Как работает веб-скиммер

[chushpan]

Веб-скиммер (или JS-скиммер) — это вредоносный скрипт, внедряемый на легальные веб-сайты для кражи данных банковских карт пользователей. В отличие от традиционных скимминговых устройств, которые устанавливаются на банкоматах или терминалах, веб-скиммеры работают через интернет и нацелены на онлайн-платежи. Рассмотрим, как работает веб-скиммер, его основные этапы и способы защиты.

1. Основная цель веб-скиммера​

Цель веб-скиммера — перехватывать данные банковских карт, которые пользователи вводят на зараженных сайтах:

• Номер карты.
• Срок действия.
• CVV/CVC-код.
• Имя держателя карты.

Эти данные затем отправляются злоумышленникам для использования в мошеннических операциях (например, кардинге).

2. Как работает веб-скиммер​

2.1. Внедрение вредоносного кода​

Кардеры внедряют вредоносный JavaScript-скрипт на целевой сайт. Это может быть сделано несколькими способами:

• Компрометация сайта: Взлом административной панели или CMS (например, WordPress).
• Атаки на сторонних поставщиков: Внедрение скрипта через уязвимости в сторонних сервисах (например, аналитика, чаты поддержки).
• Использование уязвимых плагинов: Эксплуатация уязвимостей в популярных плагинах или библиотеках JavaScript.
• Фишинг владельцев сайтов: Обман администраторов для получения доступа к сайту.

2.2. Перехват данных​

После внедрения вредоносный скрипт начинает работать, когда пользователь заходит на зараженный сайт:

• Мониторинг ввода данных: Скрипт следит за полями ввода на странице оплаты.
• Перехват информации: Когда пользователь вводит данные карты, скрипт копирует их.
• Скрытие активности: Скрипт маскируется под легальный код и не мешает процессу оплаты, чтобы жертва не заметила ничего подозрительного.

2.3. Передача данных злоумышленнику​

Собранные данные отправляются на сервер злоумышленника через:

• Скрытые URL: Данные передаются на удаленный сервер через HTTP/HTTPS.
• API: Используются облачные сервисы или специализированные платформы.
• Телеграм-боты: Современные веб-скиммеры часто используют Telegram для быстрой передачи данных.

2.4. Удаление следов​

Чтобы избежать обнаружения:

• Злоумышленники могут временно деактивировать скрипт.
• Используют шифрование для скрытия передаваемых данных.
• Маскируют код под легальные элементы сайта.

3. Где применяются веб-скиммеры​

3.1. Интернет-магазины​

• Веб-скиммеры часто внедряются на популярные сайты с большим объемом платежей:
  • Онлайн-ритейлеры.
  • Платформы для продажи билетов.
  • Сервисы подписок.

3.2. Банковские сайты​

• Злоумышленники могут атаковать сайты банков, особенно те, где доступна функция оплаты через интернет.

3.3. Формы онлайн-оплаты​

• Любая форма, где пользователи вводят данные карт, может стать целью:
  • Донаты.
  • Платежи за услуги.

4. Примеры известных атак с использованием веб-скиммеров​

4.1. Magecart​

• Группировка хакеров, известная своими атаками на интернет-магазины:
  • Внедряли вредоносный код в JavaScript-библиотеки.
  • Целью были крупные компании, такие как British Airways и Ticketmaster.

4.2. Volusion​

• В 2019 году платформа электронной коммерции Volusion была взломана, и вредоносный код был внедрен на сотни сайтов клиентов.

4.3. WooCommerce и Shopify​

• Эти популярные платформы также становились мишенями для атак через уязвимые плагины или темы.

5. Как защититься от веб-скиммеров​

5.1. Для пользователей​

• Используйте безопасные методы оплаты:
  • Apple Pay, Google Pay или другие системы с токенизацией.
  • Одноразовые виртуальные карты.
• Проверяйте URL сайта:
  • Убедитесь, что вы находитесь на официальном сайте.
• Обновляйте браузер:
  • Современные браузеры имеют встроенные механизмы защиты от веб-скиммеров.
• Используйте антивирусное ПО:
  • Некоторые антивирусы могут блокировать вредоносные скрипты.

5.2. Для владельцев сайтов​

• Регулярно проверяйте код:
  • Ищите подозрительные скрипты или изменения в файлах.
• Обновляйте CMS и плагины:
  • Уязвимости часто возникают из-за устаревшего программного обеспечения.
• Используйте Content Security Policy (CSP):
  • CSP помогает ограничить выполнение сторонних скриптов.
• Мониторьте трафик:
  • Используйте инструменты для анализа исходящего трафика на предмет подозрительных запросов.
• Шифруйте данные:
  • Используйте HTTPS для защиты данных пользователей.

6. Что делать, если ваш сайт стал жертвой веб-скиммера​

6.1. Обнаружение атаки​

• Проверьте исходный код сайта на наличие подозрительных скриптов.
• Проанализируйте исходящий трафик.

6.2. Устранение уязвимостей​

• Удалите вредоносный код.
• Обновите все компоненты сайта (CMS, плагины, темы).

6.3. Уведомление пользователей​

• Сообщите пользователям о возможной утечке данных.
• Рекомендуйте им проверить свои счета и заблокировать карты.

6.4. Усиление безопасности​

• Внедрите дополнительные меры защиты (например, CSP, двухфакторную аутентификацию для администраторов).

Заключение​

Веб-скиммеры представляют серьезную угрозу для пользователей и владельцев сайтов, так как позволяют злоумышленникам красть данные банковских карт прямо во время онлайн-платежей. Однако большинство атак можно предотвратить, соблюдая правила безопасности и регулярно проверяя сайт на наличие уязвимостей.

Главный вывод: Владельцы сайтов должны уделять особое внимание защите своих платформ, а пользователи — использовать безопасные методы оплаты и внимательно относиться к сайтам, на которых вводят данные карт.