Zespół powołany przez organizację Visa w ramach projektu „Payment Fraud Disruption” opublikował swoje ostatnie odkrycie i zarazem ostrzeżenie dla klientów płacących kartą Visa na portalach internetowych. Przeszukując Internet natrafili na skimming umieszczony na kilku sklepach internetowych w Ameryce.

Skimmer to rodzaj złośliwego kodu (zazwyczaj JavaScript), umieszczonego na skompromitowanej stronie www, w celu kradzieży danych płatniczych lub danych wrażliwych klientów witryny. Zazwyczaj infekowane są nim słabo zabezpieczone i mało popularne sklepy internetowe. Użytkownicy nie są nawet świadomi, że wpisując swoje dane są one przechwytywane przez cyberprzestępców, co często prowadzi do oszustw bankowych, czyli fraudów.

W swoim raporcie, Visa oznajmia, że znaleziono już 16 witryn w Stanach Zjednoczonych, które zostały zainfekowane niebezpiecznym wirusem. Całość raportu dostępna jest pod linkiem. Skimmer otrzymał chlubną nazwę „Pipka”. Największą ciekawostką świadczącą o zaawansowanym i przemyślanym ataku na strony www, jest fakt, że malware zawiera mechanizm usuwający samego siebie z kodu HTML witryny, zaraz po udanym wykonaniu. Wszystko w celu uniknięcia detekcji i poznania struktury działania kodu wirusa. Zespół security firmy Visa twierdzi, że nigdy nie widział ani nawet nie słyszał o podobnym zachowaniu takiego skimmera. Jest to więc ewenement i mądrze skonstruowany atak.

Skimmer pobiera wprowadzone dane płatnicze użytkowników, takie jak: numer karty, data ważności karty, numer CVV, imię, nazwisko oraz adres właściciela. Następnie koduje je w base64 i szyfruje prostym szyfrem symetrycznym zwanym ROT13. Jest to nic innego, jak szyfr Cezara z offsetem 13. Dane następnie wysyłane są do serwera Command & Control, pod warunkiem, że jest z nim komunikacja. Jeśli takiej nie ma, to dane zostaną zachowane na serwerze webowym i przesłane do serwera C&C, jak tylko komunikacja zostanie ustanowiona.

Malware jest na tyle sprytny, że radzi sobie również w przypadku infekcji sklepów internetowych, w których sam proces płacenia odbywa się na innej, zewnętrznej domenie, czyli tzw. two-step checkout.

W opublikowanym raporcie Visa wydała również zalecenia dla administratorów stron e-commerce. Niektóre z nich pokrywają się z naszymi zaleceniami z artykułu o zhackowanej stronie internetowej z kampanii Apteczka Security. Są to na przykład:

  • Wprowadzenie kontroli i monitoringu pod kątem komunikacji z serwerami C2 opublikowanymi w raporcie
  • Zadbaj o integralność wykorzystywanych serwisów e-commerce
  • Regularnie skanuj witrynę pod kątem podatności i obecności złośliwego kodu
  • Regularnie aktualizuj i łataj cały software wykorzystywany na stronie
  • Ogranicz dostęp do portalu administracyjnego
  • Bacznie obserwuj sieci CDN (Content Delivery Networks)