Пореден голям сайт, предлагащ онлайн разплащания падна жертва на престъпната схема на MageCart, предава Bleeping Computer. Става дума за First Aid Beauty, управляван от Procter & Gamble. Заплахата е присъствала на страниците на сайта от месец май, допреди няколко дни.

MageCart е форма на атака, появила се през 2015 и засегнала хиляди сайтове по цял свят, като сред големите жертви на престъпниците са имената на British Airways, Ticketmaster, NewEgg и др. Според доклад на RiskIQ този метод на атака се използва от поне седем големи престъпни групи с успех. MageCart, наричан още „онлайн скимър“, заради сходството с принципа на работа на скиминг устройствата, поставяни към традиционните банкомати, е заплаха, при която атакуващата страна използва слабост в кодовата база на сайта или код от външна страна, която страницата използва, за да се вгради JavaScript, който се изпълнява в браузъра на жертвата. Попълнените от нея банкови данни биват пресечени и изпратени към контролния сървър на хакерите.

В конкретната атака към First Aid Beauty, престъпниците са атакували граждани на САЩ единствено. Ако е бил регистриран вход от друга локация или посещение от Линукс компютър, скимърът оставал неактивен. Не е известна бройката на жертвите, но Bleeping посочват, че сайтът е имал близо по 100 000 месечни потребители в последните шест месеца, 80% от които от САЩ.

MageCart скриптът бил открит от изследователя Вилям де Гроот от Sanguine Security, компания, занимаваща се с разследвания на онлайн банкови измами. Той се свързал с администраторите на сайта преди повече от седмица, но докладът му бил пренебрегнат, като по този начин собствениците на ресурса изложили на риск допълнителен брой свои потребители. Изглежда обаче в крайна сметка от First Aid Beauty се усетили и заплахата била премахната. де Гроот споделя, че в стандартния случай, тази форма на заплаха бива премахната за една-две седмици, но в случая, MageCart присъства незабелязан в продължение на шест месеца. Въпросният скрипт бил внимателно изготвен и прикрит с помощта на криптиране и обфускация, което допълнително правело засичането му трудно.

От предоставената от де Гроот информация, става ясно, че скимърът пресича вписаните данни с цел да открадне номера на банковата карта, датата ѝ на изтичане, името на нейния собственик и CVV кода, използван за конкретната транзакция.

Bleeping Computer не посочват как престъпниците са успели да поставят MageCart скрипта, но привеждат това, че First Aid Beautyм използва CMS платформата за онлайн търговия Magento

MageCart е изключително популярен метод за кражба на финансова информация от престъпниците и фактът, че повече от четири години след появата му, той все още компрометира успешно десетки хиляди сайтове, говори за риска, свързан с него. Администриращите уеб ресурси за онлайн търговия трябва да спазват добра защитна хигиена и да правят редовни проверки на кодовата база, за която отговарят. Що се отнася до потребителите, то би било добре те да използват някаква форма на допълнителна защита при разплащане, ако банката им предлага такава, да следят банковите си извлечения и да реагират своевременно, ако засекат нередност.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари