Key Takeaways
- Attackers baru-baru ini berhasil memasang skimmer kartu digital di lebih dari 500 situs web.
- Tanggung jawab perlindungan terletak pada pemilik situs web.
-
Pakar keamanan menyarankan berbagai cara yang dapat digunakan pengguna untuk melindungi diri mereka sendiri.
Alih-alih mengorbankan akun individu, peretas telah mengubah taktik dan sekarang mengejar induknya, memasang skimmer kartu di toko web online.
Pada 8 Februari 2022, peneliti keamanan membagikan detail tentang pelanggaran massal ke lebih dari 500 toko online yang menjalankan platform e-niaga Magento. Para penyerang memuat skimmer kartu pembayaran di semua toko, yang dikenal sebagai serangan magecart. Meski perbaikannya ada di toko online, targetnya adalah pengguna akhir yang menurut para ahli juga harus lebih waspada saat bertransaksi online.
"[Serangan] baru-baru ini harus menjadi pengingat yang nyata bagi semua pelanggan online [bahwa] mereka memiliki kewajiban untuk melindungi diri mereka sendiri selain apa yang Anda harapkan dari penyedia toko online Anda, " Ron Bradley, VP of Shared Assessments, memberi tahu Lifewire melalui email.
Skimming Digital
Gustavo Palazolo, Staff Threat Research Engineer di Netskope, mengatakan kepada Lifewire melalui email bahwa Magento adalah salah satu platform e-niaga populer yang menjadi sasaran penyerang karena banyak toko menjalankan perangkat lunak yang sudah ketinggalan zaman, sementara yang lain menggunakan plugin pihak ketiga yang terkadang mengandung kelemahan keamanan yang tidak ditambal yang memungkinkan penyerang untuk menanamkan skimmer digital.
Dia mengatakan meskipun tidak mudah untuk memverifikasi apakah situs web tempat Anda berbelanja telah menjadi target kampanye magecart, ada beberapa langkah yang dapat diikuti pengguna untuk memperkuat keamanan online mereka.
Palazolo merekomendasikan penggunaan ekstensi browser untuk memblokir skrip yang tidak dikenal, seperti NoScript untuk Firefox. Dia juga menganjurkan menggunakan solusi antivirus yang menyediakan ekstensi browser karena mereka dapat memindai situs web yang dikunjungi dan memblokir skrip berbahaya.
Dia menambahkan bahwa Adobe tidak lagi mendukung Magento v1, tetapi karena popularitasnya, ada beberapa patch keamanan yang disediakan komunitas untuk membantu mengamankan versi ini. Namun, ia menyarankan agar pengguna menghindari bertransaksi di situs web yang didukung oleh platform yang tidak didukung ini.
Untuk memverifikasi apakah situs web yang Anda belanjakan menjalankan Magento v2 terbaru, Palazolo menunjuk ke Wappalyzer untuk Chrome dan Firefox, yang dapat mendeteksi teknologi di balik halaman web.
"Jika menginstal ekstensi browser bukanlah pilihan, alat online dapat menjadi pilihan yang baik untuk memverifikasi detail tentang Magento, seperti MageReport, yang dapat menunjukkan tidak hanya versi tetapi juga informasi tentang kerentanan keamanan yang ditemukan di situs web yang akan Anda beli," saran Palazolo.
Jadilah Firewall Anda Sendiri
Bradley mengatakan pembeli online tidak harus menjadi ahli keamanan siber untuk melindungi diri mereka sendiri, tetapi harus memiliki mentalitas pertahanan yang mendalam untuk menghindari menjadi korban.
"Keamanan siber seperti bawang [terdiri] dari beberapa lapisan. Penting untuk menentukan batas Anda dan menerapkan langkah-langkah keamanan untuk melindungi diri Anda sendiri," kata Bradley. "Mulailah dengan bank atau penerbit kartu kredit Anda. Nyalakan semua peringatan yang Anda bisa, ke titik di mana itu mengganggu, dan Anda harus kembali dan menekannya."
Dia juga menyarankan untuk mengaktifkan otentikasi multi-faktor sedapat mungkin dan menganjurkan penggunaan kartu debit sambil memanfaatkan fasilitas pembekuan kredit, yang tidak memerlukan biaya apa pun, dan membantu melindungi pelanggan dari pencurian identitas.
Palazolo mengatakan pengguna harus menggunakan kemampuan untuk menghasilkan nomor kartu digital unik dan sementara untuk pembelian online. Bahkan jika situs web terinfeksi, opsi ini akan memastikan bahwa detail kartu yang dicuri tidak berguna bagi penyerang.
Mata Terbuka Lebar
Erich Kron, advokat kesadaran keamanan di KnowBe4, menyarankan agar pembeli meninjau kartu kredit dan laporan mutasi bank mereka secara teratur, menjaga mata mereka tetap waspada terhadap tagihan atau pembelian yang tidak biasa.
Terlalu sering, tagihan hanya ditambahkan ke saldo kartu kredit tanpa disadari oleh korban. Bahkan tagihan kecil, satu atau dua dolar sekaligus, yang dapat digunakan untuk mengonfirmasi kepada penjahat dunia maya bahwa kartu tersebut masih ada valid, bisa jadi itu tandanya kartu tersebut telah disusupi,” Kron membagikan kepada Lifewire melalui email.
"Penting untuk menentukan perimeter Anda dan menerapkan langkah-langkah keamanan untuk melindungi diri Anda sendiri."
Dia juga menyarankan agar pengguna memahami perlindungan yang ditawarkan oleh kartu kredit mereka dan mengetahui semua opsi yang tersedia bagi mereka untuk segera melaporkan tagihan yang mencurigakan.
Namun, pada akhirnya, pemilik situs web e-niaga bertanggung jawab untuk memastikan mereka menjalankan kapal yang aman, kata Kunal Modasiya, direktur senior manajemen produk di perusahaan keamanan siber PerimeterX. Dia mengatakan karena tindakan konsumen terbatas, pemilik situs web e-niaga harus menggunakan solusi yang memberikan visibilitas berkelanjutan ke tindakan yang terjadi di situs web mereka.
"Perusahaan e-niaga harus menggunakan solusi pertahanan berlapis yang membantu melindungi akun pengguna dan informasi identitas di mana pun selama perjalanan digital mereka."
