Хакер взломал сайт интернет-магазина и вымогает деньги. Что делать?
«Помогите! Мой магазин взломали и вымогают деньги!» – сравнительно редкое обращение, поступающее в нашу компанию, на фоне других проблем безопасности, с которыми приходят владельцы интернет-магазинов. В то же время такие запросы имеют место быть, и в последнее время мы получаем их все чаще, в связи с чем и решили написать небольшую инструкцию, как действовать владельцу e-commerce проекта, если на его сайте закрепился хакер.
Взлом сайта с целью шантажа всегда намного «болезненнее» по сравнению с другими нечестными способами монетизации атакованных веб-проектов, когда хакер не выходит с владельцем сайта на связь, а только удаленно и обезличенно монетизирует или эксплуатирует его интернет-магазин – рассылает спам, ворует трафик, редиректит мобильных пользователей на платные подписки и пр.
В последних случаях хозяин онлайн-магазина испытывает ненависть к злоумышленнику и огромное желание наказать хакера по закону. В случае с вымогательством владелец сайта испытывает страх, ведь он сталкивается с настоящим шантажистом, нередко «серийным», который умеет грамотно надавить на слабые места, запугать свою жертву и заставить пойти у него на поводу – откупиться.
Очевидно, что для злоумышленника интернет-магазин – лакомый кусок пирога, ведь это не просто сайт, а целый бизнес, владелец которого готов на многое, лишь бы сохранить свой ресурс в рабочем состоянии.
Шантажист атакует
На связь с жертвой злоумышленник выходит сам, отыскав контакты владельца на сайте или в соцсетях. Действовать хакер будет, естественно, с подставных адресов или профилей. Иногда злоумышленники просто ставят на сайт «заглушку» со своим контактными данными. Вместо главной страницы сайта открывается такая печальная картина:
Рис.1 «Заглушка»
Первое сообщение от злоумышленника может выглядеть вполне дружелюбно, якобы он обнаружил критическую уязвимость на сайте и готов за небольшое вознаграждение избавить нерасторопного владельца сайта от ненужных проблем.
Это первый сигнал, что с безопасностью сайта что-то не так, но его владелец вместо того, чтобы сразу обратиться за квалифицированной помощью, пробует решить проблему своими силами: меняет пароли от CMS, FTP, панели управления хостингом, откатывает сайт до более ранней версии, когда проблемы безопасности вроде никакой и не было. В сложившейся ситуации данные действия уже не достаточные для решения проблемы.
Злоумышленник тем временем терпеливо наблюдает за происходящим, и когда все маневры на стороне владельца магазина завершены, снова пишет ему письмо о том, что на сайте присутствует уязвимость, что он по-прежнему сохраняет контроль над ресурсом и готов помочь.
Отмахнуться от надоедливого попрошайки второй раз получится едва ли. Хакер будет действовать более настойчиво, и для демонстрации своего контроля над магазином внесет какие-то изменения на его страницах – поменяет/удалит изображения, добавит надпись, а иногда просто удалит всю базу данных. И если владелец сайта продолжит отказываться от навязчивой «помощи», игра в «робин гуда» резко прекратиться, и хакер довольно жестко выдвинет четкие требования – «вы платите мне деньги, и в этом случае я оставляю ваш сайт «в живых», иначе…»
Рис.2 «Переписка с вымогателем»
(предоставлена клиентом нашей компании)
Взволнованный владелец сайта часто готов заплатить вымогателю указанную сумму. Делать этого по объективным причинам ни в коем случае нельзя. Во-первых, нет гарантии того, что человек, который является шантажистом, поступит с вами честно - не уничтожит сайт после получения денег или не попросит еще больше? Ведь вы имеете дело с обычным хулиганом, только действия которого переместились из офлайна в онлайн, но внутри – он все та же беспринципная трусливая натура, «старый добрый» аналог которого в прошлом размахивал ножом в подворотне, вымогая у прохожих телефон или кошелек.
Ну, а, во-вторых, компетенции такого «веб-мастера» тоже под большим вопросом – какие уязвимости он закроет и каким образом это произойдет – об этом стоит только догадываться. В конце концов, знаний и навыков заработать честным путем у этого «веб-мастера» не хватило.
Что делать, если сайт-взломан и хакер требует денег
Если вы попали в такую ситуацию, но все-таки не уверены, серьезны ли намерения вымогателя или он просто пытается вас запугать – не рискуйте. Обратитесь сразу к профессиональной команде по лечению и защите сайтов от взлома – к компании с проверенной репутацией. Пусть специалисты оперативно проведут аудит и установят эффективную защиту от взлома. Не ищите помощи на форумах, не занимайтесь самолечением. Непрофессиональная, дилетантская помощь только усугубит ситуацию. Помните, «плохой парень» на другом конце провода готов не моргнув глазом уничтожить ваш веб-проект. Кроме того, чем раньше вы обратитесь за помощью, тем больше информации о действиях злоумышленника сохранится в логах.
Если хакер «серьезен» в своих намерениях и дал вам это понять, постарайтесь затянуть с ним беседу, пока прорабатываете варианты спасения своего сайта – интересуйтесь деталями уязвимостей, которые он предлагает вам закрыть. Параллельно проверьте, не забыли ли вы сохранить актуальные резервные копии сайта локально, не на хостинге. Ведь вы точно не знаете, как давно и насколько глубоко хакер закрепился на вашем сайте.
Продолжая общаться с хакером в ожидании скорой помощи, спросите, как вы узнаете, что злоумышленник действительно выполнил работы, а не просто освободил ресурс из заложников. Поинтересуйтесь вариантами перевода денежного «вознаграждения». Опять же попробуйте растянуть время, сославшись на то, что сейчас в наличии такой суммы нет, но в ближайшие часы вы обязательно ее переведете.
Постарайтесь фиксировать все изменения, которые делает хакер на сайте. Главная задача – собрать как можно больше информации о вымогателе и его действиях, чтобы передать ее специалистам по информационной безопасности для работы с сайтом и соответствующим компетентным органам для работы с правонарушителем.
Ну, и в заключении хотелось бы еще раз сказать, что заботиться о защите своего веб-проекта нужно заранее.
Как снизить риски взлома и заражения своего сайта
Для того чтобы минимизировать риски возникновения неприятных ситуаций, связанных со взломом своего веб-ресурса, необходимо следовать правилам комплексной безопасности.
Комплексная безопасность сайта состоит из двух важных компонентов: технических средств защиты и организационных мер.
Технические средства:
- проактивная защита сайта: WAF (Web Application Firewall) в CMS; плагины безопасности; внешний WAF, блокирующий «плохой» трафик, идущий на сайт;
- сервис защиты от DDOS;
- установка на сайт защиты («цементирование»).
Организационные меры:
- своевременное обновление ядра CMS и плагинов до последней доступной версии;
- безопасное сетевое подключение при работе с сайтом (VPN; через доверенные сети; мобильный интернет);
- безопасное рабочее место (использование коммерческого антивируса на компьютере, регулярные проверки);
- управление доступами: при работе с подрядчиками предоставление минимальных прав (необходимых для решения задачи) на минимальный срок; смена доступов сразу после завершения работ сторонними специалистами;
- работа с подрядчиками по договору (выбирать компании, а не фрилансеров);
- регулярная смена паролей, использование сложных паролей;
- переход с небезопасного FTP-подключения на более надёжное SFTP;
- регулярное резервное копирование (хранить копии локально помимо хостинга; хранить несколько копий; выполнять резервирование базы данных и файлов, проверять на тестовом сайте, что из резервной копии можно восстановить сайт и он работает);
- регулярный аудит безопасности у специалистов (перед публикацией сайта в сеть, после работы подрядчиков) и мониторинг на вирусы (проверка файлов и базы данных на хостинге сканером вредоносного кода AI-BOLIT; проверка страниц сайта веб-сканером Rescan.Pro), мониторинг доступности интернет-магазина и его бизнес-показателей.
Наиболее частые способы взлома сайтов
По опыту компании «Ревизиум», наиболее частые варианты взлома и заражения сайтов происходят одним из следующих способов (по степени «популярности»):
- Взлом через уязвимости в плагинах.
- Взлом из-за кражи, перехвата, подбора паролей от админ-панели сайта или FTP.
- Взлом по вине подрядчиков: недобросовестные подрядчики или неопытные.
В результате взлома сайтов злоумышленники чаще всего размещают рекламный и вирусный код, дорвеи, рассылают спам, хостят фишинговые страницы, делают дефейс, прибегают к шантажу владельцев интернет-магазинов.
Автор: Григорий Земсков, Руководитель компании «Ревизиум – лечение и защита сайтов» |