взломБД клиентов взломанного онлайн-магазинаскриптом, контролирующим изменения файлов.А третий пункт, в принципе, можно не братьв оборот, так как он имеет непосредственноеотношение к движку самого интернет-магазинаи заслуживает отдельного внимания.В последующей части статьи я еще упомяну обантифрод‐системах и методах их реализации.Сейчас нужно запомнить одну важную деталь:кто предупрежден — тот вооружен.Кроме того, я бы советовал сделать пару «уловок»для атакующих. Это может быть инсценировкауязвимости скрипта (особенно прикольновыглядит инсценировка sql-инъекции =)),наличие левого конфига, содержащего в себетакой же левый аккаунт к базе и много чего еще :).Мне не часто встречались такие «уловки», но,поверь, иногда они могут помочь тебе больше,чем многое из описанного выше. Главное, чтобывсе выглядело максимально правдоподобно.Здесь, как и в предыдущем случае, от тебятребуется только смекалка, фантазия и сообразительность.— возврат товара в онлайн-магазин или нааукцион, которые продают нематериальныйпродукт (информацию, музыку и т. д.). Как правило,в таком случае после совершения покупки«клиент» требует вернуть его средства, аргументируясвои действия ненадлежащим качествомпродукта. Надо заметить, что на многих руаукционахтакая тема прокатывала достаточнодолго, развязывая руки мошенникам.Еще одна «замечательная» схема былаза выставляемые лоты (многие в последствиитак и сделали). А в интернет-шопе стоит указывать,что товар возврату не подлежит, кромеслучаев, предусмотренных Законом РФ «Озащите прав потребителей», если официальномагазин зарегистрирован в России. Неплохобыло бы иметь и юриста, специализирующегосяна данных вопросах, но это уже отдельныйразговор.Едем дальше. Следующая угроза — покупкатовара в твоем интернет-магазине по ворованнымкредитным картам. Эта опасность являетсяодной из наиболее серьезных, и ей следуетуделить особое внимание. Дело в том, что такие«Платежка вынуждена былаудовлетворять требования «незадачливогоклиента», так как имеладоговоренность с аукционом»Угроза мошенничестваЕсли ты думаешь, что угроза взлома являетсяосновной опасностью для твоего бизнеса, тоглубоко ошибаешься. Как известно, в Россиивсегда было множество аферистов всех мастей,и если ты полагаешь, что поле их деятельности— городской рынок, то ты явно отстал отжизни. Сеть давно объединяет фродеров (отанглийского слова «fraud» — «мошенничество»,«frauder» — «мошенник») различныхнаправлений. Учитывая принцип работы твоегоинтернет-магазина (отсылка товаров в страныСНГ, оплата по кредитным картам), можновыделить несколько категорий нежелательных«клиентов». Приводить список я не буду, так какполный перечь составить попросту невозможно.Поэтому перейдем к рассмотрению обманныхсхем и методов защиты от них.Первое, с чем сталкивается, пожалуй, каждыйкрупный финансовый проект, — это клиентымошенники.На моей памяти было несколькоуспешных фрод‐схем. Самый простой примерпридумана специально для одной из крупныхроссийских платежных систем, сотрудничающейс одним из аукционов (название платежкиуказывать не в моей компетенции, да и, честноговоря, я не помню). Суть ее заключалась втом, что человек заводил себе два аккаунта вплатежке, затем создавал на аукционе лот определеннойстоимости и сам у себя его покупал.После этого он писал жалобу администрацииплатежной системы о том, что товар, купленныйим на аукционе, выслан ему не был, и просилвернуть его деньги. Платежка вынуждена былаудовлетворять требования «незадачливогоклиента», так как имела договоренность с аукционом.В результате мошенник получал сумму,равную стоимости его лота. Кстати, одного изтаких предприимчивых людей примерно годназад приняли сотрудники соответствующихструктур и отправили в места не столь отдаленные,так что делай выводы. Но, на самом деле,такие ситуации можно предупреждать.Аукционам необходимо снять ответственностьпокупки создают тебе проблемы как с банками/ платежными системами, так и с клиентами,что негативно сказывается на репутации твоегошопа (а значит, и на прибыли / количестве продаж).Если твой магазин принимает карточкивсех ведущих международных платежныхсистем (Visa/ MasterCard / Discovery / AmericanExpress), то, скорее всего, «вбивать» в твоеммагазе будут кредитки, стыренные с соседнегоамерского шопа.Конечно, существуют различные антифрод‐системы,сравнивающие введенные данные: местожительства и географическое положение IP,локальное время, язык браузера и т. д., но всеони несовершенны. Сам процесс выглядитследующим образом: берется кредитка (точнее,информация, содержащая номер карточки,cvv-код, срок окончания действия карты, ФИОкардхолдера, его место жительства и т. п.); выбираетсясокс, находящийся там же, где проживаеткардхолдер, после чего карта вбивается вформу оплаты в твоем магазине. Если ты будешь/ 090xàêåð 02 / 98 / 07
