Виджет RETAIL & LOYALTY - это возможность быстро получить актуальную информацию
Добавить виджет на страницу Яндекс
Закрыть

lloyds bank opening times

Платежные данные тысяч клиентов заграничных онлайн-магазинов скомпрометированы?

18 Марта 2019 Количество просмотров 543 просмотра
kiberataka.jpgGroup-IB, международная компания, специализирующаяся на предотвращении киберугроз, зафиксировала активность нового JS-сниффера, предназначенного для перехвата пользовательских данных.

Речь - о номерах банковских карт, имен, адресов, логинов, паролей. 

Первым ресурсом, на котором эксперты Group-IB обнаружили JS-сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS-сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 000 уникальных посетителей в месяц.
 
JavaScript-сниффер: недооцененная угроза
 
В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster.

Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью «всего лишь» нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS-снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах — кардшопах или используют сами для покупок ценных товаров, и их последующей перепродажи с целью заработка.
 
О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS-сниффера, получившего название GMO. Этот же вредонос обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS-сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.
 
В Group-IB пояснили: «Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей».
 
Почти не заметен и очень опасен
 
Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS-сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта  Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчетам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находиться в «группе риска».
 
Позже специалисты Group-IB обнаружили другие сайты, зараженные JS-сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа). 
 
GMO — это семейство JS-снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ — сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года — этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер является входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружену 38 различных семейств JS-снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.

К моменту выпуска этой новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.

Источник: Group-IB

Понравился материал? Поделись

Подпишитесь на новостную рассылку



Новости по теме

15:48, 14 Июня 2019 Количество просмотров 668 просмотров
Платформа ОФД опровергла сбои в ФНС из-за пожара в московском дата-центре
Пожар в дата-центре Dataline 5 июня не коснулся владельцев касс и клиентов «Платформы ОФД» и не вызвал сбоя в ФНС, сообщили Retail & Loyalty в пресс-службе компании.
11:43, 14 Июня 2019 Количество просмотров 729 просмотров
ESET рассказала о новом виде мошенничества в WhatsApp
Антивирусная компания ESET обнаружила новый вид мошенничества в мессенджере WhatsApp.
15:00, 13 Июня 2019 Количество просмотров 1207 просмотров
Роспотребнадзор назвал признаки опасных интернет-магазинов
Роспотребнадзор составил признаки потенциально опасных интернет-магазинов, в которых вместо добросовестных продавцов могут работать мошенники.
10:28, 10 Июня 2019 Количество просмотров 273 просмотра
Хакеры устанавливали вирусы на Android еще до продажи
Хакеры устанавливали спамовую программу семейства Triada в смартфоны с операционной системой Android еще до их продажи.
14:49, 3 Июня 2019 Количество просмотров 548 просмотров
Производителей смартфонов с eSim могут обязать хранить данные абонентов в России
Производителей смартфонов с поддержкой eSim могут обязать хранить в России серверы с персональными данными пользователей и криптографические ключи.

Статьи по теме

00:00, 29 Июня 2018 Количество просмотров 2066 просмотров
Доверительная среда как фактор повышения экономических результатов в ритейле
Доверие, несмотря на свою социально-психологическую природу, становится самым дорогим экономическим активом, – уверен Константин Сергеев, руководитель исполнительного комитета НП «Союз…
16:56, 9 Ноября 2017 Количество просмотров 2387 просмотров
Атак бояться – в интернет не ходить
Чем рискует предприниматель, открывающий интернет-магазин, и как защитить свой бизнес в сети в условиях постоянно совершенствующихся технологий взлома и при этом не потерять в прибыльности,…

16:27, 07.06.2016 Количество просмотров 4331 просмотр
Лев Хасис: российская торговля - одна из наименее зарегулированных в мире
Тем не менее, государственное регулирование российской торговли идёт по тупиковому пути регулирования в интересах ритейлера и поставщика, а не в интересах потребителя.
12:35, 21.04.2016 Количество просмотров 9091 просмотр
Выставка «EXPO-RUSSIA KAZAKHSTAN 2016» пройдёт в Алматы с 15 по 17 июня 2016 года
В период проведения выставки уже в пятый раз состоится Алматинский Бизнес-форум.
15:40, 09.11.2015 Количество просмотров 3889 просмотров
Euromonitor: потребителю все интереснее сочетание офлайн- и онлайн-ритейла
О наиболее интересных событиях в сфере ритейла, перспективных направлениях его развития и самых востребованных технологиях корреспондент информационного портала Retail & Loyalty побеседовал с Марией Милашевич, старшим аналитиком компании Euromonitor International.


Наши видео

18-19 апреля 2017 г., г. Москва. Журнал «Retail & Loyalty» проводит 4-й Международный ПЛАС-Форум "Online & Offline Retail", посвященный анализу перспектив развития индустрии в России, странах СНГ и дальнего зарубежья


Информационный портал Retail & Loyalty
ул. Кржижановского, д. 29, корп. 5
Москва, 117218 Россия
Work +7 495 961 1065