Os investigadores têm vindo a acompanhar uma campanha Magecart que tem como alvo vários prestadores de serviços de pagamento importantes, incluindo a American Express, a Diners Club, a Discover e a Mastercard.
Magecart é um termo genérico para grupos criminosos especializados em roubar dados de pagamento de páginas de checkout online usando JavaScript malicioso, uma técnica conhecida como web skimming.
No início, o Magecart começou como uma coalizão informal de agentes maliciosos que tinham como alvo lojas online baseadas no Magento. Hoje, o nome é usado de forma mais ampla para descrever operações de web skimming contra muitas plataformas de comércio eletrónico. Nesses ataques, os criminosos injetam JavaScript em páginas de checkout legítimas para capturar dados de cartões e informações pessoais à medida que os compradores os inserem.
A campanha descrita pelos investigadores está ativa desde o início de 2022. Eles descobriram uma vasta rede de domínios relacionados a uma operação de skimming de cartões de crédito de longa data e amplo alcance.
«Esta campanha utiliza scripts direcionados a pelo menos seis grandes provedores de redes de pagamento: American Express, Diners Club, Discover (uma subsidiária da Capital One), JCB Co., Ltd., Mastercard e UnionPay. As organizações empresariais que são clientes desses provedores de pagamento são as mais suscetíveis de serem afetadas.»
Os atacantes normalmente instalam skimmers na web em sites de comércio eletrónico, explorando vulnerabilidades nas cadeias de abastecimento, scripts de terceiros ou nos próprios sites. É por isso que os proprietários de lojas online precisam de permanecer vigilantes, mantendo os sistemas atualizados e monitorizando o seu sistema de gestão de conteúdos (CMS).
Os skimmers da Web geralmente se conectam ao fluxo de checkout usando JavaScript. Eles são projetados para ler campos de formulários que contêm números de cartão, datas de validade, códigos de verificação de cartão (CVC) e detalhes de cobrança ou envio, e então enviar esses dados aos invasores.
Para evitar a deteção, o JavaScript é fortemente ofuscado e pode até acionar uma rotina de autodestruição para remover o skimmer da página. Isso pode fazer com que as investigações realizadas por meio de uma sessão de administrador pareçam não suspeitas.
Além de outros métodos para permanecer oculta, a campanha utiliza hospedagem à prova de balas para garantir um ambiente estável. Hospedagem à prova de balas refere-se a serviços de hospedagem web projetados para proteger os cibercriminosos, ignorando deliberadamente reclamações de abuso, pedidos de remoção e ações policiais.
Como se manter seguro
As campanhas Magecart afetam três grupos: clientes, comerciantes e provedores de pagamento. Como os skimmers da web operam dentro do navegador, eles podem contornar muitos controles tradicionais de fraude do lado do servidor.
Embora os compradores não possam corrigir páginas de checkout comprometidas por conta própria, eles podem reduzir a sua exposição e aumentar as suas chances de detectar fraudes antecipadamente.
Algumas medidas que pode tomar para se proteger contra o risco de skimmers na web:
- Use cartões virtuais ou descartáveis para compras online, para que qualquer número de cartão roubado tenha uma validade e um limite de gastos limitados.
- Sempre que possível, ative os alertas de transações (SMS, e-mail ou notificações push da aplicação) para atividades do cartão e analise regularmente os extratos para identificar rapidamente cobranças não solicitadas.
- Use senhas fortes e exclusivas em portais bancários e de cartões para que os invasores não possam facilmente passar dos dados roubados do cartão para a apropriação total da conta.
- Use uma solução de proteção da web para evitar a conexão com domínios maliciosos.
Dica profissional: Malwarebytes Browser Guard é gratuito e bloqueia sites e scripts maliciosos conhecidos.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
