W dzisiejszym czasach zakupy w internecie są normą i coraz więcej osób spośród nas wykonuje je chętniej niż w stacjonarnych sklepach. Pomimo tego, że płatności kartą kredytową lub debetową są bezpieczne (głównie ze względu na procedurę chargeback, o której nie każdy pamięta), to cyberprzestępcy wciąż wykorzystać mogą nasz „plastik” do złych celów, o ile oczywiście w jakiś sposób podamy im wszystkie dane. Okazuje się, że niedawno mogliśmy to zrobić nawet na bezpiecznej stronie – badacze zajmujący się bezpieczeństwem w sieci poinformowali nas, że co najmniej 17 tysięcy stron internetowych zostało zainfekowanych złośliwym kodem, którego celem było wykradanie danych dotyczących płatności.
Niebezpieczne strony internetowe? Jak doszło do ich infekcji?
Badacze z firmy RiskIQ, która zajmuje się bezpieczeństwem w sieci, odkryli interesujący atak cyberprzestępców. Ich celem były strony internetowe, które obsługiwały płatności za pośrednictwem kart płatniczych oraz działały dzięki infrastrukturze Amazon S3. Okazuje się, że wiele spośród popularnych witryn nie posiadało odpowiednich zabezpieczeń plików, które przechowywane były na serwerach amerykańskiego giganta. Tę lukę postanowili wykorzystać cyberprzestępcy, których operacja otrzymała nazwę Megacart.
Zobacz też: Chcesz szybko naładować Samsunga Galaxy Note10+? Będziesz musiał zapłacić.
Jak dokładnie wygląda zatem proces ataku? Badacze informują, że cyberprzestępcy prawdopodobnie korzystają z odpowiednich skryptów i narzędzi, które bez ich pomocy przeszukują internet. Gdy znaleziona zostanie strona ze źle skonfigurowanymi zabezpieczeniami, urządzenie rozpoczyna poszukiwania plików JavaScript (czyli takich, których nazwa kończy się rozszerzeniem .js). Gdy te zostaną znalezione, są one pobierane na komputer i zostaje do nich dodany złośliwy kod. Następnie skrypt wysyła je na serwery Amazona, a poprzednie wersje zostają usunięte. Tym sposobem na stronach internetowych infekowane są wszystkie pliki JavaScript, nawet te, które nie są powiązane z procesem płatności. Cyberprzestępcy mają jednak szansę trafić na właściwe – wtedy wszystkie dane wprowadzone przez użytkownika na potencjalnie bezpiecznej stronie są przechwytywane.
Co robić, jak żyć?
Firma RiskIQ podaje, że do tej pory cyberprzestępcom udało się zainfekować co najmniej 17 tysięcy witryn. Czasem były to również znane sklepy – badacze informują, że niektóre z nich znajdują się w rankingu 2000 najpopularniejszych stron internetowych świata. Imponujące jest również tempo infekowania kolejnych witryn – mówi się, że skrypty potrafią zarazić aż 1000 nowych sklepów w ciągu jednej doby. Niestety nie wiemy, jakie strony zostały zainfekowane. Jeśli niedawno dokonywaliście zakupów przy pomocy karty w mniej znanych miejscach, to co pewien czas monitorujcie historię transakcji swojej karty (i tak powinniście to robić na bieżąco!). W przypadku wykrycia płatności, która nie została przez Was autoryzowana, zalecam jak najszybszy kontakt z bankiem i wykonanie procedury chargeback (nie dajcie sobie jednak wmówić reklamacji – zazwyczaj są one rozpatrywane negatywnie). Właściciele stron internetowych powinni natomiast odpowiednio zabezpieczyć pliki, tak, by mogły być one modyfikowane jedynie przez zaufanych użytkowników. Przede wszystkim jednak zachowajcie ostrożność!
Źródło: Bleeping Computer