взломУязвимость в печально известном PerlShop'еиспользовать что‐либо наподобие checkoutдля проверки валидности вбитых картонок, тосможешь быть уверенным в том, что такая картаи такой кардхолдер действительно существуют.Но гарантий, что данные о кредитке вбилименно ее владелец, нет.Именно после таких махинаций большинствозарубежных интернет-шопов попросту не шлютсвои товары в страны СНГ. Но и это их не спасает.Дело в том, что предприимчивые русскиевербуют дропов — людей, готовых принять товарна свой адрес в США или в странах Западной Европы.Вербовка происходит по‐разному: кто‐тосоглашается сам и работает под определенныйпроцент от стоимости товара, а кого‐то обманывают,например, под видом благотворительныхакций. В таком случае схема повторяется:вбивается карточка, указывается адрес дропа всоответствующей стране и заказ успешно оформляется.Можно ли этому как‐то противостоять?Можно, сейчас я расскажу тебе как.Первый способ — прозвон. Его суть заключаетсяв том, что клиент должен позвонить всаппорт магазина и подтвердить свой заказ,назвав данные, указанные им на сайте шопа.Многие зарубежные магазины и финансовыеорганизации успешно практикуют этот вид защитыот мошенников, однако и здесь есть слабыестороны. Проблема заключается в том, чтозачастую прозвон может совершить и сам дропили человек, сотрудничающий с нежелательными«клиентами» и прекрасно владеющийнужным иностранным языком. Буржуи не зряиногда требуют указания mmn (mother midlename — имя матери), dob (date of birth — датарождения) или ssn (индивидуальный номерстраховки), но и это не всегда их спасает.Поэтому была создана еще одна преграда напути мошенников — сканы документов. Если тыинтересуешься оружием, то мог заметить, чтовсе российские оружейные интернет-магазиныпри оформлении покупки требуют обязательнойвысылки ксерокопий паспорта и лицензиина приобретение того или иного вида оружия.По такой же схеме не так давно стали работатьxàêåð 02 / 98 / 07Продажа базы по данным украденных паспортови крупные интернет-магазины. Причем зачастуюони просят отослать им сканированнуюкредитную карточку, данные которой быливбиты на сайте. Про паспорта и водительскиеудостоверения я вообще молчу. Иногда нужныдаже сканы денег.Надо отметить, что этот способ является достаточноэффективным, но и он не дает стопроцентнойгарантии безопасности. Злоумышленникимогут использовать чужие паспортные данныеили поддельные сканы документов / кредитныхкарт. Поэтому необходима жесткая проверкавсех присылаемых копий документов. Кстати,абсолютно легально можно приобрести базуданных краденых / утерянных паспортов РФ ипо ней проверять документы, присланные клиентами,но этот вариант не панацея от всех бед.Любому серьезному финансовому проектунужна мощная антифрод‐система. Недавноко мне обратились люди из достаточносерьезной компании с просьбой написанияподобного рода системы. Они были готовызаплатить весьма приличную сумму за еереализацию. Но, как ты понимаешь, созданиеидеального антифрод-барьера — скореемечта, нежели реальность. Однако это отнюдьне говорит о бесполезности существующихсистем. Напротив, по статистике, среднийантифрод позволяет предотвратить до 40%попыток мошенничества, что не так уж и мало.Как бы там ни было, все имеющиеся способызащиты необходимо комбинировать междусобой — только в этом случае ты получишьнаиболее сильную систему верификации клиентов.И запомни простое правило: никогданельзя недооценивать противника. Следуяэтим нехитрым инструкциям, возможно, тысумеешь сохранить свой сетевой бизнес вцелости и сохранности.Post ScriptumВ последнее время многие фродеры полностьюотказались от «работы» с российскими интернет-магазинами.Причиной тому послужилаповышенная активность правоохранительныхорганов в ру-зоне. Однако все же никогда непренебрегай защитой своего ресурса. Помнипословицу: скупой платит дважды — не пытайсясэкономить на антифроде или специалистахпо информационной безопасности, это выйдеттебе еще дороже. Конечно, в одной статье трудноописать все возможные угрозы и методы защитыот них. Я только хочу, чтобы ты понял одно: угрозыбыли, есть и будут. z/ 091