Sito hack con email phishing truffa [chiuso]

2

Abbiamo un sito web di piccole imprese che è stato compromesso. In qualche modo stanno ottenendo i dettagli dell'ordine dei clienti e contattandoli richiedendo i dettagli della loro carta di credito. Abbiamo consultato il nostro team Web e un'azienda IT di terze parti e non siamo in grado di scoprire dove si trova la violazione.

Sembra che non ci siano accessi sospetti sul database e nessuno del codice del sito web sembra essere stato alterato.

Non ci sono anche nuovi utenti amministratori e accessi non inaspettati dai profili utente esistenti nei log. Abbiamo cambiato tutte le password che possiamo pensare, ma sembrano ancora in grado di ottenere i dettagli dell'ordine. Questo ragazzo ha avuto lo stesso problema in aprile (esattamente lo stesso, anche con lo stesso nome usato Lucy Whetton) ma non ha pubblicato quale fosse la soluzione.

Invia email per frode di phishing chiedendo ai clienti i dettagli della carta

Qualcuno ha qualche idea?

A proposito, abbiamo e stiamo contattando immediatamente tutti i clienti per dire loro di non rispondere a queste e-mail di phishing.

    
posta PeteS 28.08.2015 - 21:09
fonte

3 risposte

2

Se non riesci a trovare il punto di ingresso degli hacker e una "società IT di terze parti" non riesce a trovarla, prendi in considerazione l'assunzione di una società di sicurezza professionale per indagare sull'attacco.

Questo non è un forum appropriato per i consigli di prodotti o aziende, quindi per favore non chiedere specificamente "chi" di assumere.

Ho scoperto che le persone che partecipano alle conferenze sulla sicurezza lavorano spesso per ditte di sicurezza affidabili, quindi è possibile iniziare le ricerche lì. Molti posti hanno conferenze regionali che potrebbero essere più adatte per offrirti assistenza locale; ci sono conferenze nazionali e persino conferenze internazionali, che forniscono accesso a molti professionisti.

Un altro approccio è contattare le forze dell'ordine locali. Anche se probabilmente non avranno le risorse o la capacità di indagare direttamente sull'hack, potrebbero metterti in contatto con un'agenzia nazionale che potrebbe avere più risorse; potrebbero anche offrire i nomi di investigatori di sicurezza affidabili che potresti assumere.

    
risposta data 29.08.2015 - 00:19
fonte
2

Ciò che mi disturba è che hai menzionato che c'era un altro utente interessato da un utente malintenzionato che utilizza lo stesso nome " Lucy Whetton ".

Per caso, usi qualche soluzione di eCommerce standard ben nota (o una soluzione personalizzata basata su un framework comune)? Hai applicato gli ultimi aggiornamenti disponibili?

La mia ipotesi è che il gruppo dietro questo pseudonimo sia a conoscenza di un difetto di sicurezza che interessa l'applicazione Web che si sta utilizzando e sta effettuando la scansione del Web per trovare siti Web che utilizzano ancora una versione vulnerabile.

In caso di dubbio, se hai già applicato gli ultimi aggiornamenti disponibili, dovresti metterti in contatto con l'editor del software.

    
risposta data 29.08.2015 - 09:50
fonte
0

Una delle cose da fare sarebbe troppo cercare i difetti di sicurezza conosciuti sulla versione XCart che hai attualmente. Hai detto che è il gestore e-commerce che stai utilizzando e che non lo hai aggiornato alla versione più recente. Ora, non sono sicuro di quale versione usi ancora, ma provi a fare una ricerca su Google per vedere se ci sono degli exploit divulgati. Dando un'occhiata ho trovato, ad esempio, una vulnerabilità di SQL Injection che potrebbe essere la causa del problema. In questi casi non vedresti nuovi utenti, codice dannoso e così via, ma semplicemente query SQL "legittime" al tuo DB.

    
risposta data 30.08.2015 - 10:05
fonte

Leggi altre domande sui tag