Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Взломщики украли данные пользователей с британского сайта Casio

04/02/25

img23

Инцидент стал частью масштабной кампании веб-скимминга, которая на данный момент выявлена как минимум на 17 сайтах, работающих на платформе Magento или аналогичных решениях. Вредоносный код был активен на сайте Casio с 14 по 24 января, а 28 января код обнаружили ИБ-специалисты. В течение суток после уведомления компания устранила угрозу, пишет Securitylab.

Вредоносный скрипт был встроен в главный код сайта и отличался от стандартных методов веб-скимминга. Обычно такие атаки направлены на страницу оплаты, но в данном случае вредоносное ПО охватило все страницы сайта, за исключением «/checkout». Это позволило мошенникам собирать данные пользователей до перехода к оплате. При попытке оформить заказ через корзину появлялась поддельная форма ввода данных, которая маскировалась под стандартное оформление покупки.

Фальшивая форма запрашивала адрес, телефон, имя, и данные банковской карты. Введённая информация передавалась на удалённый сервер с использованием шифрования AES-256-CBC. Уникальность атаки в том, что после ввода всех данных пользователь получал сообщение об ошибке и перенаправлялся на настоящий раздел оформления заказа, где ему вновь предлагалось заполнить поля оплаты. Такой метод известен как «Double Entry» и позволяет мошенникам убедиться в подлинности информации.

10tsc8106j5hinu6przdm1kbjpi68dt0

В коде скиммера использовалось несколько уровней маскировки, в том числе индивидуальный механизм кодирования переменных, а также метод сокрытия строк через XOR-шифрование. Это позволяло обойти статический анализ и WAF -системы. Ещё одной особенностью атаки стало отсутствие кода вредоносного скрипта в ряде случаев, что указывало на встроенные механизмы обхода детектирования.

Все заражённые сайты загружали вредоносный код с определенных серверов. Несмотря на различие доменных имён, основной вредоносный код оставался схожим, что указывает либо на одного организатора атак, либо на использование единого инструмента для их генерации. Также выявлены случаи использования давно зарегистрированных, но неактивных доменов, что позволяло киберпреступникам избегать блокировок.

Система безопасности Casio UK включала в себя политику Content Security Policy (CSP), однако она работала в режиме отчётности и не была настроена на автоматическое блокирование нарушений, что позволило вредоносному коду внедриться на сайт без противодействий.

Темы:ВеликобританияПреступленияMagentoweb-скимминг
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...