Ghiduri

Securitate pentru magazin online: cum îți aperi banii, datele clienților și reputația

Articolele despre „cumpărături sigure" vorbesc cu clientul. Aici vorbim cu tine, comerciantul: cum ajung datele cardurilor la hackeri, ce fac boții pe magazinul tău și cum te aperi în straturi.

Echipa UpTrust4 iunie 20269 min citire

Bărbat ținând un card bancar în timp ce cumpără online de pe laptop

Cele mai multe articole despre „siguranță online" îți spun cum să cumperi fără să fii păcălit. Bun sfat, dar nu pentru tine. Tu nu ești cumpărătorul. Tu ești cel care ține magazinul deschis, procesează plăți și răspunde, legal și financiar, dacă datele clienților ajung pe mâini greșite.

Iar partea asta, a comerciantului, e rar explicată pe înțeles. Hai să o lămurim.

Ai trei categorii de probleme: cineva fură datele cardurilor clienților direct din magazinul tău, cineva testează carduri furate la tine pentru a verifica dacă merg, și boții îți consumă resursele, stocul și nervii. Peste toate, vine sezonul, când traficul real și atacurile cresc în același timp. Le luăm pe rând.

Frauda cu carduri și skimming-ul lovesc exact în punctul de plată, fără ca tu să observi imediat.

Pe scurt, dacă n-ai timp de tot articolul

Datele cardurilor pot fi furate din magazinul tău fără să-ți dai seama, prin cod injectat în pagina de checkout. Platforma și pluginurile neactualizate sunt poarta principală. Iar legea te face responsabil. Un magazin din Satu Mare a aflat asta pe pielea lui.

Cum ajung datele cardurilor clienților la hackeri

Probabil crezi că, dacă plățile trec printr-un procesator serios, datele cardului nu stau la tine, deci nu ai ce pierde. Logic. Și fals.

Există un tip de atac numit skimming web, cunoscut și ca Magecart. Numele vine de la Magento plus „shopping cart", fiindcă a început pe magazine Magento, dar azi lovește orice platformă. Mecanismul e simplu și de aceea e periculos: atacatorul injectează cod JavaScript malițios în pagina ta de checkout. Codul stă cuminte până când clientul ajunge să tasteze datele cardului, apoi le copiază direct din browser, în timp real, și le trimite pe un server al atacatorului.

Observă unde se petrece totul: în browserul clientului, nu în baza ta de date. Datele sunt furate înainte să ajungă la procesatorul de plăți. Faptul că folosești Stripe, Netopia sau PayU nu te apără de scenariul ăsta, fiindcă scurgerea se întâmplă cu un pas mai devreme.

Cum intră codul în pagina ta? Cel mai des, printr-o platformă învechită sau un plugin cu o vulnerabilitate cunoscută. Adaugi un plugin de recenzii, un widget de chat, un tracker de marketing, iar dacă unul dintre ele e compromis, atacatorul are o cale spre checkout. De aici și expresia „supply chain" în securitate: nu te sparge neapărat cineva pe tine, ci ceva ce ai pus tu pe site.

Partea cu adevărat urâtă: skimming-ul e aproape invizibil. Codul e ofuscat intenționat, iar unele variante se ascund când detectează o sesiune de administrator, ca să pară totul curat când te uiți tu. Poți avea scurgere de luni de zile fără să bănuiești nimic, până când clienții încep să reclame tranzacții pe care nu le-au făcut.

Cazul real care ar trebui să te trezească

Nu e teorie. În septembrie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat o firmă din Satu Mare, PRIMONET RO SRL, cu 101.544 lei, echivalentul a aproximativ 20.000 de euro, după un atac cibernetic asupra magazinului online.

