Мошенничество: скиммеры стали устанавливать не только в банкоматы, но и на сайты 4

Онлайн-скимминг — новая форма мошенничества с банковскими картами. Суть понятна из названия. Если обычный скиммер представляет собой накладку на картоприёмник ATM, который делает дамп магнитной полосы, то онлайн-скиммер — это программная закладка на сервере интернет-магазина, которая пассивно перехватывает платёжные данные во время их ввода пользователем в текстовые поля в браузере.

До настоящего времени кардеры концентрировались преимущественно на серверах транзакций, где применяется шифрование, но в этом случае информация снимается ещё до шифрования. Затем информация о платёжных картах продаётся на подпольных форумах: обычно по этим картам постороннее лицо может без проблем осуществить платежи, пишет ves.lv.

Специалисты по безопасности из Nightly Secure говорят, что онлайн-скимминг быстро набирает популярность в последнее время. Впервые о распространении такого мошенничества заговорили в 2015 году. На ноябрь 2015 года из списка 255 000 интернет-магазинов был обнаружен 3501 магазин с JS-закладками на сервере. За год их количество выросло на 69%.

В прошлом году исследователи составили список наиболее часто используемых адресов для сбора данных:

1860 https://ownsafety.org/opp.php
 390 http://ownsafety.org/opp.php
 309 https://useagleslogistics.com/gates/jquery.php
 100 https://redwiggler.org/wp-content/themes/jquerys.php
  70 https://clickvisits.biz/xrc.php
  28 https://gamula.eu/jquery.php
  23 https://gamula.ru/order.php
  22 https://news-daily.me/gt/
  20 https://antaras.xyz/jquery.php
  17 https://clicksale.xyz/xrc.php
  10 https://ausfunken.com/service/css.php
   9 http://www.dobell.com/var/extendware/system/licenses/encoder/mage_ajax.php
   5 https://redwiggler.org/wp-content/themes/jquery.php
   1 /js/index.php
   1 /js/am/extensions/sitemap_api.php 
   1 https://infopromo.biz/lib/jquery.php
   1 https://google-adwords-website.biz/gates/jquery.php
   1 https://bandagesplus.com/order.php
   1 http://nearart.com/order.php
   1 http://happysocks.in/jquery.pl

Практически во всех случаях используются небольшие варианты одного и того же кода. Подобную закладку довольно трудно обнаружить на сервере. Код загружается из CMS и работает в браузере. На упомянутых трёх с половиной тысячах сайтов в прошлом году она работала по несколько месяцев, на многих — полгода и больше.

Специалисты считают, что большое количество заражённых серверов указывает на высокую степень автоматизации атаки. Этим занимаются не какие-то скрипт-кидди, а хорошие профессионалы. Вероятно — из России.

Для внедрения закладок используются уязвимости в программном обеспечении интернет-магазинов. В первую очередь, это уязвимое программное обеспечение Magento Commerce. Именно через него проще всего внедрить код CMS, хотя на самом деле этот код может работать в любом интернет-магазине, не обязательно использующем Magento. Проверить интернет-магазин на наличие уязвимостей можно на сайте MageReports.com.

Хотя проблему подняли год назад, за прошедший год она никуда не исчезла. Хуже того, заражённых интернет-магазинов стало в полтора раза больше. В марте 2016 года количество магазинов со скиммерами выросло с 3501 до 4476, а в сентябре 2016 года — до 5925.

Ребята из Nightly Secure опубликовали список всех заражённых магазинов, чтобы предупредить покупателей — и уведомить администраторов этих магазинов об уязвимости. Ведь среди них были довольно популярные сайты, в том числе отделения автопроизводителей (Audi ZA), правительственные организации (NRSC, Малайзия), сайты популярных музыкантов (Бьорк), и некоммерческие ораганизации (Science Museum, Washington Cathedral).

Если год назад практически во всех магазинах использовались небольшие модификации одного и того же онлайн-скиммера, то сейчас исследователи нашли уже 9 отдельных разновидностей скрипта, принадлежащих 3 разным семействам (образцы код на Github). Злоумышленники поумнели и сейчас используют многоуровневую обфускацию кода, которую не так просто разобрать. 

Авторы также усовершенствовали механизм перехвата данных платёжных карточек. Если раньше зловред просто перехватывал страницы со строкой checkout в URL, то теперь он уже распознаёт популярные платёжные плагины Firecheckout, Onestepcheckout и Paypal.

Специалисты из Nightly Secure попыталсь связаться с рядом магазинов (около 30) и сообщить им об установленном скиммере, но от большинства магазинов не получили ответа, а другие проявили удивительную беспечность. Один сказал, что это не его проблема, потому что платежи обрабатывает сторонняя компания. Второй сказал, что это просто ошибка Javascript, не представляющая угрозы. Третий вовсе сказал, что никакой опасности не может быть, потому что «магазин работает по HTTPS». Автор передал список магазинов со скиммерами в Google для помещения в чёрный список Chrome Safe Browsing.

Нажмите на ссылку, чтобы ознакомиться  с полным списоком магазинов с установленными онлайн-скиммерами.

Среди них есть латвийские магазины:

colourvue.lv
drgiorgini.lv
fiziocentrs.lv
lv-shop.lv
zippoveikals.lv


Написать комментарий

В этом есть огроменнейший плюс - задолбали пластмассовые деньги , банки и гребанные глобализаторы.

В этом есть огроменнейший плюс - задолбали пластмассовые деньги , банки и гребанные глобализаторы. "оптимист"

Всех задолбал тут только оптимист

Всех задолбал тут только оптимист россиянин

Ты задолбанным родился.

qoyRhA http://www.LnAJ7K8QSpkiStk3sLL0hQP6MO2wQ8gO.com "оптимист"

qoyRhA http://www.LnAJ7K8QSpkiStk3sLL0hQP6MO2wQ8gO.com

Написать комментарий