Sitio pirateado con una estafa de phishing por correo electrónico [cerrado]

Navega tus respuestas
2

Tenemos un sitio web para pequeñas empresas que ha sido comprometido. De alguna manera, están obteniendo los detalles del pedido de los clientes y contactándolos solicitando los detalles de su tarjeta de crédito. Hemos tenido a nuestro equipo web y una compañía de TI de terceros investigándolo y no podemos descubrir dónde está la brecha.

Parece que no hay acceso sospechoso en la base de datos, y ninguno de los códigos del sitio web parece haber sido alterado.

Tampoco hay nuevos usuarios administradores ni inicios de sesión inesperados de los perfiles de usuarios existentes en los registros. Hemos cambiado todas las contraseñas en las que podemos pensar, pero todavía parecen poder obtener los detalles del pedido. Este tipo tuvo el mismo problema en abril (exactamente igual, incluso el mismo nombre que usó Lucy Whetton) pero no ha publicado cuál fue la solución.

estafa de phishing de correo electrónico solicitando a los clientes detalles de la tarjeta

¿Alguien tiene alguna idea?

Por cierto, tenemos y estamos contactando a todos los clientes inmediatamente para decirles que no respondan a estos correos electrónicos de phishing.

    
pregunta PeteS 28.08.2015 - 21:09
fuente

3 respuestas

2

Si no puede encontrar el punto de entrada de los piratas informáticos y una "empresa de TI de terceros" tampoco lo puede encontrar, considere contratar a una empresa de seguridad profesional para investigar el ataque.

Este no es un foro apropiado para recomendaciones de productos o compañías, así que no pregunte específicamente "a quién" contratar.

Descubrí que las personas que asisten a conferencias de seguridad a menudo trabajan para firmas de seguridad acreditadas, por lo que podría comenzar sus búsquedas allí. Muchos lugares tienen conferencias regionales que podrían ser más adecuadas para ofrecerle asistencia local; hay conferencias nacionales, e incluso conferencias internacionales, todas las cuales darían acceso a muchos profesionales.

Otro enfoque es ponerse en contacto con la policía local. Si bien es probable que no tengan los recursos o la capacidad para investigar el hackeo directamente, pueden ponerlo en contacto con una agencia nacional de cumplimiento de la ley que podría tener más recursos; también podrían ofrecer los nombres de investigadores de seguridad acreditados que podrías contratar.

    
respondido por el John Deters 29.08.2015 - 00:19
fuente
2

Lo que me preocupa es que mencionas que había otro usuario afectado por un atacante que usa el mismo nombre " Lucy Whetton ".

¿Está por casualidad utilizando alguna solución estándar de sitio web de comercio electrónico (o una personalizada que se base en algún marco común)? ¿Ha aplicado las últimas actualizaciones disponibles?

Supongo que el grupo detrás de este seudónimo sabe de una falla de seguridad que afecta a la aplicación web que está utilizando, y está explorando la web para encontrar sitios web que aún utilizan una versión vulnerable.

En caso de duda, si ya tenía aplicadas las últimas actualizaciones disponibles, debe ponerse en contacto con el editor de software.

    
respondido por el WhiteWinterWolf 29.08.2015 - 09:50
fuente
0

Una de las cosas que quedan por hacer es buscar las fallas de seguridad conocidas en la versión XCart que tiene actualmente. Mencionó que ese es el administrador de comercio electrónico que está utilizando y que no lo actualizó a la última versión. Ahora, no estoy seguro de qué versión todavía utilizas, pero intenta hacer una búsqueda en Google para ver si hay algún exploit revelado para ella. Al echar un vistazo, encontré, por ejemplo, una vulnerabilidad de Inyección de SQL que bien podría ser la causa de la problema. En esos casos, no vería usuarios nuevos, código malicioso, etc., sino simplemente consultas SQL "legítimas" a su base de datos.

    
respondido por el Nicola Miotto 30.08.2015 - 10:05
fuente

Lea otras preguntas en las etiquetas

¿Qué impacto espera que tengan las actualizaciones forzadas de Windows 10 en sus pruebas de penetración? ¿Cómo funciona un autenticador de clave pública? (a diferencia de las firmas de clave pública)