Как воруют заказы: ищем “шпиона” на сайте и в почтовом ящике

Форма обратной связи и корзина заказов являются важными элементами коммерческого сайта. Через формы сайта посетители отправляют важную коммерческую информацию, оформляют новые заказы, а иногда и вводят данные банковской карты или реквизиты для оплаты. Обычно данные из формы отправляются на email менеджера сайта или владельца бизнеса. Но если эта информация представляет ценность для третьей стороны, то ее могут воровать с помощью шпионов, установленных на сайте. По заказу конкурентов хакеры взламывают сайт и устанавливают специальный скрипт на отправку формы, в результате чего данные формы отсылаются не только легитимному получателю (вам, вашим сотрудникам), но и конкуренту.

Один пример из нашей практики. Был случай воровства клиентской базы регионального таксопарка (сайт для вызова такси): хакер установил шпионский скрипт, который каждый второй заказ с сайта дублировал конкуренту на email. Менеджер конкурента быстро связывался с заказчиком по телефону и по принятому вызову отправлял своего водителя. Через некоторое время схема вскрылась (причем из-за жалобы постоянного клиента такси), сайт вылечили, «шпиона» удалили, но какую-то часть клиентов владелец взломанного сайта потерял. 

Когда появляются сомнения, что заказы уходят «на сторону» - самое время проверить, не воруют ли ваши заказы конкуренты. Учитывая, что стоимость взлома незащищенного сайта чрезвычайно низка (школьники могут взломать сайт на joomla, wordpress, drupal, modx за пару тысяч рублей, а то и меньше), вероятность подобного “паразитирования” очень вероятна. Конкурент просто обращается на специализированные хакерские форумы и находит исполнителя, который внедряет шпионский скрипт, отсылающий данные на указанный email.

Как воруют заказы

Вариантов шпионажа за заказами с сайта может быть много:

1. Взлом сайта и простое добавление еще одного email адреса в получатели письма-уведомления.
   Найти такого шпиона очень просто: нужно проверить скрипт отправки писем или настройки плагина отправки данных с формы. Если вы видите в получателе данных чужой email, вероятно, ваши заказы воруют.
2. Взлом сайта и более сложный инжект PHP кода в скрипты, который отправляет каждый второй или каждый третий оформленный заказ, чтобы вероятность обнаружения «слива» информации была ниже.
   Чтобы найти такого шпиона, требуется анализ исходящих писем по логу почтового сервера, а также анализ с помощью утилиты strace, которая покажет исходящие подключения в момент отработки скриптов сайта (бывает, что письмо отправляют по SMTP протоколу через внешний почтовый сервер или отсылается по HTTP на скрипт стороннего сайта, и в логах вашего хостинга это зафиксированно не будет, но в strace логах данные подключения будет видно).
3. Это может быть javascript-шпион, установленный в шаблоне. Скрипт обрабатывает нажатие кнопки отправки формы, собирает данные и отправляет их конкуренту или хакеру. Причем, в интернет-магазине это могут быть данные банковских карт покупателей или персональная информация посетителей.
   Для обнаружения подобного шпиона нужно устанавливать сниффер трафика и выполнять анализ трафика при оформлении заказа или покупки.
4. При взломе сервера может быть более сложная настройка почтового сервиса или дополнительного скрипта, который будет дублировать письма с форм хакеру.
5. Кроме того, возможен взлом почтового ящика менеджера или владельца сайта и два варианта шпионажа:

• Для email будет установлено правило пересылки всех писем на сторонний почтовый ящик хакера (конкурента).
• Будет выполняться периодическое подключение ко взломанному почтовому ящик по pop3 или imap протоколу и проверяться входящие письма. Важно отметить, что двухфакторная аутентификация на почтовый ящик в данном случае не защитит информацию в нем от кражи и несанкционированного доступа, так как это делается в обход веб-интерфейса.

Поэтому регулярно меняйте пароли от почтового ящика, проверяйте правила и настройки email в веб-интерфейсе, чтобы вовремя обнаружить шпионаж.

Если проблема с воровством заказов уже имеет место быть, необходимо в первую очередь найти источник проникновения хакера, удалить все шпионские и хакерские скрипты, после чего надежно защитить сайт от повторного взлома. Если удалить только шпиона, он появится снова. Помните, что это не автоматический взлом ботом случайных сайтов, а целевой взлом именно вашего сайта. Вряд ли хакер так просто уйдет со взломанного сайта. Вероятнее всего при взломе он оставит несколько «закладок», чтобы сохранить контроль над взломанным сайтом и размещать на нем вредоносные скрипты после их удаления (именно по этой причине нет смысла лечить сайт без установки защиты от повторного взлома).

Если вы уверены в том, что ваш коммерческий ресурс работает в штатном режиме, а доступы к нему есть только у вас и ваших сотрудников, которым вы доверяете, то следует задуматься о превентивных мерах защиты, чтобы заранее обезопасить сайт от взлома, вирусов и установки шпионов. Для получения гарантированного результата обращаться к специалистам с опытом превентивной защиты, которые выполнят не только настройку технических средств защиты, но и внедрят огранизационные меры (в т.ч. расскажут о технике безопасности), поскольку эффективно защита работает только в комплексе.