Исследователи отслеживают кампанию Magecart, направленную против нескольких крупных платежных систем, включая American Express, Diners Club, Discover и Mastercard.
Magecart — это общий термин, обозначающий преступные группы, которые специализируются на краже платежных данных со страниц онлайн-касс с помощью вредоносного JavaScript, метода, известного как веб-скиминг.
Вначале Magecart представлял собой неформальное объединение злоумышленников, нацеленных на интернет-магазины, работающие на платформе Magento. Сегодня это название используется в более широком смысле для обозначения операций по скиммингу в интернете, направленных против многих платформ электронной коммерции. В ходе таких атак преступники внедряют JavaScript в легитимные страницы оформления заказа, чтобы перехватить данные карт и личные данные покупателей при их вводе.
Описанная исследователями кампания ведется с начала 2022 года. Они обнаружили обширную сеть доменов, связанных с долгосрочной операцией по скиммингу кредитных карт, имеющей широкий охват.
«В этой кампании используются скрипты, нацеленные как минимум на шесть крупнейших поставщиков платежных сетей: American Express, Diners Club, Discover (дочерняя компания Capital One), JCB Co., Ltd., Mastercard и UnionPay. Наиболее подвержены риску крупные организации, являющиеся клиентами этих платежных систем».
Злоумышленники обычно устанавливают веб-скимеры на сайтах электронной коммерции, используя уязвимости в цепочках поставок, сторонних скриптах или самих сайтах. Поэтому владельцы интернет-магазинов должны быть бдительными, обновлять системы и контролировать свою систему управления контентом (CMS).
Веб-скимеры обычно подключаются к процессу оформления заказа с помощью JavaScript. Они предназначены для считывания полей форм, содержащих номера карт, даты истечения срока действия, коды проверки карт (CVC) и данные для выставления счетов или доставки, а затем отправляют эти данные злоумышленникам.
Чтобы избежать обнаружения, JavaScript сильно запутывается и может даже запустить процедуру самоуничтожения, чтобы удалить скиммер со страницы. Это может привести к тому, что расследования, проводимые через сеанс администратора, будут выглядеть не подозрительными.
Помимо других методов, позволяющих оставаться незамеченными, в кампании используется «пуленепробиваемый» хостинг для обеспечения стабильной среды. «Пуленепробиваемый» хостинг — это веб-хостинг, предназначенный для защиты киберпреступников путем намеренного игнорирования жалоб на злоупотребления, запросов на удаление контента и действий правоохранительных органов.
Как оставаться в безопасности
Кампании Magecart затрагивают три группы: клиентов, продавцов и платежных провайдеров. Поскольку веб-скимеры работают внутри браузера, они могут обойти многие традиционные средства защиты от мошенничества на стороне сервера.
Хотя покупатели не могут самостоятельно исправить скомпрометированные страницы оформления заказа, они могут снизить риск и повысить вероятность раннего обнаружения мошенничества.
Несколько способов защиты от риска веб-скимеров:
- Используйте виртуальные или одноразовые карты для покупок в Интернете, чтобы любой скиммированный номер карты имел ограниченный срок действия и объем расходов.
- По возможности включите оповещения о транзакциях (SMS, электронная почта или push-уведомления в приложении) для операций по карте и регулярно просматривайте выписки, чтобы быстро обнаруживать нежелательные списания.
- Используйте надежные уникальные пароли на банковских и карточных порталах, чтобы злоумышленники не могли легко перейти от кражи данных карты к полному захвату учетной записи.
- Используйте решение для защиты в Интернете, чтобы избежать подключения к вредоносным доменам.
Совет от профессионала: Malwarebytes Browser Guard бесплатен и блокирует известные вредоносные сайты и скрипты.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
