[:it]
Aggiornamento 17 ottobre: già 841 store sono stati corretti!. Grazie a tutti coloro che instancabilmente hanno segnalato e corretto gli store.
Aggiornamento 14 ottobre: Github ha rimosso i miei dati così sono passato a Gitlab ( dichiarazione di Gitlab su questo caso ).
- skimming delle carte online aumentato del 69% da nov 2015
- Diversi gruppi coinvolti
- i commercianti non ne sono consapevoli
La scorsa settimana ho mostrato come i repubblicani del Senato siano stati vittime di skimming per 6 mesi (poi è stato lentamente risolto). Ma questo è solo un esempio tra le migliaia di store compromessi e ancora vittime di skimming.
Come funziona
Lo skimming online è esattamente come lo skimming fisico: i dati della carta vengono rubati in modo che altre persone possano spendere i vostri soldi. Tuttavia, lo skimming online è più efficace perché a) è più difficile da individuare e b) è quasi impossibile rintracciare i ladri
In breve: gli hacker accedono al codice sorgente di uno store utilizzando le vulnerabilità del software non aggiornate in vari software popolari di e-commerce. Una volta che lo store è sotto il controllo dell’autore, viene installata una cimice (in Javascript) che incanala i dati di pagamento in tempo reale a un server di raccolta off-shore (per lo più in Russia). Questa cimice sembra funzionare perfettamente sia per i clienti che per il commerciante. Le carte di credito vittime di skimming vengono poi vendute sul dark web alla tariffa usuale di $30 a carta .
Lo skimming online conquista popolarità
Lo skimming online è una nuova forma di frode con carta di credito. Nel novembre 2015 è stato segnalato il primo caso . Dopo alcune indagini, ho analizzato un campione di 255000 store online a livello globale e ho trovato 3501 store vittime di skimming. Ormai son passati dieci mesi. I colpevoli sono in carcere? Non proprio, ecco i numeri degli store compromessi:
| November 2015 | 3501 | |
| March 2016 | 4476 | +28% |
| September 2016 | 5925 | +69% |
Le vittime variano da produttori di auto (Audi ZA) al governo (NRSC, Malesia) alla moda (Converse, Heels.com), alle star del pop (Bjork) alle ONG (Science Museum, Washington Cathedral).
I 754 store vittime oggi erano già state colpite nel 2015. A quanto pare è possibile effettuare skimming delle carte indisturbati per mesi.
Aggiornamento 14 ottobre: 631 store sono stati corretti, ottimo lavoro!
I colpevoli diventano professionisti
Nel 2015 le segnalazioni di malware sono state lievi varianti dello stesso codice di base. In marzo 2016, è stata scoperta un’altra varietà di malware ( servizio in olandese ). Oggi possono essere identificate almeno 9 varianti e 3 distinte famiglie di malware (alcuni miei campioni). Ciò suggerisce che sono coinvolte più persone, o gruppi.
Una ragione per la quale molte violazioni passano inosservate è la quantità di sforzo speso per offuscare il codice del malware. I casi di malware passati contenevano JavaScript abbastanza leggibile ma nell’ultima analisi sono state scoperte versioni più complesse. Alcuni malware usano l’offuscamento multilivello , che potrebbe richiedere a un programmatore un bel po’ di tempo per la decodifica. A ciò si aggiunga il fatto che la maggior parte dell’offuscamento include un certo livello di casualità, il che rende difficile l’attuazione del filtraggio statico.
Per ingannare l’osservatore casuale, il malware, talvolta, è stato mascherato come codice UPS:
Un altro segno di sofisticazione del malware è la maturità dell’algoritmo di rilevamento del pagamento. Il primo malware intercettava solamente pagine che possedevano il checkout nell’URL. Le versioni più recenti controllano anche i plugin di pagamento popolari come Firecheckout, Onestepcheckout e Paypal.
Risposte dai commercianti preoccupati
Ho contattato manualmente diversi negozi compromessi e ho ottenuto alcune risposte curiose:
non ci importa, i nostri pagamenti vengono gestiti da un provider di pagamento di terze parti
Se qualcuno è in grado d’iniettare JavaScript nel tuo sito, anche il database è molto probabile che sia stato violato.
Grazie per il suggerimento, ma il nostro negozio è totalmente sicuro. C’è solo un fastidioso errore javascript
O, ancora meglio:
Il nostro negozio è sicuro perché usiamo https
Soluzioni
I nuovi casi potrebbero essere fermati immediatamente se i proprietari dello store aggiornassero il proprio software regolarmente. Ma è costoso e la maggior parte dei commercianti non si preoccupano.
Inoltre, ciò non fermerebbe l’hausse corrente degli illeciti. Mentre gli store potrebbero essere contattati solo singolarmente, si tratta di un sacco di lavoro e nessuno lo fa. Aziende come Visa o Mastercard potrebbero revocare la licenza di pagamento dei commercianti disonesti. Ma sarebbe molto più efficace se Google aggiungesse i siti compromessi alla sua lista nera della Navigazione sicura di Chrome. I visitatori verrebbero accolti da una grossa schermata di avviso rossa che indurrebbe il proprietario dello store a risolvere rapidamente la situazione. Ho presentato tutti i miei campioni di malware al team di Navigazione sicura di Google ma, finora, solo una piccola parte del malware rilevato è stato bloccato.
Sei un commerciante?
Se lo store è compromesso (controlla MageReport), trova un programmatore competente, o un’agenzia di sviluppo e inviali qui: come recuperare uno store violato. In alcune giurisdizioni potrebbe essere necessario segnalare queste violazioni della sicurezza al governo (vedi la legge nei Paesi Bassi o negli Stati Uniti ).
Se hai pulito lo store, mandami una mail e sarò lieto di rimuovere il sito dai miei dati.
Per ulteriori informazioni:
- dissezione tecnica di una famiglia di malware
- Cultura ed economia del riciclaggio delle carte di credito
- I repubblicani sono stati vittime di skimming per 6 mesi e lentamente hanno corretto il loro store
- Prima scoperta dello skimming online
(Il post è stato tradotto grazie all’esplicita autorizzazione di nighly secure)
Fonte: 5900 online stores found skimming [analysis][:en]
Update Oct 17th: already 841 stores have been fixed! Thanks to everybody who tirelessly notified and fixed stores.
Update Oct 14th: Github has booted my data and I have moved to Gitlab (statement from Gitlab on this case).
- Online card skimming is up 69% since Nov 2015
- Multiple groups involved
- Merchants are unaware
Last week I showed how the Senate Republicans were skimmed for 6 months (and then it was quietly fixed). But this is just one example of thousands of stores that have been compromised and are still being skimmed.
How it works
Online skimming is just like physical skimming: your card details are stolen so that other people can spend your money. However, online skimming is more effective because a) it is harder to detect and b) it is near impossible to trace the thieves.
In short: hackers gain access to a store’s source code using unpatched software flaws in various popular e-commerce software. Once a store is under control of a perpetrator, a (Javascript) wiretap is installed that funnels live payment data to an off-shore collection server (mostly in Russia). This wiretap operates transparently for customers and the merchant. Skimmed credit cards are then sold on the dark web for the going rate of $30 per card .
Online skimming gains popularity
Online skimming is a new form of card fraud. In November 2015, the first case was reported. Upon investigating, I scanned a sample of 255K online stores globally and found 3501 stores to be skimmed. It is now ten months later. Are the culprits in jail yet? Not quite, here are the numbers of compromised stores:
| November 2015 | 3501 | |
| March 2016 | 4476 | +28% |
| September 2016 | 5925 | +69% |
Victims vary from car makers (Audi ZA) to government (NRSC, Malaysia) to fashion (Converse, Heels.com), to pop stars (Bjork) to NGOs (Science Museum, Washington Cathedral).
754 stores who are skimming today, were already skimming in 2015. Apparently you can skim cards undisturbed for months.
Update Oct 14: 631 stores have been fixed, good work everybody!
Culprits get professional
In 2015, reported malware cases were all minor variations of the same code base. In March 2016, another malware variety was discovered (report in Dutch). Today, at least 9 varieties and 3 distinct malware families can be identified (see my collection of samples). This suggests that multiple persons or groups are involved.
One reason that many hacks go unnoticed is the amount of effort spent on obfuscating the malware code. Earlier malware cases contained pretty readable Javascript but in the last scan more sophisticated versions were discovered. Some malware uses multi-layer obfuscation, which would take a programmer a fair bit of time to reverse engineer. Add to this that most obfuscation includes some level of randomness, which makes it difficult to implement static filtering.
To trick the casual observer, the malware has sometimes been disguised as UPS code:
Another sign of malware sophistication is the maturity of the payment detection algorithm. The first malware just intercepted pages that had checkout in the URL. Newer versions also check for popular payment plugins such as Firecheckout, Onestepcheckout and Paypal.
Replies from worried merchants
I have manually reported several compromised shops and got some curious responses:
We don’t care, our payments are handled by a 3rd party payment provider
If someone can inject Javascript into your site, your database is most likely also hacked.
Thanks for your suggestion, but our shop is totally safe. There is just an annoying javascript error.
Or, even better:
Our shop is safe because we use https
Solutions
New cases could be stopped right away if store owners would upgrade their software regularly. But this is costly and most merchants don’t bother.
Besides, that would not repair the current hausse of abuse. While stores could be contacted on an individual basis, it is a lot of work and nobody does it. Companies such as Visa or Mastercard could revoke the payment license of sloppy merchants. But it would be way more efficient if Google would add the compromised sites to its Chrome Safe Browsing blacklist. Visitors would be greeted with a fat red warning screen and induce the store owner to quickly resolve the situation. I have submitted all my malware samples to Google’s Safe Browsing team but only a small part of the detected malware has been blocked so far.
Are you a merchant?
If your store is compromised (check MageReport), find a competent programmer or development agency and send them here: how to recover a hacked store. In some jurisdictions you might have to report these security breaches to the government (see law in The Netherlands or United States).
If you have cleaned your store, send me an email and I will gladly remove your site from my data.
Read more:
- Technical dissection of one malware family
- Culture and economics of credit card laundering
- Republicans were skimmed for 6 months and quietly fixed their store
- First discovery of online skimming
(The post has been translated with explicit permission of nighly secure)
Source: 5900 online stores found skimming [analysis][:]