Pesquisadores têm acompanhado uma campanha Magecart que tem como alvo vários provedores de pagamento importantes, incluindo American Express, Diners Club, Discover e Mastercard.
Magecart é um termo genérico para grupos criminosos especializados em roubar dados de pagamento de páginas de checkout online usando JavaScript malicioso, uma técnica conhecida como web skimming.
No início, o Magecart começou como uma coalizão informal de agentes maliciosos que tinham como alvo lojas virtuais baseadas no Magento. Hoje, o nome é usado de forma mais ampla para descrever operações de web skimming contra muitas plataformas de comércio eletrônico. Nesses ataques, os criminosos injetam JavaScript em páginas de checkout legítimas para capturar dados de cartões e informações pessoais à medida que os compradores os inserem.
A campanha descrita pelos pesquisadores está ativa desde o início de 2022. Eles encontraram uma vasta rede de domínios relacionados a uma operação de skimming de cartões de crédito de longa data e amplo alcance.
Esta campanha utiliza scripts direcionados a pelo menos seis grandes provedores de redes de pagamento: American Express, Diners Club, Discover (uma subsidiária da Capital One), JCB Co., Ltd., Mastercard e UnionPay. As organizações empresariais que são clientes desses provedores de pagamento são as mais suscetíveis de serem afetadas.
Os invasores normalmente instalam skimmers na web em sites de comércio eletrônico, explorando vulnerabilidades nas cadeias de suprimentos, scripts de terceiros ou nos próprios sites. É por isso que os proprietários de lojas virtuais precisam permanecer vigilantes, mantendo os sistemas atualizados e monitorando seu sistema de gerenciamento de conteúdo (CMS).
Os skimmers da Web geralmente se conectam ao fluxo de checkout usando JavaScript. Eles são projetados para ler campos de formulário que contêm números de cartão, datas de validade, códigos de verificação de cartão (CVC) e detalhes de cobrança ou envio, e então enviar esses dados aos invasores.
Para evitar a detecção, o JavaScript é fortemente ofuscado e pode até mesmo acionar uma rotina de autodestruição para remover o skimmer da página. Isso pode fazer com que as investigações realizadas por meio de uma sessão administrativa pareçam não suspeitas.
Além de outros métodos para permanecer oculta, a campanha utiliza hospedagem à prova de balas para garantir um ambiente estável. Hospedagem à prova de balas refere-se a serviços de hospedagem web projetados para proteger os cibercriminosos, ignorando deliberadamente denúncias de abuso, solicitações de remoção e ações policiais.
Como se manter seguro
As campanhas Magecart afetam três grupos: clientes, comerciantes e provedores de pagamento. Como os skimmers da web operam dentro do navegador, eles podem contornar muitos controles tradicionais de fraude do lado do servidor.
Embora os compradores não possam corrigir sozinhos as páginas de checkout comprometidas, eles podem reduzir sua exposição e aumentar suas chances de detectar fraudes antecipadamente.
Algumas medidas que você pode tomar para se proteger contra o risco de skimmers na web:
- Use cartões virtuais ou descartáveis para compras online, para que qualquer número de cartão clonado tenha uma validade e um limite de gastos limitados.
- Sempre que possível, ative os alertas de transações (SMS, e-mail ou notificações push do aplicativo) para atividades do cartão e verifique regularmente os extratos para identificar rapidamente cobranças não solicitadas.
- Use senhas fortes e exclusivas em portais bancários e de cartões para que os invasores não possam facilmente passar dos dados roubados do cartão para a apropriação total da conta.
- Use uma solução de proteção da web para evitar a conexão com domínios maliciosos.
Dica profissional: Malwarebytes Browser Guard é gratuito e bloqueia sites e scripts maliciosos conhecidos.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
