Kako napadači kloniraju vašu stranicu za plaćanje i kradu transakcije

U digitalnom svijetu trgovine, gotovo svaka tvrtka danas prihvaća plaćanja putem interneta. Za kupce je online plaćanje jednostavno i praktično – nekoliko klikova, potvrda kartice i paket je na putu. Ali dok kupci uživaju u praktičnosti, trgovci se suočavaju s konstantnim prijetnjama sigurnosti. Jedna od tih prijetnji, koja je u zadnjih nekoliko godina postala sve sofisticiranija, jest pojava tzv. rogue checkout pages, odnosno lažnih stranica za plaćanje koje kloniraju izgled stvarne trgovine kako bi prevarile kupce i ukrale podatke o transakcijama.

Na prvi pogled, rogue checkout stranica može izgledati identično kao originalna, od logotipa i fonta, do polja za unos podataka o kartici. Iako izgleda legitimno, svaki podatak koji korisnik unese u takvu stranicu završava direktno u rukama napadača. Za običnog korisnika, koji nije posebno informiran o sigurnosnim detaljima weba, razlika gotovo da ne postoji. Za trgovca, posljedice mogu biti katastrofalne: financijski gubici, narušeno povjerenje kupaca i potencijalne pravne posljedice.

Prvi susret s rogue checkoutom – priča iz prakse

Zamislimo situaciju: Mala tvrtka prodaje ručno rađene torbe putem WooCommerce platforme. Vlasnica, Ana, ulaže puno truda u marketing i društvene mreže. Jednog dana primijeti neuobičajeno velik broj napuštenih košarica. Na prvi pogled, to se čini kao normalan problem – mnogi kupci odustaju u posljednjem koraku plaćanja.

Nekoliko tjedana kasnije, dobiva prijavu od kupca da je netko neovlašteno koristio njegovu karticu nakon pokušaja kupnje. Ispostavlja se da je netko izradio rogue checkout page koji je klonirao Aninu stranicu. Kupci koji su kliknuli na određeni oglas ili link na društvenim mrežama bili su preusmjereni na lažnu stranicu. Izgledalo je identično, ali kartični podaci nisu išli Aninom payment gatewayu, nego napadaču.

Financijski gubitak bio je ograničen jer su neki korisnici primijetili problem i odmah kontaktirali banku, ali reputacijska šteta i gubitak povjerenja u brend mogli su biti dugoročni. Ova priča ilustrira kako sofisticirani napadi mogu pogoditi i male trgovce, ne samo velike platforme.

Kako rogue checkout pages funkcioniraju

Da bismo razumjeli prijetnju, važno je znati na koji način napadači kreiraju i koriste lažne stranice. Rogue checkout stranice obično uključuju nekoliko ključnih elemenata:

1. Kloniranje dizajna trgovine – Napadači kopiraju izgled stvarne web trgovine. To uključuje logotipe, boje, fontove i raspored elemenata. Cilj je stvoriti dojam legitimnosti.

2. Preusmjeravanje korisnika – Korisnici dolaze na lažnu stranicu putem phishing e-mailova, zlonamjernih oglasa ili kompromitiranih linkova na društvenim mrežama.

3. Prikupljanje osjetljivih podataka – Podaci o karticama, osobni podaci i adrese dostave bilježe se u realnom vremenu i šalju napadaču.

4. Brzo uklanjanje tragova – Kako bi smanjili rizik otkrivanja, napadači često brišu lažne stranice nakon određenog broja transakcija.

Primjer iz prakse: Jedan poznati slučaj zabilježen je kod međunarodne platforme za elektroniku, gdje su napadači kreirali više lažnih checkout stranica povezane s promotivnim e-mail kampanjama. Korisnici su mislili da koriste legitimni popust, ali svi unosi podataka završavali su u ruci kriminalaca. Platforma je izgubila tisuće dolara, ali ključna lekcija bila je da pravovremena edukacija i monitoring linkova može spriječiti širu štetu.

Tehnički aspekti napada

Rogue checkout stranice nisu samo vizualna prijevara. Napadači koriste niz tehničkih trikova kako bi što teže otkrili njihovu prisutnost:
● Phishing skripte: JavaScript ili PHP skripte koje šalju podatke korisnika direktno napadaču, često maskirane kao dio normalnog procesa plaćanja.

● SSL certifikati: Moderni napadači često dodaju legitimno izgledajući SSL certifikat kako bi korisnici vjerovali da je stranica sigurna. HTTPS ikona sama po sebi više nije garancija.

● Dynamic URL redirection: URL može izgledati gotovo identično originalnom, često s malim razlikama (npr. “domena.com.hr” umjesto “domena.com”).

● Kompleksni backend: Napadači mogu koristiti servere u različitim zemljama kako bi prikrili identitet i lokaciju, što otežava istragu.