Potrivit ANSPDCP, datele scurse au inclus numărul cardului, codul CVC, numele titularului și data de expirare, adică exact ce îi trebuie cuiva ca să cheltuie banii altcuiva. Autoritatea a constatat că firma rula o versiune învechită a platformei și nu avea măsuri de protecție împotriva modificării codului din structura site-ului. Clienții afectați s-au trezit cu tranzacții neautorizate pe care băncile nu le-au putut bloca, cu carduri blocate și cu așteptarea unor carduri noi.

Reține trei lucruri din cazul ăsta. Cauza a fost o platformă neactualizată. Amenda a venit de la stat, în baza GDPR, peste prejudiciul de imagine. Iar paguba reală au suferit-o clienții, care nu vor uita prea curând de unde le-au plecat banii.

Tu ești operatorul de date, deci tu răspunzi

În fața legii, comerciantul e operatorul datelor personale. Nu poți da vina pe pluginul terț sau pe hosting. Dacă datele clienților se scurg fiindcă n-ai ținut sistemul la zi și n-ai avut măsuri rezonabile, răspunderea, inclusiv amenda, cade pe tine.

Frauda cu carduri furate, testată chiar pe magazinul tău

A doua problemă e fix pe dos. Aici nu se fură date de la tine, ci magazinul tău devine instrumentul de test pentru date furate în altă parte.

Se numește card testing, sau „carding". Atacatorii cumpără pe piața neagră liste lungi de carduri furate, dar nu știu care mai sunt active. Au nevoie de un loc unde să le verifice rapid, cu sume mici, automat. Magazinul tău, cu un formular de plată deschis oricui, e perfect pentru asta.

Pun un bot să încerce sute sau mii de carduri la rând, cu tranzacții mici. Cele care trec sunt carduri „bune", pe care le folosesc apoi pentru cumpărături mari, în altă parte. Tu rămâi cu efectele.

Și efectele dor concret:

Comisioane plătite pentru fiecare încercare, chiar și pentru tranzacțiile respinse.
Un val de chargeback-uri când titularii reali contestă plățile, fiecare cu taxa lui.
Risc ca procesatorul să-ți crească comisioanele sau să-ți suspende contul dacă rata de fraudă sare peste prag.
Rapoarte de vânzări complet falsificate, pe care iei decizii greșite.

Vezi legătura cu prima parte? Card testing-ul e, în fond, o problemă de boți. Atacul nu e făcut de un om care completează formulare, ci de un program care lovește de mii de ori. Așa că apărarea trece prin filtrarea traficului automat, despre care vorbim imediat, plus 3D Secure 2, care adaugă un pas de verificare a cumpărătorului și mută o parte din risc spre banca emitentă.

Boții: dușmanul tăcut care nu fură carduri, dar te costă

Nu toți boții vor să-ți spargă plățile. Mulți doar îți rod afacerea pe la margini, zi de zi, fără să declanșeze nicio alarmă.

Iată ce fac, în practică:

Scraping de prețuri. Concurența pune un bot să-ți citească prețurile și stocul de câteva ori pe zi și te subcotează automat. Tu te întrebi de ce ești mereu cu un leu peste ei.
Inventory hoarding. Boții adaugă produse în coș în masă și le țin blocate, ca să apară „stoc epuizat" la clienții reali. Tipic la lansări și la produse limitate.
Conturi false. Înregistrări automate cu mii de adrese, ca să abuzeze cupoane de bun venit, să umfle liste sau să pregătească alte atacuri.
Credential stuffing. Încearcă pe conturile clienților tăi parole scurse din alte breșe, sperând că oamenii și-au refolosit parola. Când nimeresc, preiau contul.

Nimic din toate astea nu seamănă cu un atac „spectaculos". Tocmai de asta trece neobservat. Diferența o face capacitatea de a deosebi un om de un program și de a-l opri pe al doilea fără să-l enervezi pe primul. Despre asta e, pe scurt, bot management, iar pentru un magazin serios nu mai e opțional.

Black Friday: când traficul real și atacurile cresc în același timp

Ține minte sezonul ăsta separat, fiindcă atunci se aliniază toate astrele împotriva ta.

