habrahabr

Безопасность магазина в рознице: основные атаки

  • вторник, 24 июня 2014 г. в 03:10:34
http://habrahabr.ru/company/mosigra/blog/225611/



Вынос товара


Тащат всё, даже ненужное. Кажется, из спортивного интереса, по привычке или просто потому, что получилось. Но есть и настоящие профи. В простом случае товар банально кладётся в карман, в более сложных — избавляется от меток для противокражных ворот либо экранируется специальной сумкой с аналогом решетки Фарадея в стенках (от этого страдают магазины одежды). Крутые дорогие противокражные ворота умеют отличать редкоземельные магниты и сумки с экранирующими камерами на входе — поэтому новым витком стали аналоги средств РЭБ, в частности, разные китайские глушилки. Но куда чаще несут в кармане, рукаве, штанах, за голенищем или в коробке другого товара.

DDoS-атака на магазин с воровством


Представьте, в магазин внезапно заходит человек 15. Например, цыганский табор. Уследить за товаром просто физически невозможно. Мера — сначала напоказ нажимается тревожная кнопка (ещё на момент входа). Иногда такую атаку пытаются предпринять школьники, заваливаясь целым классом, но их-то найти по школам довольно просто (лица есть на видеонаблюдении).

Атака на размен 5000 рублей


Это красивый социнжиниринговый метод. К продавцу подходит злоумышленник-покупатель, долго обсуждает товар, колеблется, потом покупает что-то мелкое (до тысячи), протягивает 5000 рублей, ждёт сдачи, отказывается, снова берёт товар — и потом, в результате, всё-таки покупает и уходит. Суть атаки в том, что свою купюру он так и не отдал. Лечение простое — не давать сдачу, пока деньги от покупателя не в руках. Тем не менее, такие атаки пробуют примерно раз в неделю на магазин на потоке.

Фальшивые деньги


На точке просто должно быть оборудование для проверки купюр. Не все подделки можно отличить визуально — я видел году так в 2007 купюры, где водяной знак был нарисован тонким карандашом как настоящий. Талантливого художника искали, кстати, но не нашли. Реализация атаки обычно такая — минут 15 двое обсуждают товар, вникают в детали, набирают кучу мелочей, заставляют продавца бегать туда-сюда, выматывают. Потом пробуют быстро расплатиться и получить сдачу (около 3-4 тысяч рублей с купюры 5 тысяч). Если продавец при этом отвлечён разговором, каким-то действием с мелочью и вымотан — может пропустить момент проверки.

Атака по скидке от сотрудника


Когда у сотрудника есть право ставить ощутимую скидку, он может продать вам товар по одной цене (розничной), а занести продажу в отчёт как продажу со скидкой. Мер две: первая — в принципе не делать больших скидок (это часть маркетинга — цена должна быть честной, и не обесцениваться скидками). Вторая мера — мониторинг чеков и причин скидки.

Атака на объединение заказов в крупный


Иногда за крупный заказ полагается подарок, бонус или что-то ещё (скидка). Продавец-злоумышленник может не пробивать 2-3 чека, а затем забить всё проданное в один, и забрать себе подарок. Решается так же — мониторинг чеков, жёсткая политика IT, жёсткие пендюли за невыдачу чека.

Возврат виртуального возврата


Это разновидность воровства, но здесь продавец-злоумышленник продаёт другому злоумышленнику товар, а затем делает возврат по документам, выдавая деньги обратно (или просто оформляет возврат на какой-либо купленный другим покупателем товар себе «в карман»). Меры: каждый возврат — это отчётность, чёткое слежение за товаром и понимание точных причин возврата.

Развод с местным интернетом по монопольной цене


Это атака владельца помещения, направленная на арендатора. Достаточно часто в торговых центрах, бизнес-центрах и так далее разрешается подключить кабельный интернет только от одного провайдера, причём по конской цене. При попытке протащить любой другой кабель собственник может формально разрешить, но создать кучу проблем, случайно перерубать кабель раз в сутки и так далее. У кого-то вон спутниковую антенну сдувало ветром (с аккуратно скрученными болтами).

Развод со «входными»


Управляемый издалека торговый центр может официально брать «входные» (разовую сумму за право арендовать помещение), а может делать это неофициально — так иногда грешат небольшие ТЦ в регионах, стремящиеся заработать самостоятельно, не информируя владельца в Москве или Европе. Смотрите договор внимательно, чтобы уточнить статус каждого платежа. Ещё одна разновидность такого развода — внезапно возникающие платежи «за витрину» после окончания ремонта и так далее, которых нет в договоре. Они могут быть как реальными (раздолбайство ещё никто не отменял), равно как и попыткой стрясти с вас немного денег. Читайте договор. Нет в договоре — не должно быть и в реальности.

