В кредит алиэкспресс: Как купить товар в рассрочку на Алиэкспресс
Предотвращена угроза сезона покупок
Содержание
: AliExpress исправляет уязвимость, которая могла позволить фишинг кредитных карт
Опубликовано в неделю, посвященную Черной пятнице, исследователи безопасности раскрыли уязвимость в AliExpress.com, популярном онлайн-сервисе розничной торговли, принадлежащем Alibaba и пользующемся поддержкой более 100 миллионов клиентов по всему миру. На портале онлайн-покупок была обнаружена открытая уязвимость перенаправления, которая могла позволить злоумышленникам отображать поддельный купон, предназначенный для фишинга конфиденциальной информации от просматривавших его покупателей. AliExpress принял меры и исправил ошибку в течение двух дней после уведомления.
Ориентация на пользователей AliExpress путем отправки им ссылки на веб-страницу AliExpress, содержащую вредоносный код Javascript, код выполняется в веб-браузере пользователя. Использование открытой уязвимости перенаправления позволяет обойти защиту AliExpress от атак межсайтового скриптинга. На главном экране будет отображаться поддельное всплывающее предложение купона с просьбой предоставить данные кредитной карты. Злоумышленники контролируют это поддельное всплывающее окно, и любые предоставленные данные кредитной карты будут отправлены непосредственно злоумышленникам, а не сайту онлайн-покупок.
Исследователи безопасности, разработавшие метод эксплойта для этой уязвимости, отметили, что AliExpress использует только простой метод для предотвращения таких атак. Этот метод включает проверку заголовка referer запроса. Если реферер не был установлен или был неправильным, запрос был бы отклонен сервером. Реферер – это HTTP-заголовок, определяющий URL-адрес веб-страницы, с которой был запрошен запрос.
Чтобы обойти метод AliExrpress, исследователи отправили вредоносную ссылку с утвержденного и надежного URL-адреса AliExpress. Чтобы это было успешным, исследователи искали ссылки на AliExpress, которые перенаправляют на вторую ссылку на AliExpress, которую можно заменить вредоносной ссылкой. Ссылку, выбранную исследователями, укоротили, чтобы она не выглядела подозрительной. Клиенты, которые нажимают на ссылку, будут отправлены на экран входа в систему AliExpress, который впоследствии внедрит JavaScript на страницу и выдаст поддельный купон.
Защита от фишинговых атак
Ожидается, что в преддверии сезона покупок злоумышленники применят свои тактики фишинга, чтобы воспользоваться праздничной суматохой. Если вы подозреваете, что стали жертвой фишингового мошенничества, немедленно измените пароли и PIN-коды во всех своих учетных записях.
Вот другие советы о том, как обнаружить и избежать фишинга:
- Добавить в закладки торговые сайты. Избегайте использования поисковых систем, чтобы найти хорошие предложения. Ограничение поиска надежными и защищенными торговыми сайтами может снизить вероятность того, что вы попадете на поддельный сайт.
- Всегда проверяйте гиперссылки. Чтобы проверить легитимность URL-адреса, наведите курсор на встроенную ссылку, прежде чем щелкнуть ее.
- Поддельные электронные письма обычно содержат стандартное приветствие. Адрес электронной почты пользователя также можно использовать вместо того, чтобы напрямую обращаться к получателю по его/ее имени, и это красный флаг.
- Следите за плохой грамматикой или сомнительной орфографией. Легальные электронные письма не содержат вопиющих ошибок.
- Распознавать небрежно оформленные электронные письма. Неправильные или неуместные логотипы и макеты являются признаком того, что сообщение не из надежного источника.
- Остерегайтесь веб-сайтов, которые запрашивают ваш пароль. Никогда не передавайте пароли или конфиденциальную информацию ненадежным или сторонним сайтам.
- Держитесь подальше от электронных писем или сайтов, требующих срочных действий. Некоторые сообщения будут содержать отчаянные призывы к действию, такие как переход по определенным ссылкам или раскрытие личной информации.
- Остерегайтесь предложений, которые слишком хороши, чтобы быть правдой. Есть поговорка: «Если что-то кажется слишком хорошим, чтобы быть правдой, скорее всего, так оно и есть», и она применима к онлайн-покупкам. Будьте осторожны с товарами, предлагаемыми по очень низким ценам.
- Регулярно проверяйте выписки по карте. Следите за несанкционированными транзакциями.
СКРЫТЬ
Нравится? Добавьте эту инфографику на свой сайт:
1. Нажмите на поле ниже. 2. Нажмите Ctrl+A, чтобы выбрать все. 3. Нажмите Ctrl+C, чтобы скопировать. 4. Вставьте код на свою страницу (Ctrl+V).
Изображение будет такого же размера, как вы видите выше.
Опубликовано в Уязвимости и эксплойты
Related Posts
- Злоупотребление Argo CD, Helm и Artifact Hub: анализ атак цепочки поставок в облачных приложениях
- Тенденции и изменения на подпольном рынке эксплойтов N-Day
- Кошмары управления исправлениями: статус Quo and Beyond
- Выявление слабых частей цепочки поставок
- Список исправлений: Adobe, Citrix, Intel и vBulletin Vulns
Последние публикации
- Будущее программ-вымогателей
- Прогнозы Trend Micro Security на 2023 год: Будущее/Время
- Программы-вымогатели в центре внимания: Куба Через снижение рисков безопасности
Рекомендуем
Интернет вещей
Виртуализация и облако
Ransomware
Securing Home Routers
Uncovering Security Weak Spots in Industry 4. 0 CNC Machines
Analyzing the Risks of Using Environment Variables for Serverless Management
The Future of Ransomware
Устройства Alexa и Google Home могут использоваться для фишинга и прослушивания пользователей, исследования показывают
Прогнозы безопасности Trend Micro на 2023 год: будущее/время
Предприятия и организации сталкиваются с переходным периодом и периодом неопределенности — злоумышленники будут сидеть на корточках и повторно использовать проверенные инструменты и методы.
