Magecart вернулись: гостиницы на линии огня

Magecart вернулись: гостиницы на линии огня
Еще в июле группа кибер-злоумышленников под названием Magecart сотрясла мир электронной коммерции. Их вредоносный скимминговый код, который вставлялся на веб-сайты этих компаний для кражи персональных и финансовых данных клиентов при проведении ими онлайн-покупок, был обнаружен примерно на 18000 доменах . И этот инцидент был не единственным.
Год назад британская авиакомпания British Airways сообщила, что стала жертвой массового нарушения данных . Злоумышленники сумели украсть персональные данные примерно 500 000 клиентов авиакомпании, которые включали в себя такую конфиденциальную информацию как ФИО, номера банковских карт и их CVV-коды, а также адреса электронной почты. Спустя десять месяцев авиакомпания получила рекордный штраф в размере 183 миллионов фунтов стерлингов (свыше 204 миллионов евро) в рамках европейского законодательства о защите персональных данных GDPR. Кто стоял за этой атакой? Magecart.

Гостиничный сектор на линии огня
В сентябре было обнаружено, что две сети отелей пострадали от кампании Magecart. В ее рамках скимминговый код был встроен на мобильные веб-сайты двух сетей отелей в результате атаки на их поставщика при проведении атаки на цепочку поставок .

В обоих случаях этим поставщиком была компания Roomleader из Барселоны (Испания), которая предоставляет услуги цифрового маркетинга и веб-разработок. Один из сервисов, предоставляемых компанией Roomleader, - это модуль, который сохраняет просматриваемые посетителем отели в своих  куках. Две пострадавших сети отелей внедрили этот модуль, который злоумышленники заразили специальным вредоносным скриптом JavaScript.

Как это часто бывает в случаях с атаками Magecart, скимминговый код предназначен для работы в цифровом окружении и он осуществляет кражу данных из форм для оплаты. Среди украденных данных – номера банковских карт, ФИО покупателей, адреса электронной почты и номера телефонов. Затем эти данные дважды шифруются, после чего извлекаются кибер-преступниками, которые могут расшифровать и просмотреть их.


Почему они атаковали только мобильные веб-сайты?
Хотя скимминговый код способен красть данные как с ПК, так и с мобильных устройств, злоумышленники из Magecart специально запрограммировали вредоносную программу для атаки только на мобильных пользователей. Любой, кто посещал веб-сайт с компьютера, получал нормальный скрипт JavaScript. Вероятно, это было сделано для того, чтобы дольше оставаться незамеченным со стороны программ безопасности, которые, как правило, установлены на компьютерах.

Другой обман, использованный кибер-преступниками, заключался в том, чтобы запрограммировать скиммер так, чтобы он подменял платежные формы на другие, немного отличающиеся, но созданные хакерами. Они даже дошли до того, чтобы перевести сайты на восемь языков, используемых компаниями, которые они атаковали.

Считается, что это было сделано с той целью, что многие формы бронирования номеров в отелях не запрашивают заранее код CVV, т.к. клиенты оплачивают по прибытию в отель. Но злоумышленникам нужен был этот код для того, чтобы можно было использовать украденные данные, поэтому они создали версию формы, которая просила указать этот код.

Не позвольте Magecart украсть данные вашей компании
Список жертв Magecart очень большой, и он включает такие хорошо известные компании как Ticketmaster , Forbes и Amazon CloudFront . Чтобы атаковать такое большое количество компаний из сферы электронной коммерции, требуется широкий спектр техник, а также постоянная адаптация под новые ситуации – это означает, что организациям требуется принять модель непрерывной кибер-устойчивости. Вот почему так важно идти на шаг впереди этих атак и быть уверенными в том, что такие атаки не причинят вреда вашей организации.

Panda Adaptive Defense : непрерывный мониторинг всех процессов и систем в вашей организации. Таким образом, решение способно предотвращать и останавливать любые кибер-угрозы прежде, чем они могут причинить реальные проблемы, будь то внедрение вредоносного кода, шифровальщик или шпионская программа.

Еще одна мера защиты, без которой не должна обходиться ни одна компания, - это своевременное применение соответствующих патчей для закрытия уязвимостей. Считается, что массовая кампания Magecart, которую мы видели этим летом, была облегчена уязвимостью в веб-приложении – наглядный пример того, насколько важна данная мера защиты.

Panda Adaptive Defense имеет дополнительный модуль Panda Patch Management . Этот модуль ищет и управляет соответствующими патчами для уязвимостей. Он автоматически осуществляет аудит и мониторинг уязвимостей, а также расставляет приоритеты между обновлениями для операционных систем и сотен сторонних приложений, а потому вы можете быть уверены в том, что ваша система всегда будет в обновленном состоянии.

Согласно RiskIQ , Magecart атакует интернет-компании как минимум с 2016 года, и, скорее всего, продолжит осуществлять свои операции против любых предприятий в сфере электронной коммерции. Поэтому мы рекомендуем вам надежно защитить свои системы, чтобы не стать следующей жертвой этих злоумышленников.



Оригинал статьи: Magecart is back: hotels in the firing line

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
предприятие сеть отелей цепочка поставок уязвимость
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.