De Black Friday, de Crăciun, la orice campanie mare, primești simultan două valuri care arată aproape la fel: clienți reali, mulți și nerăbdători, și trafic ostil care profită de aglomerație. Atacatorii știu calendarul tău comercial mai bine decât crezi. Aleg exact ziua în care nu-ți permiți downtime.

Ce se întâmplă concret în zilele acelea:

Atacuri DDoS care îți îneacă serverul cu cereri false fix când ai cel mai mult de câștigat. Câteva minute de site căzut în vârf valorează cât o zi obișnuită.
Boții de inventory hoarding intră în forță pe ofertele-vedetă și golesc stocul aparent înainte ca oamenii reali să apuce.
Card testing-ul se intensifică, fiindcă în zgomotul a mii de comenzi legitime, câteva mii de încercări frauduloase trec mai ușor neobservate.
Infrastructura ta, deja la limită din cauza traficului real, cedează mai ușor sub presiune.

Pregătește sezonul din timp, nu în ziua campaniei

Securitatea de sezon se așază cu săptămâni înainte, nu pe ultima sută de metri. Pune un WAF și anti-DDoS în față, testează cum se comportă site-ul la trafic mare, strânge regulile pentru boți și asigură-te că ai backup recent. În ziua campaniei e prea târziu să mai improvizezi.

Vestea bună: aceeași infrastructură care îți filtrează atacurile îți și absoarbe vârfurile de trafic legitim. O rețea care stă în fața magazinului tău servește conținut din cache și ține serverul tău mai degajat, ceea ce înseamnă pagini mai rapide pentru clienți și mai puține șanse să pice tocmai când vinzi cel mai bine.

Apărarea în straturi: cum arată un magazin greu de spart

Nu există un buton magic care te face „sigur". Securitatea reală e un set de straturi care se acoperă unul pe altul. Dacă unul cedează, următorul te mai prinde.

Platformă și pluginuri la zi

Cea mai ieftină măsură și cea mai des ignorată. Majoritatea spargerilor, inclusiv cazul PRIMONET, pleacă de la cod învechit cu vulnerabilități cunoscute. Actualizează ce ai și scoate ce nu folosești.

WAF în față

Un Web Application Firewall filtrează cererile malițioase înainte să ajungă la magazin. Blochează tentativele de injectare, exploatările de pluginuri și tiparele de atac cunoscute.

HTTPS și HSTS

Criptează traficul între client și site, iar HSTS forțează mereu conexiunea sigură. Fără asta, datele pot fi interceptate pe drum, iar Google te penalizează la afișare.

3D Secure 2

Adaugă verificarea cumpărătorului la plată și mută o parte din răspundere spre banca emitentă. Taie mult din card testing și din frauda cu carduri furate.

Acces admin limitat plus 2FA

Restrânge cine ajunge la panoul de administrare și cere autentificare în doi pași. O parolă furată nu mai e suficientă ca să-ți preia cineva magazinul.

Monitorizarea integrității la checkout

Verifică automat dacă pe pagina de plată a apărut cod nou sau modificat. E singura apărare reală împotriva skimming-ului, fiindcă prinde injectarea care altfel rămâne invizibilă.

Bot management

Deosebește oamenii de programe și oprește scraping-ul, inventory hoarding-ul, conturile false și testarea de carduri, fără să blocheze clienții reali.

Anti-DDoS pentru sezon

Absoarbe valurile de trafic ostil în campanii și ține site-ul în picioare exact când contează cel mai mult.

Backup verificat

Dacă tot ce e mai sus cedează, un backup recent și testat e diferența dintre câteva ore de refacere și o catastrofă. Backupul pe care nu l-ai testat nu există.

