Журнал "Системы Безопасности" № 5‘2023

S E C U R I T Y A N D I T M A N A G E M E N T 120 Д ля того чтобы защитить бизнес от кибер- рисков, первое, что нужно сделать, – это определить потенциальных нарушителей, их навыки и способы мошенничества, иными сло- вами, смоделировать угрозу. например, один из рисков – это внешний нару- шитель, который не имеет учетных данных пользователя, но может получить доступ к про- мокодам. Он может перебирать промокоды (брутфорс) или брать их из базы данных при наличии технической уязвимости. Это одна из угроз. атакующий может проникнуть в иТ-инфра- структуру и будет рассматриваться как внутрен- ний злоумышленник – так же, как если один из сотрудников захочет "слить" конфиденциальную информацию, – это вторая и третья модель нарушителя. После того как гипотетические угрозы смодели- рованы, можно начать проверять, насколько они применимы на практике и думать о мерах защиты. Простые технические уязвимости может обна- ружить сканер в автоматическом режиме, а сложные проблемы, в том числе в бизнес- логике, смогут выявить и устранить только ком- петентные специалисты в ручном тестировании. Уязвимости в сценарии покупки Авторизация по почте и паролю злоумышленник может составить большой спи- сок e-mail-адресов и пробовать перебирать их через форму "забыл пароль". Если почта, кото- рую он ввел, существует, сайт ответит, что "пись- мо с восстановлением пароля отправлено на почту". Если нет – "пользователь с таким e-mail не существует". Таким образом, злоумышленник поймет, какие адреса верные, и составит список пользователей, которые есть в системе. Дальше он сможет атаковать их фишинговыми рассыл- ками или перебором паролей для их аккаунтов. Если злоумышленник соберет клиентскую базу и будет использовать в своих целях, то для биз- неса это репутационный ущерб. в худшем слчае он подберет пароль и украдет аккаунты пользо- вателей, в лучшем – отправит запрос на восста- новление пароля 10 тыс. раз и клиентам придет 10 тыс. нежелательных сообщений, которые забьют ящик. Для защиты от подобной атаки следует исполь- зовать общие слова при восстановлении паро- ля, например: "Если пользователь существует, ему будет направлено письмо с восстановлени- ем пароля". От множественных запросов к сер- вису помогают CAPTCHA-тесты или блокировка аккаунтов по различным показателям: user agent, IP-адресам или нескольким факторам. Слабая парольная политика злоумышленник будет пробовать перебирать самые простые пароли для e-mail-адресов, которые ему удалось собрать. Есть целые базы простых паролей, которые чаще всего исполь- зуют люди, вроде QWERTY или 123456. Подбор происходит в автоматическом режиме и не тре- бует усилий злоумышленника. Угроза – захват пользовательских аккаунтов со слабым паролем. Для противодействия успеш- ному подбору следует усилить парольную поли- тику и не разрешать людям устанавливать паро- ли меньше девяти символов, обязательно использовать верхний регистр, спецсимволы и цифры. а чтобы блокировать возможность перебора, нужны средства защиты от множе- ственных запросов. Авторизация по СМС Обычно для того, чтобы авторизоваться на сайте, пользователь просто вводит номер теле- фона, получает код подтверждения по СмС и проходит в личный кабинет. Если нет меха- низма защиты от множественных запросов, то злоумышленник может отправить запрос на СмС, например, 200 раз и клиенту придет 200 сообщений. Если веб-сервис использует внешнего СмС-про- вайдера, то одно сообщение стоит от 75 копеек до 2 руб., в зависимости от тарифа. Обычно провайдер для крупных ритейлеров позволяет отправлять до 3 тыс. СмС/с. на отправку 200 запросов компания тратит 400 руб/с. Если атака длится час, то злоумышленник сожжет почти 1,5 млн руб. с баланса компании. Самый распространенный метод защиты от этого – троттлинг, когда на один фиксирован- ный телефонный номер стоит запрет отправки больше двух сообщений сразу. Третье и все последующие СмС будут отправляться все с большей и большей задержкой. Если тайм-аут между сообщениями достигнет часа, злоумыш- ленник не сможет нанести значительный ущерб компании и клиентам. Помогут и уже известные механизмы защиты блокировки множествен- ных запросов, настроенные по совокупности критериев. не менее важно внедрить посто- янный мониторинг всевозможных аномалий. Резкое увеличение количества СмС должно незамедлительно создавать alert в службе без- опасности, где специалисты зарегистрируют и разберут инцидент. октябрь – ноябрь 2023 www.secuteck.ru СПЕЦПРОЕКТ БЕзОПаСнОСТь и ЦифРОвая ТРанСфОРмаЦия РиТЕйла Александр Герасимов Этичный хакер, сооснователь Awillix, эксперт в области тестирования на проникновение и анализа защищенности Этапы онлайн-покупок Алгоритм злоумышленника для формы "забыл пароль" Уязвимости в системах лояльности и процессах покупки Риски, связанные с информационной безопасностью, все больше встречаются в реальных проектах сферы ритейла. О том, где скрываются уязвимости в бизнес- логике маркетплейсов, интернет-магазинов и мобильных приложений в крупном ритейле, я расскажу в этой статье

RkJQdWJsaXNoZXIy Mzk4NzYw