Платежные данные тысяч клиентов заграничных онлайн-магазинов скомпрометированы?
Все о рознице и инновациях
Регистрация прошла успешно

Регистрация прошла успешно

На ваш e-mail пришло письмо с подтверждением

На вашу почту отправлена ссылка для восстановления пароля

Восстановление пароля
Все новости

Все новости


17:35, 18 Октября
Правительство РФ одобрило соглашение о гармонизации табачных акцизов
17:00, 18 Октября
KFC сэкономила на новой рекламной кампании
16:35, 18 Октября
Увеличение скорости доставки и развитие пунктов самовывоза – основные факторы роста рынка логистики для e-commerce
16:33, 18 Октября
Банк Восточный будет оказывать услуги для предпринимателей в режиме онлайн 24 часа в сутки
16:16, 18 Октября
Утконос, SAS и ВШЭ объявили о старте конкурса по анализу данных SAS Data Hack Platypus
15:03, 18 Октября
Связной запускает онлайн продажи Samsung Galaxy M30s
14:38, 18 Октября
Билеты государственных лотерей теперь можно будет купить во «ВКонтакте»
13:11, 18 Октября
Почта России с партнерами представила пакетное предложение для e-commerce
12:36, 18 Октября
Дни Oracle пройдут в Москве 30 – 31 октября
12:26, 18 Октября
Interbrand обозначил тенденции на международном потребительском рынке
18 Марта 2019, 15:25
636 просмотров

Платежные данные тысяч клиентов заграничных онлайн-магазинов скомпрометированы?

kiberataka.jpgGroup-IB, международная компания, специализирующаяся на предотвращении киберугроз, зафиксировала активность нового JS-сниффера, предназначенного для перехвата пользовательских данных.

Речь - о номерах банковских карт, имен, адресов, логинов, паролей. 

Первым ресурсом, на котором эксперты Group-IB обнаружили JS-сниффер, стал сайт, принадлежащий спортивному гиганту FILA, fila.co[.]uk, как минимум 5 600 клиентов которого могли стать жертвой кражи платежных данных за последние 4 месяца. В общей сложности новый JS-сниффер заразил 7 сайтов, включая шесть онлайн-магазинов в США, которые суммарно посещают около 350 000 уникальных посетителей в месяц.
 
JavaScript-сниффер: недооцененная угроза
 
В сентябре 2018 года стало известно, что пользователи сайта и мобильного приложения British Airways подверглись компрометации. Под угрозой оказались все клиенты международной авиакомпании, которые осуществляли бронирование через официальный сайт или приложение компании с 25 августа по 5 сентября 2018 года. Суммарно в руки злоумышленников попали личные и финансовые данные 380 000 человек. Вскоре похожей атаке подверглись пользователи американского онлайн-магазина Ticketmaster.

Киберпреступникам удалось скомпрометировать личную информацию тысяч путешественников и посетителей концертов с помощью «всего лишь» нескольких строк кода. Об этом впервые сообщили аналитики компании RiskIQ. Веб-сайты British Airways и Ticketmaster были заражены с помощью JS-снифферов. Это тип вредоносного кода, внедряемого злоумышленниками на сайт жертвы для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и др. Полученные данные злоумышленники, как правило, либо продают на андеграундных форумах — кардшопах или используют сами для покупок ценных товаров, и их последующей перепродажи с целью заработка.
 
О новом инциденте стало известно в феврале 2019 года благодаря команде Group-IB Threat Intelligence. Британский сайт FILA (fila.co[.]uk) стал одной из мишеней киберпреступников, внедривших вредоносный код JS-сниффера, получившего название GMO. Этот же вредонос обнаружен на 6 сайтах американских компаний. Команда Group-IB предприняла несколько попыток предупредить сайты о том, что они оказались зараженными этим JS-сниффером. Специалисты компании Group-IB также передали информацию в профильные организации в Великобритании и США.
 
В Group-IB пояснили: «Вредоносный код загружает JavaScript-сниффер как только клиент попадает на страницу оформления заказа. Сниффер, внедренный на сайт, перехватывает данные кредитной карты и персональную информацию жертвы, после чего отправляет их на сервер злоумышленников — гейт. В цепочке передачи данных со сниффера может быть использовано несколько уровней гейтов, расположенных на разных серверах или взломанных сайтах, что усложняет задачу обнаружить конечный сервер злоумышленников. Однако в некоторых случаях административная панель расположена на том же хосте, что и гейт для сбора украденных данных. Киберпреступники могли внедрить вредоносный код несколькими способами: используя уязвимость Magento CMS (системы управления контентом), используемой FILA.co.uk, или скомпрометировав учетные данные администратора сайта, используя программу-шпион или взломав пароль методом простого перебора паролей».
 
Почти не заметен и очень опасен
 
Специалисты направления Threat Intelligence Group-IB впервые зафиксировали активность нового JS-сниффера именно на британском сайте компании FILA. Вредоносный код был обнаружен в начале марта 2019 года. В ходе расследования выяснилось, что GMO предположительно собирает данные о платежах клиентов с ноября 2018 года. Используя данные сайта  Alexa.com, можно посчитать, что сайт посещает около 140 000 уникальных пользователей. Минимальная конверсия в покупку для интернет-магазинов одежды составляет 1%, по данным IRP. Следовательно, киберпреступники по самым скромным подсчетам могли похитить платежные и личные данные как минимум 5600 клиентов: каждый, кто приобретал товары на сайте fila.co.uk с ноября 2018 года, может находиться в «группе риска».
 
Позже специалисты Group-IB обнаружили другие сайты, зараженные JS-сниффером GMO. Список жертв включает шесть онлайн-магазинов в США, которые в общей сложности посещают около 350 000 уникальных посетителей в месяц (согласно рейтингу Alexa.com): http://jungleeny[.]com (магазин домашнего дизайна), https://forshaw[.]com/ (магазин продукции для борьбы с насекомыми), https://www.absolutenewyork[.]com/ (магазин косметики), https://www.cajungrocer[.]com/ (продуктовый онлайн-магазин), https://www.getrxd[.]com/ (магазин тренажёров), https://www.sharbor[.]com/ (магазин оборудования для видеомонтажа). 
 
GMO — это семейство JS-снифферов, жертвами атак которого становятся сайты, работающие под управлением CMS Magento. Одной из особенностей этого сниффера является способность обнаружить анализ — сниффер определяет факт открытия окон Developer Tools и Firebu. Доменное имя, используемое для размещения кода снифферов и гейта для сбора украденных данных, было создано 7 мая 2018 года — этот месяц можно считать датой начала кампании с использованием сниффера GMO. Данный сниффер является входит в число 15 семейств снифферов, описанных в новом отчете Group-IB, который будет опубликован в ближайшее время. Всего специалистами Group-IB было обнаружену 38 различных семейств JS-снифферов, доступ к описанию которых первыми получат клиенты Group-IB Threat Intelligence.

К моменту выпуска этой новости компания FILA и несколько других пострадавших ресурсов обновили сайты и удалили сниффер.

Источник: Group-IB

Понравился материал? Поделись.
ЖУРНАЛ RETAIL&LOYALTY
№6 (85) 2019

будь в курсе
новостей индустрии