Многие из тех, кто хоть раз заказывал товар через онлайн-платформу или отправлял посылку, сталкивались с одной и той же ситуацией: спустя пару часов после оформления заказа раздается звонок. На другом конце провода якобы сотрудник службы доставки уверенно говорит, что нужно назвать код подтверждения, уточнить адрес или продиктовать номер заказа.
О том, как мошенники получают доступ к базам данных с персональной информацией, «Российской газете» рассказал эксперт в сфере IT и программирования, руководитель команды разработки X5 Tech Салават Шакиров.
Иногда звонят под видом почтового оператора, даже если посылка еще не дошла и трек-номер только появился в системе. «Это закономерность, которая объясняется техническими механизмами утечек данных и особенностями того, как устроена логистика и IT-инфраструктура онлайн-торговли.
Современный маркетплейс — это сложная экосистема, где данные покупателя проходят через десятки звеньев: продавца, фулфилмент-центр, службу доставки, кол-центр, сторонние интеграции для уведомлений и оплаты.
На каждом этапе к информации имеют доступ разные подрядчики и их сотрудники», — пояснил Салават Шакиров. Поэтому, подчеркивает эксперт, в любой момент данные могут попасть в руки злоумышленников — через уязвимости в CRM, незащищенные API, слитые базы или даже через банальный «пробив» от инсайдера.
После этого номер телефона и детали заказа попадают в теневые базы, где их автоматически обрабатывают мошенники. Поэтому звонки происходят почти синхронно с отправкой посылки: система фиксирует событие и моментально выдает контакт для атаки.
«Это следствие небрежного обращения с событиями и метаданными. Многие компании не ограничивают видимость заказов по принципу минимально необходимого доступа, а токены API и вебхуки часто настраиваются без шифрования или с общими ключами для подрядчиков.
Любая уязвимость в этой цепочке, включая открытые продовые среды (прод — это рабочая, основная среда, где обрабатываются реальные данные), дает злоумышленникам возможность перехватывать запросы и формировать собственные уведомления.
Иногда такие утечки происходят из-за дыр в системе — неправильно настроенных прав, слабой аутентификации или отсутствия мониторинга активности», — рассказал эксперт. С точки зрения кибербезопасности это классический пример вишинга — голосовой социальной инженерии, которая опирается на реальные факты из базы, чтобы вызвать доверие.
«Когда злоумышленник знает, что вы действительно ждете доставку, он звучит убедительно. Пользователь, не подозревая, передает код, который открывает доступ к личному кабинету или банковским операциям. Поэтому корень проблемы не только в преступниках, но и в организации цифровых процессов.
Без четких границ доступа и защиты событийной информации даже самая технологичная система становится источником данных для преступных схем», — заключил эксперт.
Источник: Российская газета