Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly

Obadajcie VPSy od Aruby

aruba cloud

Przeszło 1200 sklepów online zainfekowanych skimmerem wykradającym numery kart płatniczych. Jest też trochę polskich domen

12 maja 2020, 15:14 | W biegu | komentarze 3
Tagi: , , , , ,

Zasada działania jest względnie prosta. Najpierw zlokalizowanie podatności w konkretnym e-commerce, a później dołożenie niewielkiego dodatku. Dodatek podczas płatności klienta wyświetli podstawiony formularz/stronę do płatności, a niespodziewający się niczego podejrzanego klient – zapłaci.

Właśnie otrzymaliśmy dość rozbudowane opracowanie, pokazujące infekcję poprzez Magecart (tak się zbiorowo nazywa grupę kilku grup hackerskich atakujących właśnie ecommerce).

Jeśli ktoś chce przeskoczyć do listy przeszło 1200 sklepów, które wg badacza zostały zaatakowane (być może cały czas są zainfekowane) – tutaj bezpośredni link. Wśród polskich domen widać tutaj np.:

  • sklepsilvermagic[.]pl
  • hurtsilvermagic[.]pl
  • laborisfarma[.]pl
  • lazieneczka[.]pl
  • www.sukhi[.]pl
  • www.xkko[.]pl
  • 4oczy[.]pl

Schematy ataków na sklepy internetowe są różne: wykradanie danych klientów, zmiana numerów kont które sklep wysyła w e-mailu po dokonaniu zakupów czy właśnie podmiana formularzy płatności. Zarówno żeby sprawdzić czy nie było się ofiarą infekcji jak i załatać ew. luki – warto realizować regularne audyty bezpieczeństwa.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Towj ncik
    12 maja, 2020 | 9:06 pm

    Ciiekawe czy kod CVV da się mienić bez zastrzegania karty, i ciekaw co zrobią banki jak numety kart zaczną mosowo wyciekać.

    Odpowiedz
    • łoku
      13 maja, 2020 | 4:28 pm

      A co miałyby robić? Odrzucają reklamacje! :)

      Odpowiedz
  2. Borys
    13 maja, 2020 | 6:59 am

    Dzień dobry,

    Problem jest taki, że wiele podmiotów nie robi aktualizacji ani po stronie aplikacji ani po stronie serwera.
    I te konfiguracje serwerów, gdy nawet nie ma potrzeby dostępu do bazy z zewnątrz to i tak jest udostępniona :D bo tak było w poradniku na stornie :D SeLinuxa też pewno wszyscy wyłączają, bo wszędzie pisze, żeby go wyłączać :D a Ci co to piszą te artykułu, to nawet nie wiedzą o czym piszą, bo każdy przepisuje od innego.

    Trzeba mieć ogromne szczęście, aby atak szablonowy się powiódł gdy ma się poprawnie skonfigurowane dostęp do kartotek w serwerze webowy, SeLinux, firewalla aplikacji webowej, fail2ban, firewalla. System jest zaktualizowany, a aplikacja ma najnowsze aktualizacje bezpieczeństwa.

    Sam firewall potrafi wyrżnąć podejrzane IP, które są raportowane cały czas, więc atakujący nawet nie podejmie próby :)

    Odpowiedz

Odpowiedz