Зашел за продуктами – остался без денег на карте. Крупнейшие магазины мира «дарят» ваши данные хакерам

Обычная покупка продуктов в крупной сети может закончиться кражей данных банковской карты. Компания Sansec обнаружила вредоносный код на сайте одной из десяти крупнейших продуктовых сетей мира, однако спустя четыре дня после уведомлений скрипт продолжал работать.

Речь идёт о ритейлере с годовой выручкой около 100 млрд евро и более чем 10 тысячами магазинов в 25 странах. Часть интернет-продаж компания ведёт на платформе PrestaShop. По данным исследователей, вредоносный код активен с 16 февраля.

Это уже второй случай за последние недели, когда крупный мировой бренд оказался под ударом так называемого цифрового скимминга. В январе Sansec нашла перехватчик на сайте внутреннего магазина одного из трёх крупнейших банков США. Тогда атака тоже долго оставалась незамеченной.

Новая схема сочетает готовый набор инструментов для кражи данных с поддельной формой оплаты, аккуратно адаптированной под язык и оформление магазина. Покупатель вводит номер карты, срок действия и код безопасности в фальшивую форму, после чего его перенаправляют на настоящую страницу платёжного сервиса. Там данные просят ввести ещё раз. Большинство людей не видят подвоха и завершают заказ, даже не подозревая, что информация уже ушла злоумышленникам.

Суть приёма называют double tap skimming. Платёжные системы по стандарту PCI DSS требуют перенаправлять клиентов на защищённые формы, которые размещает сам платёжный провайдер. Прямо вмешаться в них сложно, поэтому злоумышленники вставляют поверх страницы собственную форму. Развитие генеративных моделей упростило задачу – такие поддельные окна теперь можно быстро создавать для любого языка и дизайна.

Атака происходит на странице оформления заказа. Скрипт следит за всеми полями ввода и сохраняет введённые значения в хранилище браузера. Данные карты записываются отдельно и защищаются от перезаписи. Когда пользователь нажимает кнопку оплаты, код проверяет номер карты, формирует набор данных вместе с адресом плательщика и сведениями о браузере, кодирует их и отправляет на домен stylemercedes.top, замаскированный под сервис сбора статистики. После этого вредоносный код убирает следы, возвращает оригинальную страницу и запускает настоящую кнопку оплаты.

Интересно, что скрипт умеет распознавать администраторов сайта. Он проверяет признаки панелей управления популярных систем управления, включая WordPress и Magento. Если обнаруживает, что страницу открыл сотрудник магазина, поддельная форма не показывается. Владельцы сайта могут даже не догадываться о проблеме.

На фоне этого случая сама PrestaShop в январе 2026 года предупреждала партнёров о волне атак с внедрением вредоносных скриптов в файлы шаблонов. В мире работает почти 300 тысяч магазинов на этой платформе, что делает её привлекательной целью. Sansec сообщила пострадавшей компании шесть раз, используя общий адрес, контакт по безопасности из файла security.txt и личное сообщение директору по информационной безопасности в LinkedIn. Ответа не последовало, а вредоносный код к моменту публикации отчёта так и не удалили.