Хакеры нацелились на праздники

Горячаяпора В этом году высокий сезон праздничных распродажначался с рекордов: так только американский «Киберпонедельник» принес порядка $8млрд и стал крупнейшим торговым онлайн-днем за всю историю США. По сравнению с предыдущимгодом прирост поставил 19,7%. Об этом говорят данные компании Adobe Systems, отслеживающейактивность на тысячах интернет-ресурсов. День Благодарения и «Черная пятница» такжепоказали высокие значения – по сравнению с прошлым годом продажи выросли на 26,4% и всовокупности принесли онлайн-магазинам $12,3 млрд. Это только начало сезона подготовкик главным зимним праздникам – Рождеству и Новому году – с большим объемом расходов, которые потребителиготовы потратить в ближайшем месяце. Но как предупреждают ИБ-эксперты, на получениеэтих денег нацелены не только разнообразные продавцы. Киберпреступники и мошенникитоже стремятся воспользоваться интересом покупателей к интернет-торговле. Некоторыеотчеты показывают, что в этот сезон распродаж активность хакеров в среднем возрослана 60%. «Праздники – это не только время хорошего настроения,но и период всплеска онлайн-преступности, когда хакеры переходят в режим овердрайва.Зная, что потребители будут охотиться за скидками и совершать покупки в интернет-магазинах,злоумышленники находят способы кражи платежной информации, – рассказал Майк Биттнер (Mike Bittner), менеджер поцифровой безопасности и операциям в Media Trust. – И они располагают серьезнымарсеналом методов: от подмены страниц оплаты, утечек платежной информации во время транзакций, и дофишинг-атак через приложения и цифровые кошельки, которые ранее считались безопасными». Одновременно с этим аналитики обращают отдельноевнимание на рост угроз со стороны Magecart. Эта группировка несет ответственностьза крупномасштабные вредоносные компании, во время которых были украдены данныекредитных карт множества клиентов таких сайтов, как Ticketmaster, British Airways и Newegg. «В этом году классический набор махинаций киберприступниковпополнился особенно опасными нападениями Magecart,– сообщил Йонатан Клинсма (Yonathan Klijnsma),специалист по киберугрозам из RiskIQ. – Каждый день они взламывают сотни сайтов электроннойкоммерции и размещают на них свои сценарии скимминга кредитных карт, чтобы напрямуюперехватывать платежную информацию потребителей при совершении покупок».

Многие сайтыэлектронной коммерции были взломаны Magecart несколько раз подряд, причем один из них был скомпрометирован 18 раз Armor Threat Resistance Unit (TRU) выпустила отчет,в котором предупредила ИБ-подразделения о необходимостипринять дополнительные меры для обнаружения и устранения угроз, подобных Magecart,и защиты клиентов. Одноимя для множества Magecart – это обобщающее название, применяемое, по крайнеймере, к 11 киберпреступным группам, имеющим схожий способ совершения преступлений.Они взламывают сайты электронной коммерции и внедряют на страницах оплаты вредоносныйкод для считывания вводимых покупателями финансовых данных (так называемый цифровойскиммер). По мере того, как пользователь заполняет свои платежные реквизиты (номербанковской карты, имя и адрес), данные фиксируются и отправляются злоумышленникамв режиме реального времени. Это означает, что информация может быть украдена, дажеесли продавец работает в соответствии со стандартами PCI DSS и не сохраняет данныебанковской карты в собственной базе после завершения покупки. При этом различные группы Magecart никоим образомне связаны между собой, кроме того, что они конкурируют друг с другом в областикражи информации о платежных картах. ИБ-исследователи дифференцируют группы на основетого, какую уникальную инфраструктуру, скиммеры и тактику они используют. Так, например, «группа 5» организовала утечку в Ticketmaster, «группа 6» – в British Airways и Newegg. Первые известные атаки Magecart датируются 2015г., когда они были обнаружены независимым ИБ-экспертом Виллемом де Грутом (Willem de Groot). По егоданным, за прошедшее время свыше 20% онлайн-магазинов, пострадавших от атак Magecart,подверглись повторному заражению после удаления вредоносного кода. Многие сайтыэлектронной коммерции были взломаны несколько раз подряд: к примеру, хакеры сумеличетырежды инфицировать британский магазин электроники Kitronik и трижды сайт сервисаpush-уведомлений Feedify. По словам де Грута, один из веб-ресурсов был скомпрометированMagecart 18 раз. Первые два года злоумышленники в основном специализировалисьна взломах онлайн-магазинов, использующих платформу Magento, но позже расширилитактику за счет атак на более крупные сервисы. Опосредованныеатаки набирают популярность В последнее время для проведения атак Magecartвсе чаще взламывают сторонние сервисы, связанные с онлайн-магазинами (например,различные виджеты чатов или поддержки). Так хакеры использовали Shopper Approvedв качестве своеобразного шлюза для доступа к платежной информации клиентов.Этот инструмент для сбора и публикации отзывов клиентов встроен в более чем 7000интернет-магазинов. В связи с этим эксперты рекомендуют владельцам компаний, занимающихся электроннойкоммерцией, по возможности удалить сторонний код, расположенный на страницах оформлениязаказа. «Атаки на сервисы электронной коммерции становятсяот года к году все более популярными. Владельцам ресурсов важно своевременно оценитьриски и включить в состав комплекса мер обеспечения информационной безопасностиспециализированные решения по защите от атак на веб-приложения: Web ApplicationFirewall (WAF), –рассказал системный инженер Fortinet ЮрийЗахаров. –Помимо этого, рекомендуется не использовать сторонний код в разделах, где пользователивводят конфиденциальные данные при совершении платежей. К сожалению, как показываетпрактика, зачастую не все компании ответственно подходят к выбору и поддержке средствзащиты, поэтому подобного плана атаки происходят достаточно регулярно». Крупныйулов Одной из последних жертв Magecart стал американскийфилиал Сотбис, расположенный в Нью-Йорке. Согласно заявлению, опубликованному несколькодней назад, вредоносный код был обнаружен на сайте аукционного дома 10 октябряи «оперативно удален». Представители Сотбис признались, что не уверены, когда именно сайт впервые подвергся этой атаке. Однако предполагается,что скиммер находился там «по крайней мере» с марта 2017 г. «Мы считаем, что ответственность за инцидентнесет так называемая группировка Magecart, которая нацелилась на большоеколичество сайтов электронной коммерции и которая, как известно, ранее атаковаладругие компании, чей веб-сайт использует то же программное обеспечение, что иSotheby's Home», –говорится в сообщении. Согласно заявлению аукционного дома,вредоносный код был разработан для таргетинга данных, введенных в форму оплатына веб-сайте Sotheby's Home. Эта информация включает имя, почтовый адрес, адресэлектронной почты и номер банковской карты, дату истечения срока ее действия икод CVV. О количестве жертв этой атаки пока не сообщается. Ссылка на источник