Jeśli korzystałeś z tych sklepów dane Twojej karty mogły wyciec
Kilka polskich sklepów znalazło się na liście 1236 sprzedawców, których strony zostały wykryte jako zainfekowane web skimmerem MageCart.
MageCart nie odpuszcza
Zgadujemy, że o atakach MageCart już słyszeliście. Jest to tzw. webowy skimmer, czyli kod podrzucany na stronę internetową w celu przejmowania danych o kartach kredytowych wprowadzanych przez klientów dokonujących zakupów. Grupy przestępcze posługujące się MageCartem miały pewne spektakularne sukcesy jak atak na Ticketmastera oraz atak na British Airways. Najczęściej jednak atakują sprzedawców średnich i małych. Ofiary (zarówno sklepy jak i klienci) mogą długo nie mieć świadomości, że coś złego się wydarzyło.
W czasach zarazy COVID-19 zaobserwowano wyraźny wzrost aktywności tych grup przestępczych. Samo zainstalowanie skimmera na stronie nie przeszkadza ani w w przekazaniu pieniędzy sprzedawcy ani w dostarczeniu towaru. Nawet gdy klienci zobaczą na swoim koncie nieznane płatności, nie zawsze skojarzą kradzież danych kartowych z konkretnym sprzedawcą.
Szukanie ofiar
Max Kersten postanowił zmierzyć się z tematem i namierzyć możliwie dużo stron, które mogły być zainfekowane. W wyniku swoich ostatnich badań opublikował raport pt. Backtracking MageCart infections, w którym ujął 1236 strony zainfekowane skimmerem.
Dodajmy tutaj, że Kersten walczy z tematem nie od dziś. W praktyce skimmer jest zawarty w bibliotece JavaScript, do której odwołuje się kod zaatakowanej strony. Już w styczniu br. bazując na wiedzy o wykorzystywanej do tego celu domenie oraz na narzędziu URLScan Kersten zidentyfikował kilka sklepów zaatakowanych MageCartem. Cześć z nich linkowała do domeny przestępców jeszcze w momencie opisywania odkrycia.
W ramach swojego najnowszego badania Kersten pozbierał tweety innych badaczy, którzy wspominali o domenach używanych przez grupy MageCart. To dało dobry punkt wyjścia. Następnie opracował własny skaner bazujący na danych z API UrlScan oraz na zestawie reguł pozwalających na wykrywanie złośliwych skryptów. Dodatkowo badacz opracował metodę automatycznego wysyłania powiadomień do administratorów stron wykrytych jako zainfekowane. Opierało się to na wysyłaniu powiadomień na adresy tworzone według wzoru.
contact@domain.tld
sales@domain.tld
abuse@domain.tld
security@domain.tld
Metoda powiadamiania była daleka od doskonałości, ale przy skali pracy do wykonania trudno byłoby oczekiwać od badacza “ręcznego” powiadamiania każdego sklepu. Inna rzecz, że nawet duże sklepy internetowe potrafią utrudniać kontakt z osobami odpowiedzialnymi za administrowanie stroną.
Więc gdzie był ten skimmer?
Koniec końców w toku badania udało się namierzyć 1236 sklepów zainfekowanych MageCartem. Mapka infekcji przedstawia się następująco.
Niestety w tym przypadku polska nie jest białą plamą. Dlatego zajrzeliśmy w wyniki badań i wyciągnęliśmy te, które wyglądają na polskie sklepy. Oto ich lista.
hurtsilvermagic.pl
laborisfarma.pl
lazieneczka.pl
www.sukhi.pl
www.xkko.pl
4oczy.pl
Te adresy są ewidentnie polskie. Pod częścią z nich znajdziemy wciąż działające sklepy. Jeśli robiłeś zakupy na którejś z tych stron, sprawdź wyciągi ze swojego konta i lepiej uznaj, że dane Twojej karty już wyciekły. Jeśli zdarzało Ci się płacić na stronach sprzedawców zagranicznych to sprawdź czy nie ujęto domeny w raporcie Maksa Kerstena.
Wykrycie zainfekowanych stron to jedno, atrybucja ataku to drugie. Max Kersten nie podjął się prób określenia jakie grupy przestępcze stały za poszczególnymi atakami. Jak wspomnieliśmy bardzo często ofiarami webskimmerów są sklepy mniejsze bo nie nadążają one z aktualizowaniem swoich stron. Przestępcy mają do dyspozycji automaty skanujące strony pod kątem podatności i wstrzykujące skimmery gdzie jest to możliwe. Trudno doszukiwać się w takich działaniach ujednoliconych metod.
Staraliśmy się przeszukać listę domen pod katem adresów możliwie polskich z końcówkami innymi niż .pl, ale nic takiego nie rzuciło nam się w oczy. Odnotowaliśmy natomiast, że ofiarą nierzadko padały sklepy optyczne. Przypominamy więc, że przy okazji zakupów u optyka online możecie ujawnić dane swojej karty nawet bez skimmera. Nie róbcie tego.
Chcesz się z nami skontaktować? Kliknij tutaj
0 komentarzy