Mobilné Správy, Gadgety, Blogy's Secenziami

Skupina Skimmer Card nahrádza stránku Checkout, aby ukradla informácie o platbe

Skupina Skimmer Card nahrádza stránku Checkout, aby ukradla informácie o platbe

Stránka s platbami na platforme platobných služieb bola nedávno naklonená aktérmi hrozieb za kampaňou zameranou na preskakovanie webu, ktorá zhromažďovala a ukradla informácie o kreditných kartách od zákazníkov v internetovom obchode.

Webový skimming (známy aj ako e-skimming) je proces, prostredníctvom ktorého môžu podvodníci zbierať a odcudziť platby zákazníkov alebo informácie umožňujúce identifikáciu osôb (PII) po vstreknutí škodlivého kódu vo forme skriptov skimmerov na platobných kartách v rámci platby za ohrozené stránky elektronického obchodu. spracovateľská platforma (PSP).

E-skimmingová kampaň, ktorú pozoroval Malwarebytes, riaditeľ spravodajskej služby Threat Intelligence Jérôme Segura, sa neobťažovala pokusom o zoškrabanie informácií zadaných kupujúcimi do obchodných formulárov, ale išla priamo na PSP, čím účinne nahradila svoju stránku pokladnice za klonovanú, aby zachytila ​​a zhromažďovať údaje o kreditných kartách nakupujúcich.

Vďaka tomu je tento útok hybridom medzi operáciami skimmingu a phishingu, pretože útočníci nielen obmedzili svoje útoky na PSP v obchode, aby zbierali finančné informácie, ale účinne ho phishingovali z virtuálnych rúk svojich cieľov pomocou klonovanej stránky externých PSP.

Vkladaný skript skimmeru pre web Vkladaný skript skimmeru pre web (Laboratóriá škodlivého softvéru)

Klonované platobné stránky

Na tento účel operátori tejto kampane načítajú svoj skimmer údajov o platobných kartách z platobnej karty Mastercard (.) Com / ga.js a maskujú ho ako knižnicu Google Analytics.

Súbor ga.js je vložený do internetového obchodu, ktorému sa podarilo drasticky preniknúť „vložením jednoriadkového kódu obsahujúceho vzdialený skript vo forme kódovanej Base64“.

Falošná pokladná stránka zobrazená skimmerom je veľmi podobná vstupnej stránke phishingu, pretože je to klonovaná šablóna platobnej stránky z CommWeb, služba prijímania platieb Commonwealth Bankpayments.

Rovnako ako v texte zobrazenom v informáciách o platbe na stránke skimmeru však „podrobnosti budú zaslané a spracované Austrálskou bankou spoločenstiev a nebudú oznámené obchodníkovi“, čím sa efektívne vytvorí phishingová stránka navrhnutá špeciálne na zber. a exfiltráciu finančných údajov na servery riadené útočníkom.

Klonovaná platobná stránka CommWeb Klonovaná platobná stránka CommWeb (Laboratóriá škodlivého softvéru)

Táto stránka bola špeciálne vytvorená subjektmi hrozieb, ktoré stoja za týmto cieleným útokom e-skimmingu, aby šli po zákazníkov austrálskeho obchodu, ktorý prevádzkuje inštanciu PrestaShop Content Management System (CMS).

Platobná stránka CommWeb bola vybraná pre fázu phishingu, pretože banka Commonwealth Bank bola jedným z akceptovaných spôsobov platby v kompromitovanom internetovom obchode.

Podvodníci urobili veci ešte o krok ďalej, pretože, ako poznamenala Segura, do svojej formy phishingu pridali tiež možnosti na overenie údajov a upozornili svoje obete, aby zadali správne údaje, ak by niečo nebolo v poriadku.

Po stlačení tlačidla Zaplatiť sa všetky overené údaje o platobných kartách odfiltrujú a obete sa automaticky presmerujú na legitímnu službu PSP spoločnosti Commonwealth Bank, pričom sa musí zobraziť celková suma, ktorú je potrebné zaplatiť, a všetky údaje o karte sa musia znova vyžiadať.

Eskalujúce útoky proti poskytovateľom platobných služieb

Toto nie je prvý krát zjazd chaotický okolo s PSP ale nikdy na tejto úrovni, pretože útočníci nikdy nevytvorili falošné stránky, ktoré by nahradili legitímne stránky PSP.

Napríklad v máji 2019 inovovali svoje skripty na presúvanie kreditných kariet, aby používali prvky iframe určené na phishing pre informácie o kreditných / debetných kartách od zákazníkov obchodu s Magento.

V tom čase počítačoví zločinci vložili skripty na ukradnutie údajov na kartu do každej stránky online obchodov, ktoré hackovali, a nakonfigurovali ich tak, aby sa zobrazovali v podobe, v ktorej by požiadali patrónov, aby sami poskytli informácie.

Skupiny web skimmerov, ktoré používajú phishing na ukradnutie údajov o kreditných kartách, nie sú revolučné, ako uvádza výskumný pracovník spoločnosti RiskIQ pre výskum hrozieb Yonathan Klijnsma v analýze skupiny Magecart. 4overovací systém neoprávneného získavania údajov od februára 2019, pričom sa sledujú podvodníci pri nahrádzaní legitímnych platobných formulárov online obchodov ich vlastnými.

V súvisiacich správach Macy v pondelok oznámila, že po hackerstve ich webovej stránky došlo k porušeniu údajov.

Ako uviedla spoločnosť, skripty so škodlivými kreditnými kartami, ktoré ukradli informácie o platbách ich zákazníkov, boli vložené do pokladne v obchode a na stránku peňaženky používateľov a medzi októbrom sa úspešne zbierali údaje približne týždeň od októbra 7 a 15. októbra, keď si všimol hack.

Federálny úrad pre vyšetrovanie USA (FBI) 23. októbra tiež vydal upozornenie na zvýšenie informovanosti o súčasných hrozbách elektronického presmerovania zameraných na podniky a vládne agentúry, ktoré spracúvajú platby online, ako aj na dlhý zoznam tipov na obranu, ktoré ich môžu odraziť.