Zespół powołany przez organizację Visa w ramach projektu „Payment Fraud Disruption” opublikował swoje ostatnie odkrycie i zarazem ostrzeżenie dla klientów płacących kartą Visa na portalach internetowych. Przeszukując Internet natrafili na skimming umieszczony na kilku sklepach internetowych w Ameryce.
Skimmer to rodzaj złośliwego kodu (zazwyczaj JavaScript), umieszczonego na skompromitowanej stronie www, w celu kradzieży danych płatniczych lub danych wrażliwych klientów witryny. Zazwyczaj infekowane są nim słabo zabezpieczone i mało popularne sklepy internetowe. Użytkownicy nie są nawet świadomi, że wpisując swoje dane są one przechwytywane przez cyberprzestępców, co często prowadzi do oszustw bankowych, czyli fraudów.
W swoim raporcie, Visa oznajmia, że znaleziono już 16 witryn w Stanach Zjednoczonych, które zostały zainfekowane niebezpiecznym wirusem. Całość raportu dostępna jest pod linkiem. Skimmer otrzymał chlubną nazwę „Pipka”.
Największą ciekawostką świadczącą o zaawansowanym i przemyślanym ataku na strony www, jest fakt, że malware zawiera mechanizm usuwający samego siebie z kodu HTML witryny, zaraz po udanym wykonaniu. Wszystko w celu uniknięcia detekcji i poznania struktury działania kodu wirusa. Zespół security firmy Visa twierdzi, że nigdy nie widział ani nawet nie słyszał o podobnym zachowaniu takiego skimmera. Jest to więc ewenement i mądrze skonstruowany atak.
Skimmer pobiera wprowadzone dane płatnicze użytkowników, takie jak: numer karty, data ważności karty, numer CVV, imię, nazwisko oraz adres właściciela. Następnie koduje je w base64 i szyfruje prostym szyfrem symetrycznym zwanym ROT13. Jest to nic innego, jak szyfr Cezara z offsetem 13. Dane następnie wysyłane są do serwera Command & Control, pod warunkiem, że jest z nim komunikacja. Jeśli takiej nie ma, to dane zostaną zachowane na serwerze webowym i przesłane do serwera C&C, jak tylko komunikacja zostanie ustanowiona.
Malware jest na tyle sprytny, że radzi sobie również w przypadku infekcji sklepów internetowych, w których sam proces płacenia odbywa się na innej, zewnętrznej domenie, czyli tzw. two-step checkout.
W opublikowanym raporcie Visa wydała również zalecenia dla administratorów stron e-commerce. Niektóre z nich pokrywają się z naszymi zaleceniami z artykułu o zhackowanej stronie internetowej z kampanii Apteczka Security. Są to na przykład:
- Wprowadzenie kontroli i monitoringu pod kątem komunikacji z serwerami C2 opublikowanymi w raporcie
- Zadbaj o integralność wykorzystywanych serwisów e-commerce
- Regularnie skanuj witrynę pod kątem podatności i obecności złośliwego kodu
- Regularnie aktualizuj i łataj cały software wykorzystywany na stronie
- Ogranicz dostęp do portalu administracyjnego
- Bacznie obserwuj sieci CDN (Content Delivery Networks)