Primjer: U 2022. godini, cyber kriminalci iz istočne Europe koristili su rogue checkout stranice za jednu europsku modnu platformu. Stranice su bile gotovo identične originalu, s dodanim SSL certifikatom i dinamičkim URL-ovima. Financijski gubici procijenjeni su na više od 200.000 eura, dok je reputacija trgovca znatno narušena jer kupci nisu mogli razlikovati lažnu od stvarne stranice.

Kako prepoznati rogue checkout

Prepoznavanje lažne stranice za plaćanje nije uvijek jednostavno, ali postoje znakovi koji mogu pomoći trgovcima i kupcima:
1. Neprepoznatljivi URL-ovi – Mala promjena u domeni, čudni znakovi ili dodatni sufiksi.

2. Nedostatak HTTPS ili nepoznat certifikat – Iako ne uvijek pouzdano, SSL certifikat je osnovni indikator sigurnosti.

3. Čudni zahtjevi za informacije – Legitiman checkout rijetko traži nepotrebne informacije, poput PIN koda od kartice ili broja osobne iskaznice.

4. Neusklađen dizajn i tekst – Gramatičke greške, neusklađeni fontovi, slike niske kvalitete.

5. Nagli popusti i “hitne akcije” – Napadači često koriste psihološke trikove kako bi natjerali korisnike na brzu odluku.

Primjer iz prakse: Mala e-trgovina za kozmetiku primijetila je da korisnici često odustaju kod određene metode plaćanja. Nakon analize, otkrili su rogue checkout koji je koristio link od influencera na Instagramu. Stranica je bila vizualno identična, ali URL je imao neprimjetnu grešku. Edukacija i provjera URL-a odmah su spriječili daljnje gubitke.

Preporuke za zaštitu trgovaca

1. Redovita provjera URL-ova i domena – Registrirajte slične domene kako biste spriječili typo-squatting.

2. Monitoring kampanja i oglasa – Provjeravajte linkove koje oglašavate, posebno kod influencera i affiliate partnera.

3. Sigurnosni alati i firewall – Postavljanje WAF (Web Application Firewall) i sigurnosnih plugina može spriječiti napade.

4. Edukacija korisnika – Informirajte kupce o provjeri URL-a i znakova sigurnosti.

5. Dvoslojna autentifikacija – Za administratore trgovine, sprječava kompromitaciju backenda.

6. Redovita revizija web stranice – Provjeravajte neovlaštene promjene, nove stranice ili skripte.

Platforme otporne na rogue checkout napade

Jedna od najvećih Shopify mana je ujedno i jedna od ključnih sigurnosnih prednosti Shopify platforme – zatvorenost checkout sustava. Za razliku od open-source rješenja, gdje trgovci mogu mijenjati kod stranica za plaćanje, Shopify checkout je hostan i kontroliran isključivo od platforme. Svaka transakcija prolazi kroz sigurne, PCI DSS kompatibilne payment gatewaye, a platforma koristi TLS/SSL enkripciju kako bi zaštitila podatke korisnika u prijenosu.

Zbog ove arhitekture, nije moguće implementirati rogue checkout unutar same trgovine te se svi pokušaji neovlaštene manipulacije checkoutom automatski blokiraju. Dodatno, Shopify provodi redovite sigurnosne audite, monitoring aplikacija trećih strana i detekciju anomalija, što dodatno smanjuje rizik od kompromitacije procesa plaćanja.

Sigurnost nije luksuz

Rogue checkout pages predstavljaju ozbiljnu prijetnju za e-trgovce svih veličina. Napadači sve više koriste sofisticirane metode kako bi klonirali stranice, prevarili kupce i ukrali podatke o karticama. Primjeri iz prakse pokazuju da ni male trgovine nisu pošteđene – često su upravo one lakši cilj jer nemaju velike sigurnosne timove. Kombinacija tehničkih mjera, edukacije korisnika i stalnog monitoringa ključna je za zaštitu.

Trgovci moraju razumjeti ne samo kako napadi funkcioniraju, nego i kako se prilagoditi i reagirati u realnom vremenu. U svijetu digitalne trgovine sigurnost nije luksuz, nego predstavlja temelj povjerenja i uspjeha.

Matko Antun Bekavac karijeru je započeo u Oružanim snagama RH, fokusirajući se na web, baze podataka i kibernetičku zaštitu. Od 2019. vodi development team u Hero Factory d.o.o., a nakon angažmana u CyberArrange Security Solutions trenutačno razvija novi projekt u cyber security području. Također vodi Facebook grupu Shopify Hrvatska, zajednicu za podršku, razmjenu znanja i novosti među hrvatskim eCommerce profesionalcima.