Naukowcy śledzą kampanię Magecart, która jest wymierzona w kilku dużych dostawców usług płatniczych, w tym American Express, Diners Club, Discover i Mastercard.
Magecart to ogólne określenie grup przestępczych, które specjalizują się w kradzieży danych płatniczych ze stron internetowych za pomocą złośliwego kodu JavaScript, techniki znanej jako web skimming.
Na początku Magecart był luźną koalicją podmiotów stanowiących zagrożenie, które atakowały sklepy internetowe oparte na platformie Magento. Obecnie nazwa ta jest używana w szerszym znaczeniu do opisania operacji skimmingu internetowego wymierzonych w wiele platform handlu elektronicznego. W ramach tych ataków przestępcy wprowadzają kod JavaScript do legalnych stron płatności, aby przechwycić dane kart kredytowych i dane osobowe wprowadzane przez kupujących.
Kampania opisana przez badaczy trwa od początku 2022 roku. Odkryli oni rozległą sieć domen związanych z długotrwałą operacją skimmingu kart kredytowych o szerokim zasięgu.
„W ramach tej kampanii wykorzystuje się skrypty skierowane do co najmniej sześciu głównych dostawców sieci płatniczych: American Express, Diners Club, Discover (spółka zależna Capital One), JCB Co., Ltd., Mastercard i UnionPay. Najbardziej narażone na skutki tej kampanii są przedsiębiorstwa będące klientami tych dostawców usług płatniczych”.
Atakujący zazwyczaj umieszczają skimmery internetowe w witrynach e-commerce, wykorzystując luki w zabezpieczeniach łańcuchów dostaw, skryptach stron trzecich lub samych witrynach. Dlatego właściciele sklepów internetowych muszą zachować czujność, aktualizując systemy i monitorując swój system zarządzania treścią (CMS).
Skimmery internetowe zazwyczaj podłączają się do procesu realizacji transakcji przy użyciu języka JavaScript. Są one zaprojektowane tak, aby odczytywać pola formularzy zawierające numery kart, daty ważności, kody weryfikacyjne kart (CVC) oraz dane rozliczeniowe lub wysyłkowe, a następnie wysyłać te dane do atakujących.
Aby uniknąć wykrycia, kod JavaScript jest mocno zaciemniony i może nawet uruchomić procedurę samozniszczenia w celu usunięcia skimmera ze strony. Może to sprawić, że dochodzenia prowadzone za pośrednictwem sesji administracyjnej będą wyglądały na niewzbudzające podejrzeń.
Oprócz innych metod zapewniających ukrycie, kampania wykorzystuje hosting kuloodporny, aby zapewnić stabilne środowisko. Hosting kuloodporny odnosi się do usług hostingowych zaprojektowanych w celu ochrony cyberprzestępców poprzez celowe ignorowanie skarg dotyczących nadużyć, wniosków o usunięcie treści oraz działań organów ścigania.
Jak zachować bezpieczeństwo
Kampanie Magecart mają wpływ na trzy grupy: klientów, sprzedawców i dostawców usług płatniczych. Ponieważ skimmery internetowe działają wewnątrz przeglądarki, mogą ominąć wiele tradycyjnych zabezpieczeń przed oszustwami po stronie serwera.
Chociaż kupujący nie mogą samodzielnie naprawić uszkodzonych stron płatności, mogą ograniczyć swoje narażenie i zwiększyć szanse na wczesne wykrycie oszustwa.
Kilka sposobów ochrony przed ryzykiem związanym z web skimmerami:
- Korzystaj z kart wirtualnych lub jednorazowych podczas zakupów online, aby skradziony numer karty miał ograniczony okres ważności i zakres wydatków.
- W miarę możliwości włącz powiadomienia o transakcjach (SMS, e-mail lub powiadomienia push w aplikacji) dotyczące aktywności karty i regularnie przeglądaj wyciągi, aby szybko wykrywać nieautoryzowane opłaty.
- Używaj silnych, unikalnych haseł na portalach bankowych i kartowych, aby osoby atakujące nie mogły łatwo przejść od skradzionych danych karty do przejęcia pełnej kontroli nad kontem.
- Użyj rozwiązania do ochrony sieci, żeby nie łączyć się ze złośliwymi domenami.
Porada dla profesjonalistów: Malwarebytes Browser Guard jest darmowy i blokuje znane złośliwe strony i skrypty.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