Probabil te uiți la lista asta și te gândești că e mult. Așa e, dacă încerci să le faci pe toate, pe rând, singur. Vestea bună e că o bună parte din straturi, WAF, anti-DDoS, HTTPS/HSTS, bot management, se așază pe un singur nivel, în fața magazinului tău, indiferent că rulezi WooCommerce, PrestaShop, Shopify sau un magazin custom. Acolo le rezolvi pe majoritatea dintr-o singură mișcare.

De unde începi, dacă ai puțin timp

Dacă faci un singur lucru săptămâna asta, actualizează platforma și pluginurile și scoate tot ce nu folosești. E gratis și taie cea mai frecventă cale de atac. Dacă faci două, pune un WAF în față. Dacă faci trei, activează 2FA pe admin. Restul vin pe rând, dar astea trei îți reduc riscul cel mai mult, cu cel mai mic efort.

Cât despre cost, mulți proprietari amână securitatea fiindcă și-o imaginează scumpă și complicată. În realitate, e mult mai ieftină decât o amendă GDPR plus clienți pierduți plus zile de magazin căzut. Am detaliat socoteala în articolul despre cât costă securitatea, și cifrele s-ar putea să te surprindă în sens bun.

Securitatea e parte din magazin, nu un lux

Rezumăm. Datele cardurilor pot fi furate direct din checkout-ul tău, prin cod injectat pe care nici nu-l vezi. Magazinul tău poate fi folosit ca laborator de testat carduri furate. Boții îți rod stocul, prețurile și conturile în liniște. Iar în campanii, totul se întâmplă deodată, peste un trafic deja la limită.

Firma din Satu Mare n-a făcut nimic exotic ca să ajungă cu amendă și clienți păgubiți. A lăsat doar o platformă neactualizată. Atât. Restul l-au făcut atacatorii, automat.

Nu trebuie să devii expert în securitate ca să-ți aperi afacerea. Trebuie doar să nu lași magazinul descoperit. La UpTrust punem exact straturile din articolul ăsta, WAF, anti-DDoS, bot management și monitorizare, în fața magazinului tău, construite pe Cloudflare, și ți le ținem noi, ca tu să te ocupi de vânzări. Dacă vrei să vezi cum arată concret pentru magazinul tău, începe de la pagina noastră despre securitate pentru magazine online. Iar dacă vrei mai întâi să înțelegi piesa centrală, citește ce este un WAF.

Magazinul tău muncește pentru tine non-stop. Merită să fie și păzit la fel.

Întrebări frecvente

Dacă folosesc un procesator de plăți extern (Stripe, Netopia, PayU), cardurile clienților sunt în siguranță?

Parțial. Procesatorul îți scoate datele cardului din baza ta de date, ceea ce e bine. Dar skimming-ul de tip Magecart fură datele din browserul clientului, înainte să ajungă la procesator, prin cod injectat în pagina ta de checkout. Integrarea cu un procesator serios nu te scutește de a-ți proteja pagina.

Am un magazin mic. Chiar sunt o țintă pentru atacatori?

Da, și tocmai pentru că ești mic. Boții și kiturile de skimming sunt automate, nu aleg victime pe sprânceană. Scanează internetul după platforme și pluginuri cu vulnerabilități cunoscute și lovesc orice găsesc. Un magazin mic, cu o platformă neactualizată, e mai ușor de spart decât un retailer mare.

Ce înseamnă concret apărare în straturi pentru un magazin online?

Nu te bazezi pe o singură măsură. Pui un WAF în față, ții platforma și pluginurile la zi, forțezi HTTPS și HSTS, activezi 3D Secure 2 și 2FA pe admin, monitorizezi integritatea paginii de checkout, filtrezi boții și ai backup. Dacă un strat cedează, următorul te mai acoperă.

3D Secure mă scapă complet de frauda cu carduri furate?

Te ajută mult, fiindcă mută o parte din responsabilitate spre banca emitentă și adaugă un pas de verificare. Dar nu oprește toate scenariile, mai ales testarea de carduri prin boți. De aceea îl combini cu bot management și cu reguli antifraudă.