Воровство


У нас как-то обчистили магазин на Таганской (старый, на Товарищеском). У нас утащили денег, ноутбук и набор покера — рядом был магазин иксбоксов, вот у них вынесли вообще всё. В целом, невозможно сделать магазин полностью защищённым от вора. Но можно сделать его неинтересным в сравнении с соседними магазинами — это как при убегании ото льва, не надо бежать быстрее него. Надо бежать быстрее соседа. Крепкие двери, пара замков, видеонаблюдение, складывающее архив на удалённом сервере, тревожная кнопка. Своевременная инкассация. Всё это очень помогает. Правда, тут история как с бекапом — есть те, кто это не делает, и те, кто уже делает.

Данные наблюдения


Данные видеонаблюдения обычно используются для определения факта воровства товара. Как правило, они хранятся несколько дней, плюс транслируются в реальном времени на охранника. Охранник, по-умному, должен меняться с тем, что в зале — чтобы не уставал. В общем случае лицо вора будет найдено на одном из кадров, отдано в полицию и распечатано на стене магазина в подсобке, если персонаж явно действовал профессионально. В магазинах одежды очень интересно заходить в помещения для персонала — там иногда галереи таких людей и описания методик краж применительно к данному магазину.

Видеонаблюдение очень актуально для ловли людей, ворующих изнутри: кассирш из бывшего СССР, у которых соблазн оказался сильнее разума; ушлых сотрудников склада; продавцов, бьющих штрих-код со своего рукава, а не товара, и т.п. Один известный мне безопасник крупного розничного магазина провернул отличный фокус. Персонал знал, что камерами всю территорию не покрыть, и поэтому рассчитывал сектора видимости. Мужик, ранее работавший в интересном месте, зафигачил бескорпусных камер в разные продукты питания на верхних полках и повесил новых муляжей больших камер так, чтобы воры выходили ровно на его «засады». За три дня спалилось два десятка человек.

Уязвимость видеонаблюдения


Про то, что можно подключаться к камерам, просто торчащим ip «наружу», вы наверняка знаете. Таких в Гугле можно найти тысячи. Уязвимость для магазина в том, что HD-камера, висящая над кассой, отлично показывает все нажатия на клавиатуру, в том числе — вводы всех паролей.

Итак, как всё это лечится со стороны магазина?


  1. Отбором нормальных людей.
  2. Жёстким контролем складских остатков и документами по каждому перемещению.
  3. Отслеживанием возвратов и их причин.
  4. Отслеживанием залежавшегося товара и регулярными физическими инвентаризациями.
  5. Ведением детальных логов каждой операции от приёмки до продажи. Плюс видеонаблюдением.
  6. Регулярными проверками тайными покупателями.
  7. Проверкой отзывов и обратной связью по всем каналам.
  8. Регулярными сверками кассы и регулярной инкассацией.
  9. Жёсткими правилами работы с кассой: не поворачиваться спиной к клиенту, ящик для денег всегда должен быть закрыт. Деньги – только в ящике. Всегда стоит держать купюру-ловушку – тысячную купюру, номер которой записан в блокнот.
  10. Физической безопасностью, например, при увольнении сотрудника необходимо менять личинку замка и все пароли, используемые в магазине.

Уязвимостей и их вариаций ещё сотни. Поражает, с одной стороны, просто нечеловеческая изобретательность некоторых индивидуумов, а с другой — порой, тупость, граничащая с идиотизмом. Например, я знаю ситуацию, когда продавец одного из салонов сотовой связи вытащил деньги из кассы, потом увидел над головой камеру. Не найдя «видеомагнитофона» (ну ещё бы, данные складывались сразу на удалённый сервер) этот гений решил, что просто фигово искал. И, чтобы замести следы, поджёг точку.

Если вы дополните топик и расскажете в комментариях известные вам уязвимости, будет очень круто.

UPD:
zomby: «Самая айтишная атака — поиск продавцами уязвимостей в ПО POS-терминала. В одном сотовом салоне нашли и какое-то время успешно эксплуатировали чудо-баг: программа позволяла продать 0,1 телефона, при этом с остатков списывался целый.»
dimitrimus: «Насчет паролей — как-то видел в одном крупном супермаркете загрузку ОС на кассе, видимо кто-то включил и ушел по делам. Не знаю уж, насколько критична там защита (может там нет публичных сетей или защищать информацию нет необходимости), но во время загрузки на консоли прямо в логе были пароли от баз данных и прочего.»
ncix: «Это что, как-то обратился клиент с проблемой по моему тогдашнему проекту (кассовый софт). Затребовали базы данных — получили в ответ интернетовский адрес, в который беззастенчиво смотрит сервер Firebird со стандартным логином/паролем, за которым скрываются боевые БД нескольких касс.»
domino_47: «Однажды снимал деньги со счёта, кассирша выдала пачками мелких купюр после пересчёта на машинке. А за ним уже очередь, и стала поторапливать, а он взял да и перещитал, нехватало 10 000 рублей, когда он спросил где недостающие деньги, она с удивлёнными глазами передала ещё одну пачку, которая «завалялась» сбоку от окошка выдачи естественно с её стороны.»