Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Visa ostrzega o nowym sposobie kradzieży danych płatniczych! Wykryto już 16 zarażonych stron www

Kapitan Hack / Cybernews / Visa ostrzega o nowym sposobie kradzieży danych płatniczych! Wykryto już 16 zarażonych stron www

Zespół powołany przez organizację Visa w ramach projektu „Payment Fraud Disruption” opublikował swoje ostatnie odkrycie i zarazem ostrzeżenie dla klientów płacących kartą Visa na portalach internetowych. Przeszukując Internet natrafili na skimming umieszczony na kilku sklepach internetowych w Ameryce.

Skimmer to rodzaj złośliwego kodu (zazwyczaj JavaScript), umieszczonego na skompromitowanej stronie www, w celu kradzieży danych płatniczych lub danych wrażliwych klientów witryny. Zazwyczaj infekowane są nim słabo zabezpieczone i mało popularne sklepy internetowe. Użytkownicy nie są nawet świadomi, że wpisując swoje dane są one przechwytywane przez cyberprzestępców, co często prowadzi do oszustw bankowych, czyli fraudów.

W swoim raporcie, Visa oznajmia, że znaleziono już 16 witryn w Stanach Zjednoczonych, które zostały zainfekowane niebezpiecznym wirusem. Całość raportu dostępna jest pod linkiem. Skimmer otrzymał chlubną nazwę „Pipka”. Największą ciekawostką świadczącą o zaawansowanym i przemyślanym ataku na strony www, jest fakt, że malware zawiera mechanizm usuwający samego siebie z kodu HTML witryny, zaraz po udanym wykonaniu. Wszystko w celu uniknięcia detekcji i poznania struktury działania kodu wirusa. Zespół security firmy Visa twierdzi, że nigdy nie widział ani nawet nie słyszał o podobnym zachowaniu takiego skimmera. Jest to więc ewenement i mądrze skonstruowany atak.

Skimmer pobiera wprowadzone dane płatnicze użytkowników, takie jak: numer karty, data ważności karty, numer CVV, imię, nazwisko oraz adres właściciela. Następnie koduje je w base64 i szyfruje prostym szyfrem symetrycznym zwanym ROT13. Jest to nic innego, jak szyfr Cezara z offsetem 13. Dane następnie wysyłane są do serwera Command & Control, pod warunkiem, że jest z nim komunikacja. Jeśli takiej nie ma, to dane zostaną zachowane na serwerze webowym i przesłane do serwera C&C, jak tylko komunikacja zostanie ustanowiona.

Malware jest na tyle sprytny, że radzi sobie również w przypadku infekcji sklepów internetowych, w których sam proces płacenia odbywa się na innej, zewnętrznej domenie, czyli tzw. two-step checkout.

W opublikowanym raporcie Visa wydała również zalecenia dla administratorów stron e-commerce. Niektóre z nich pokrywają się z naszymi zaleceniami z artykułu o zhackowanej stronie internetowej z kampanii Apteczka Security. Są to na przykład:

Autor: 3 min czytania
  • Wprowadzenie kontroli i monitoringu pod kątem komunikacji z serwerami C2 opublikowanymi w raporcie
  • Zadbaj o integralność wykorzystywanych serwisów e-commerce
  • Regularnie skanuj witrynę pod kątem podatności i obecności złośliwego kodu
  • Regularnie aktualizuj i łataj cały software wykorzystywany na stronie
  • Ogranicz dostęp do portalu administracyjnego
  • Bacznie obserwuj sieci CDN (Content Delivery Networks)

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
4 min czytania 20 sie 2025 08:00
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
4 min czytania 19 sie 2025 06:58
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
3 min czytania wczoraj
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...
3 min czytania 9 sie 2025 06:13
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
5 min czytania 15 sie 2025 06:53
Popularne
Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0
Miliony laptopów Dell narażone na kompromitację
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?
Od 2016 roku tworzymy zaawansowane rozwiązania IT. Setki wdrożeń i lata doświadczenia pozwalają nam projektować systemy i oferować usługi, które odpowiadają na potrzeby najbardziej wymagających Klientów.
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.