Spam w e-sklepie na PrestaShop — jak się przed nim chronić
Zauważyłeś, że w Twoim sklepie pojawił się spam? Dostajesz ostatnio dziwne wiadomości? W dzisiejszym artykule piszemy o konsekwencjach spamu w sklepie na PrestaShop. Podpowiadamy również, jak zapobiegać takim atakom.
Spam na PrestaShop — o co chodzi
PrestaShop nigdy nie jest obiektem ataku sam w sobie. Wysyłanie spamu dla samego zaśmiecania skrzynki e-mailowej e-sklepu po prostu nie miałoby sensu. Sklep internetowy zawsze wykorzystywany jest jako pośrednik. Chodzi o to, aby niechciane wiadomości zostały rozesłane do użytkowników. W tym przypadku ofiary są jednak dwie — adresat i nadawca, czyli sklep internetowy, który nieświadomie rozsyła spam. Jak to działa?
Spam na PrestaShop — przykład nr 1
W swojej kilkunastoletniej praktyce spotkaliśmy się z dwoma rodzajami ataków: przez formularz kontaktowy lub rejestracyjny. W pierwszym przypadku, atakujący wykorzystuje fakt, że sklep po otrzymaniu wiadomości wysyła podziękowanie i załącza w nim oryginalną treść wiadomości. Osoba atakująca w polu nadawcy podaje adres ofiary, w treści wiadomości — treść reklamową. Mechanizm jest prosty. Kiedy e-sklep otrzyma taką wiadomość, wysyła do ofiary e-mail z podziękowaniem. W ten sposób sklep internetowy rozsyła spam.
Spam na PrestaShop — przykład nr 2
W drugim przypadku, atakujący wykorzystuje formularz rejestracyjny. Mechanizm jest podobny, ponieważ po rejestracji z e-sklepu również wysyłana jest wiadomość z podziękowaniem. Tym razem osoba atakująca ma do dyspozycji wyłącznie standardowe pola osobowo-adresowe. Co robi w takiej sytuacji? W polu email umieszcza adres ofiary, w polu imię adres URL strony, którą chce nielegalnie zareklamować, w polu e-mail, zachęcającą wiadomość. Dzięki temu na adres ofiary przychodzi wiadomość z złożona tych elementów.
Spam na PrestaShop — konsekwencje dla e-sklepu
Konsekwencją nieświadomego rozsyłania spamu przez sklep internetowy jest utrata zaufania klientów. Niechciane wiadomości są przecież przesyłane z adresu elektronicznego sklepu. Niestety na tym nie koniec. Do tego dochodzi również utrata reputacji adresu e-mailowego, domeny, a nawet serwera. Co więcej — jeśli serwer jest współdzielony, problem może dotyczyć wszystkich hostingowanych stron. Cały serwer może trafić na czarną listę, tzw. RBL. Ataki tego typu mają też inne konsekwencje. Warto wziąć pod uwagę również fakt, że każde takie działanie powoduje zużycie zasobów i limitów poczty oraz serwera. Nie trzeba dodawać, że wśród masy spamu trudno odnaleźć wiadomości od klientów, co przynosi kolejne straty — zarówno finansowe, jak i wizerunkowe.
Spam na PrestaShop — jak sobie z nim radzić
Zabezpieczeniem przed tego typu atakiem są typowe mechanizmy CAPTCHA lub bardziej inteligentne typu honeypot. CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) – dopuszcza dane, które mogą być wypełnione tylko przez człowieka. Drugi z nich, honeypot jest bardziej zaawansowany i pozwala na wykrywanie oraz rozpoznawanie ataków w sieciach komputerowych. Innym sposobem jest zestaw filtrów. Metody te wykorzystaliśmy przy tworzeniu autorskich modułów PrestaShop — Jashcontacthoneypot i Jashcustomerfilter, które chronią sklep internetowy (PrestaShop 1.6 i 1.7) przed spamerskimi atakami. Do tej pory użyliśmy ich kilkadziesiąt razy i za każdym razem spełniły swoje zadanie.
