HOLEST E-COMMERCE DYNAMIC DOM GUARDIAN

Bezbednost elektronske trgovine se tradicionalno posmatra kroz prizmu zaštite podataka u tranzitu i njihovog čuvanja u bazama podataka. Sva rešenja (gde je primenjivo) u okviru HOLEST E-COMMERCE portfolija opremljena su naprednim mehanizmom zaštite koji adresira najranjiviju tačku svakog web sajta – sam klijentski pretraživač. Iako je transmisija kartičnih podataka apsolutno bezbedna onog trenutka kada se vrši preko PCI DSS sertifikovanog sistema, banke ili autorizovanog PSP-a, postavlja se kritično pitanje: Šta se dešava na samom interfejsu sajta pre nego što podaci uopšte krenu ka banci?

Nevidljiva pretnja: Bezbednosni vakuum koji banka/PSP ne vidi

Postoji uobičajena zabluda da je posedovanje SSL sertifikata i korišćenje sigurnog mrežnog prolaza banke dovoljno za potpunu zaštitu. Realnost je drugačija: taj segment sigurnosti ne tretira se od strane PCI DSS standarda niti od strane banaka, jer se njihova nadležnost završava na granicama njihove infrastrukture. Hakeri su svesni da je napad na PSP ili banku de-fakto nemoguć, pa resurse usmeravaju na najslabiju kariku – frontend web sajta trgovca.

Najopasnija manifestacija ovih napada su maliciozni XSS skriptovi, poznati kao Magecart napadi. Ovi napadi ne čekaju – oni rade direktno u memoriji pretraživača. Maliciozni kod bukvalno presreće DOM (Document Object Model) strukturu sajta i umetne lažnu kartičnu formu preko ili umesto prave. Ova forma je vizuelno savršena kopija, ali njome upravlja haker. Podaci se kradu u realnom vremenu, onog sekunda kada ih kupac unese, pre nego što uopšte dobiju šansu da budu poslati legitimnom procesoru plaćanja.

Zaštita od malicioznih dodataka i zaraženih uređaja

Važno je istaći da maliciozni kod ne mora uvek biti na samom serveru sajta. On može biti umetnut od strane malicioznog dodatka (extension/add-on) na samom računaru ili mobilnom uređaju korisnika. U ovom scenariju, vaš sajt je savršeno čist, ali zaraženi pretraživač kupca samostalno modifikuje izgled vaše stranice kako bi „podmetnuo“ lažna polja za krađu podataka.

HOLEST E-COMMERCE DYNAMIC DOM GUARDIAN prepoznaje ovakve anomalije bez obzira na izvor pretnje. Čak i ako napad dolazi iz zaraženog pretraživača kupca, naš sistem detektuje svaku neovlašćenu promenu DOM-a i momentalno blokira stranu. Time garantujemo da će kartični podaci kupca ostati sigurni, čak i ako je njegov lični uređaj kompromitovan.

Zašto je reputacija vašeg sajta na kocki?

Posledice ovakvih „skimming“ napada su fatalne jer su nevidljive do trenutka kada je šteta već učinjena:

• Kupac krivi trgovca jer su podaci ukradeni na njegovom domenu.
• Gubitak poverenja koji vodi do trajnog odlaska kupaca.
• Penalizacija od strane kartičnih sistema i stavljanje domena na globalne crne liste (Google Safe Browsing).
• Ni banka, ni PSP nisu odgovorni – samo vaša firma – krađa se dogodila pre nego što su njihovi sertifikovani sistemi uopšte mogli da stupe u funkciju.

Ključne funkcionalnosti DYNAMIC DOM GUARDIAN sistema

• Dinamička provera integriteta DOM-a: Sistem neprekidno proverava da li je struktura forme za plaćanje identična onoj koju je postavio trgovac.
• Heuristička detekcija lažnih formi: Prepoznavanje obrazaca ponašanja malicioznih skripti koje pokušavaju da „podmetnu“ (inject) strana polja u HTML strukturu.
• Odbrana od „Zero-day“ pretnji: Baza se redovno dopunjuje novim tipovima malicioznih kodova koji koriste najnovije metode maskiranja.
• Automatska preventivna blokada: Pri bilo kakvoj sumnjivoj promeni u realnom vremenu, sistem blokira pristup strani, štiteći unos podataka pre nego što dođe do krađe.

Uz HOLEST rešenja, zatvarate bezbednosni krug tamo gde je najpotrebnije – direktno na ekranu vašeg korisnika.