервисом и выяснили что их тупо сломали хакеры, разместили скрипт разрешающий параллельные потоки, дыру они уже нашли и залатали. Кстати позже мы нашли инструкцию об этой и дыре и как ей воспользоваться в одном телеграмм канале
На резонный вопрос клиента как не допустить такой ситуации в дальнейшем? Мы честно ответили - ни как. См. первую строчку новости. Тут все как в сексе, чем больше половых партнеров, тем больше вероятность познакомится с сифилисом. И презерватив не поможет тоже, рано или поздно найдется тот кто сделает в нем дырку. В том смысле чем больше к вашему сайту подключено сторонних сервисов тем больше вероятность что ваш сайт сломают через них.
Сейчас мы с клиентом обсуждаем варианты о размещении программы лояльности на его или наших серверах. Это значительно уменьшит риск взлома через программу лояльности. Но не решит проблему взлома полностью. Решить ее можно только круглосуточном мониторингом. Что как Вы видите и спасло в итого клиента от убытка.
А владельцам интернет магазинов рекомендуем задуматься что выгоднее оплачивать охрану за 30ТР или списывать убытки на 1 000 000 - 2 000 000Р ежемесячно?