Посмотреть прогнозы безопасности Trend Micro на 2023 год
Отчет о кибербезопасности за полугодие 2022 года
В нашем полугодовом обзоре безопасности мы выделяем наиболее значимые истории безопасности, которые оказали значительное влияние на ландшафт угроз в первой половине 2022 года в условиях рассредоточенного кадрового резерва и расширяющейся поверхности цифровых атак.
Посмотреть отчет
Alipay и Klarna позволяют потребителям «купить сейчас, заплатить потом» на AliExpress
AliExpress добавляет лидирующую на рынке опцию Klarna «Оплатить позже» через ведущие мировые платежные платформы Alipay и Adyen
Новости предоставлены
Klarna Bank AB (обл.)
10 мая 2019 г., 02:47 по восточному времени
СТОКГОЛЬМ, 10 мая 2019 г. /PRNewswire/ — Три ведущие мировые компании в области платежей, Alipay, Adyen и Klarna, сегодня объявили о партнерстве, которое позволит покупателям AliExpress, глобальной розничной онлайн-площадки под управлением Alibaba Group, использовать популярную платежную систему Klarna. Решение «Оплата позже».
Решение Klarna «Оплата позже» включено Adyen, платежным провайдером AliExpress. Это позволит покупателям AliExpress в Германии, Нидерландах, Австрии и Финляндии решать, когда и как они хотят платить. Это первый этап партнерства с целью выхода на дополнительные рынки в течение года.
Майкл Роуз, коммерческий директор Klarna, говорит: «Мы рады сотрудничеству с мировым лидером и лидером в области электронной коммерции, таким как AliExpress, и вместе с Adyen даем покупателям более широкий выбор способов оплаты на кассе. В Klarna мы уделяем неустанное внимание покупательскому опыту, и наша цель — помочь нашим продавцам добиться роста и повысить удовлетворенность и лояльность клиентов за счет превосходного опыта. получить свои товары до того, как они заплатят, AliExpress сможет управлять потребительскими предпочтениями, увеличивать среднюю стоимость заказа и снижать количество брошенных корзин.Это только первый этап этого партнерства, и мы с нетерпением ждем его расширения на дополнительные рынки с Alipay, Adyen и Алиэкспресс очень скоро».
Чеер Чжан, руководитель отдела глобальных потребительских и рыночных операций AliExpress, говорит: «В AliExpress мы постоянно ищем новые и инновационные способы улучшить качество покупок для большого числа наших потребителей, и в Кларне мы нашли партнера-единомышленника. Позже Klarna’s Pay зарекомендовала себя как одна из наиболее предпочтительных платежных альтернатив на некоторых европейских рынках, пользующаяся большим спросом у потребителей, и мы рады добавить эту популярную опцию в нашу кассу на нескольких рынках. Мы вместе с Adyen и Klarna надеются выйти на новые рынки в будущем».
Отныне покупатели AliExpress могут выбрать «Оплатить позже» на кассе и оплатить товар после доставки. Эта альтернатива оплаты позволяет им попробовать товары дома и сохранить то, что они любят, прежде чем расстаться с деньгами. После того, как покупатель использует Klarna в первый раз, все последующие покупки требуют только одного клика. Этот удобный потребительский опыт направлен на предоставление потребителям контроля, ясности и гибкости и является ключевой причиной того, почему вариант оплаты «Оплата позже» от Klarna стал очень популярным и теперь пользуется большим предпочтением среди потребителей в Европе.
For more information
AliExpress
Haili Cao, Senior Communications Manager
[email protected]
+86-13581903802
Klarna
Johanna Nyman
Senior Communications Manager
[email protected]
+46(0 )72-855-83-29
Об AliExpress
Основанная в 2010 году, AliExpress (www. aliexpress.com) представляет собой глобальную розничную онлайн-площадку под управлением Alibaba Group, которая позволяет потребителям со всего мира покупать напрямую у производителей и дистрибьюторов в Китай и охватывает более 220 стран и регионов на 18 языках. Основными потребительскими рынками, на которых AliExpress популярен, являются Россия, Испания, Франция, США, Израиль, Бразилия и Польша.
О Klarna
Klarna является одним из ведущих мировых поставщиков платежных услуг и недавно получившим лицензию банком, который хочет революционизировать процесс оплаты как для покупателей, так и для продавцов. Основанная в Стокгольме, Швеция, в 2005 году, мы даем онлайн-покупателям возможность платить сейчас, платить позже или с течением времени, предлагая простой, безопасный и удобный процесс оформления заказа. Klarna сейчас работает со 130 000 торговцами. Klarna насчитывает 2500 сотрудников и работает в 14 странах.
Об Адиен
Adyen — это платежная платформа, которую выбирают многие ведущие мировые компании, предоставляющая современную комплексную инфраструктуру, напрямую подключающуюся к Visa, Mastercard и предпочтительным для потребителей способам оплаты по всему миру.