AliExpress - uwaga na oszustów

27 listopada 2017, 15:05

Badacze z Check Point odkryli, że przestępcy mają nowy sposób na oszukiwanie kupujących prezenty za pośrednictwem popularnego portalu sprzedażowego AliExpress.

Po wykryciu luki, badacze z firmy Check Point natychmiast poinformowali AliExpress, który ze względu na bardzo poważne podejście do cyberbezpieczeństwa, podjął szybkie działania i naprawił je w ciągu dwóch dni od powiadomienia. Jest to bardzo godne pochwały i stanowi przykład dla innych portali tego typu.

Nowa luka umożliwiała przestępcom namierzanie użytkowników AliExpress, wysyłając im link do strony internetowej AliExpress zawierającej złośliwy kod JavaScript. Po otwarciu strony kod był uruchamiany w przeglądarce użytkownika, tym samym omijając ochronę AliExpress przed atakami z wykorzystaniem skryptów cross-site przy użyciu luki w zabezpieczeniach na stronie internetowej.

Teoretycznie cyberprzestępcy mogli zainicjować ten atak poprzez e-mailową kampanię phishingową, wykorzystując regularną podróż klienta (ang. customer journey) AliExpress, bez sygnalizowania użytkownikowi, że dzieje się coś niezwykłego lub niecodziennego. W związku z tym jest mało prawdopodobne, aby użytkownik w ogóle zauważył cokolwiek podejrzanego.

Posiadając ponad 100 milionów klientów i 23 miliardów dolarów przychodów na całym świecie, AliExpress, część grupy AliBaba, jest jednym z najpopularniejszych stron dedykowanych zakupom online.

Tagi: internet