(Analisi di) 5900 store online vittime di skimming

Aggiornamento 17 ottobre: già 841 store sono stati corretti!. Grazie a tutti coloro che instancabilmente hanno segnalato e corretto gli store.

Aggiornamento 14 ottobre: ​​Github ha rimosso i miei dati così sono passato a Gitlab ( dichiarazione di Gitlab su questo caso ).

  • skimming delle carte online aumentato del 69% da nov 2015
  • Diversi gruppi coinvolti
  • i commercianti non ne sono consapevoli

La scorsa settimana ho mostrato come i repubblicani del Senato siano stati vittime di skimming per 6 mesi (poi è stato lentamente risolto). Ma questo è solo un esempio tra le migliaia di store compromessi e ancora vittime di skimming.

skimming reale

Come funziona

Lo skimming online è esattamente come lo skimming fisico: i dati della carta vengono rubati in modo che altre persone possano spendere i vostri soldi. Tuttavia, lo skimming online è più efficace perché a) è più difficile da individuare e b) è quasi impossibile rintracciare i ladri

​​In breve: gli hacker accedono al codice sorgente di uno store utilizzando le vulnerabilità del software non aggiornate in vari software popolari di e-commerce. Una volta che lo store è sotto il controllo dell’autore, viene installata una cimice (in Javascript) che incanala i dati di pagamento in tempo reale a un server di raccolta off-shore (per lo più in Russia). Questa cimice sembra funzionare perfettamente sia per i clienti che per il commerciante. Le carte di credito vittime di skimming vengono poi vendute sul dark web alla tariffa usuale di $30 a carta .

Lo skimming online conquista popolarità

Lo skimming online è una nuova forma di frode con carta di credito. Nel novembre 2015 è stato segnalato il primo caso . Dopo alcune indagini, ho analizzato un campione di 255000 store online a livello globale e ho trovato 3501 store vittime di skimming. Ormai son passati dieci mesi. I colpevoli sono in carcere? Non proprio, ecco i numeri degli store compromessi:

November 2015

3501

March 2016

4476

+28%

September 2016

5925

+69%

Le vittime variano da produttori di auto (Audi ZA) al governo (NRSC, Malesia) alla moda (Converse, Heels.com), alle star del pop (Bjork) alle ONG (Science Museum, Washington Cathedral).

I 754 store vittime oggi erano già state colpite nel 2015. A quanto pare è possibile effettuare skimming delle carte indisturbati per mesi.

Aggiornamento 14 ottobre: 631 store sono stati corretti, ottimo lavoro!

I colpevoli diventano professionisti

Nel 2015 le segnalazioni di malware sono state lievi varianti dello stesso codice di base. In marzo 2016, è stata scoperta un’altra varietà di malware ( servizio in olandese ). Oggi possono essere identificate almeno 9 varianti e 3 distinte famiglie di malware (alcuni miei campioni). Ciò suggerisce che sono coinvolte più persone, o gruppi.

Una ragione per la quale molte violazioni passano inosservate è la quantità di sforzo speso per offuscare il codice del malware. I casi di malware passati contenevano JavaScript abbastanza leggibile ma nell’ultima analisi sono state scoperte versioni più complesse. Alcuni malware usano l’offuscamento multilivello , che potrebbe richiedere a un programmatore un bel po’ di tempo per la decodifica. A ciò si aggiunga il fatto che la maggior parte dell’offuscamento include un certo livello di casualità, il che rende difficile l’attuazione del filtraggio statico.

Per ingannare l’osservatore casuale, il malware, talvolta, è stato mascherato come codice UPS:

UPS sotto mentite spoglie

Un altro segno di sofisticazione del malware è la maturità dell’algoritmo di rilevamento del pagamento. Il primo malware intercettava solamente pagine che possedevano il checkout nell’URL. Le versioni più recenti controllano anche i plugin di pagamento popolari come Firecheckout, Onestepcheckout e Paypal.

Risposte dai commercianti preoccupati

Ho contattato manualmente diversi negozi compromessi e ho ottenuto alcune risposte curiose:

non ci importa, i nostri pagamenti vengono gestiti da un provider di pagamento di terze parti

Se qualcuno è in grado d’iniettare JavaScript nel tuo sito, anche il database è molto probabile che sia stato violato.

Grazie per il suggerimento, ma il nostro negozio è totalmente sicuro. C’è solo un fastidioso errore javascript

O, ancora meglio:

Il nostro negozio è sicuro perché usiamo https

Soluzioni

I nuovi casi potrebbero essere fermati immediatamente se i proprietari dello store aggiornassero il proprio software regolarmente. Ma è costoso e la maggior parte dei commercianti non si preoccupano.

Inoltre, ciò non fermerebbe l’hausse corrente degli illeciti. Mentre gli store potrebbero essere contattati solo singolarmente, si tratta di un sacco di lavoro e nessuno lo fa. Aziende come Visa o Mastercard potrebbero revocare la licenza di pagamento dei commercianti disonesti. Ma sarebbe molto più efficace se Google aggiungesse i siti compromessi alla sua lista nera della Navigazione sicura di Chrome. I visitatori verrebbero accolti da una grossa schermata di avviso rossa che indurrebbe il proprietario dello store a risolvere rapidamente la situazione. Ho presentato tutti i miei campioni di malware al team di Navigazione sicura di Google ma, finora, solo una piccola parte del malware rilevato è stato bloccato.

Navigazione sicura

Sei un commerciante?

Se lo store è compromesso (controlla MageReport), trova un programmatore competente, o un’agenzia di sviluppo e inviali qui: come recuperare uno store violato. In alcune giurisdizioni potrebbe essere necessario segnalare queste violazioni della sicurezza al governo (vedi la legge nei Paesi Bassi o negli Stati Uniti ).

Se hai pulito lo store, mandami una mail e sarò lieto di rimuovere il sito dai miei dati.

Per ulteriori informazioni:

(Il post è stato tradotto grazie all’esplicita autorizzazione di nighly secure)

Fonte: 5900 online stores found skimming [analysis]

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *