Хакеры нацелились на праздники

Безопасность Стратегия безопасности Пользователю
мобильная версия
, Текст: Елена Менькова / Фото: ru.depositphotos.com

Традиционно зимний праздничный сезон – это время для отдыха, веселья и больших распродаж. Как указывают ИБ-специалисты, это также и период активизации киберпреступников. В этом году эксперты обращают особое внимание на атаки Magecart, а также предупреждают о необходимости принятия дополнительных мер для обнаружения и устранения подобных угроз.


Горячая пора

В этом году высокий сезон праздничных распродаж начался с рекордов: так только американский «Киберпонедельник» принес порядка $8 млрд и стал крупнейшим торговым онлайн-днем за всю историю США. По сравнению с предыдущим годом прирост поставил 19,7%. Об этом говорят данные компании Adobe Systems, отслеживающей активность на тысячах интернет-ресурсов. День Благодарения и «Черная пятница» также показали высокие значения – по сравнению с прошлым годом продажи выросли на 26,4% и в совокупности принесли онлайн-магазинам $12,3 млрд. Это только начало сезона подготовки к главным зимним праздникам – Рождеству и Новому году – с большим объемом расходов, которые потребители готовы потратить в ближайшем месяце.

Но как предупреждают ИБ-эксперты, на получение этих денег нацелены не только разнообразные продавцы. Киберпреступники и мошенники тоже стремятся воспользоваться интересом покупателей к интернет-торговле. Некоторые отчеты показывают, что в этот сезон распродаж активность хакеров в среднем возросла на 60%.

«Праздники – это не только время хорошего настроения, но и период всплеска онлайн-преступности, когда хакеры переходят в режим овердрайва. Зная, что потребители будут охотиться за скидками и совершать покупки в интернет-магазинах, злоумышленники находят способы кражи платежной информации, – рассказал Майк Биттнер (Mike Bittner), менеджер по цифровой безопасности и операциям в Media Trust. – И они располагают серьезным арсеналом методов: от подмены страниц оплаты, утечек платежной информации во время транзакций, и до фишинг-атак через приложения и цифровые кошельки, которые ранее считались безопасными».

Одновременно с этим аналитики обращают отдельное внимание на рост угроз со стороны Magecart. Эта группировка несет ответственность за крупномасштабные вредоносные компании, во время которых были украдены данные кредитных карт множества клиентов таких сайтов, как Ticketmaster, British Airways и Newegg.

«В этом году классический набор махинаций киберприступников пополнился особенно опасными нападениями Magecart, – сообщил Йонатан Клинсма (Yonathan Klijnsma), специалист по киберугрозам из RiskIQ. – Каждый день они взламывают сотни сайтов электронной коммерции и размещают на них свои сценарии скимминга кредитных карт, чтобы напрямую перехватывать платежную информацию потребителей при совершении покупок».

Многие сайты электронной коммерции были взломаны Magecart несколько раз подряд, причем один из них был скомпрометирован 18 раз

Armor Threat Resistance Unit (TRU) выпустила отчет, в котором предупредила ИБ-подразделения о необходимости принять дополнительные меры для обнаружения и устранения угроз, подобных Magecart, и защиты клиентов.

Одно имя для множества

Magecart – это обобщающее название, применяемое, по крайней мере, к 11 киберпреступным группам, имеющим схожий способ совершения преступлений. Они взламывают сайты электронной коммерции и внедряют на страницах оплаты вредоносный код для считывания вводимых покупателями финансовых данных (так называемый цифровой скиммер). По мере того, как пользователь заполняет свои платежные реквизиты (номер банковской карты, имя и адрес), данные фиксируются и отправляются злоумышленникам в режиме реального времени. Это означает, что информация может быть украдена, даже если продавец работает в соответствии со стандартами PCI DSS и не сохраняет данные банковской карты в собственной базе после завершения покупки.

При этом различные группы Magecart никоим образом не связаны между собой, кроме того, что они конкурируют друг с другом в области кражи информации о платежных картах. ИБ-исследователи дифференцируют группы на основе того, какую уникальную инфраструктуру, скиммеры и тактику они используют. Так, например, «группа 5» организовала утечку в Ticketmaster, «группа 6» – в British Airways и Newegg.

Первые известные атаки Magecart датируются 2015 г., когда они были обнаружены независимым ИБ-экспертом Виллемом де Грутом (Willem de Groot). По его данным, за прошедшее время свыше 20% онлайн-магазинов, пострадавших от атак Magecart, подверглись повторному заражению после удаления вредоносного кода. Многие сайты электронной коммерции были взломаны несколько раз подряд: к примеру, хакеры сумели четырежды инфицировать британский магазин электроники Kitronik и трижды сайт сервиса push-уведомлений Feedify. По словам де Грута, один из веб-ресурсов был скомпрометирован Magecart 18 раз.

Первые два года злоумышленники в основном специализировались на взломах онлайн-магазинов, использующих платформу Magento, но позже расширили тактику за счет атак на более крупные сервисы.

Опосредованные атаки набирают популярность

В последнее время для проведения атак Magecart все чаще взламывают сторонние сервисы, связанные с онлайн-магазинами (например, различные виджеты чатов или поддержки). Так хакеры использовали Shopper Approved в качестве своеобразного шлюза для доступа к платежной информации клиентов. Этот инструмент для сбора и публикации отзывов клиентов встроен в более чем 7000 интернет-магазинов. В связи с этим эксперты рекомендуют владельцам компаний, занимающихся электронной коммерцией, по возможности удалить сторонний код, расположенный на страницах оформления заказа.

«Атаки на сервисы электронной коммерции становятся от года к году все более популярными. Владельцам ресурсов важно своевременно оценить риски и включить в состав комплекса мер обеспечения информационной безопасности специализированные решения по защите от атак на веб-приложения: Web Application Firewall (WAF), – рассказал системный инженер Fortinet Юрий Захаров. – Помимо этого, рекомендуется не использовать сторонний код в разделах, где пользователи вводят конфиденциальные данные при совершении платежей. К сожалению, как показывает практика, зачастую не все компании ответственно подходят к выбору и поддержке средств защиты, поэтому подобного плана атаки происходят достаточно регулярно».

Крупный улов

Одной из последних жертв Magecart стал американский филиал Сотбис, расположенный в Нью-Йорке. Согласно заявлению, опубликованному несколько дней назад, вредоносный код был обнаружен на сайте аукционного дома 10 октября и «оперативно удален». Представители Сотбис признались, что не уверены, когда именно сайт впервые подвергся этой атаке. Однако предполагается, что скиммер находился там «по крайней мере» с марта 2017 г.

«Мы считаем, что ответственность за инцидент несет так называемая группировка Magecart, которая нацелилась на большое количество сайтов электронной коммерции и которая, как известно, ранее атаковала другие компании, чей веб-сайт использует то же программное обеспечение, что и Sotheby's Home», – говорится в сообщении.

Согласно заявлению аукционного дома, вредоносный код был разработан для таргетинга данных, введенных в форму оплаты на веб-сайте Sotheby's Home. Эта информация включает имя, почтовый адрес, адрес электронной почты и номер банковской карты, дату истечения срока ее действия и код CVV. О количестве жертв этой атаки пока не сообщается.