Pozor! Nebezpečný útok kradne čísla kreditných kariet cez falošný Facebook tracker: Užívateľ pritom nič nepostrehne
Bezpečnostní experti si všímajú prefíkaný útok, ktorý cieli hlavne na rozličné e-shopy.
V posledných mesiacoch bezpečnostní experti pozorujú prípady, v ktorých útočníci implementujú malvér do softvéru, ktorý dovoľuje používanie vlastného kódu. Túto taktiku uplatňujú napríklad v admin paneli Magento alebo pri rôznych pluginoch v softvéri WordPress.
Ide o populárnu formu útoku, pretože kyberzločinci môžu jednoducho predstierať, že ich malvér je neškodnou súčasťou externého skriptu, napríklad skriptu pre Google Analytics alebo rôznych knižníc, ako je napríklad JQuery. Ďalšou výhodou pre útočníkov je to, že svoj malvér môžu dostať na akúkoľvek stránku bez ďalšej verifikácie. Keď sa skripty aktivujú, prinesú na stránku škodlivé funkcie.
Bezpečnostní experti zo Scuri pozorovali túto formu útoku, ktorá oproti iným prebieha zaujímavejšie. Hackeri dokázali dostať do sledovacieho skriptu Facebook Pixel nástroj na kradnutie údajov kreditnej karty. Ak neviete, Facebook Pixel sú skripty, ktoré fungujú na podobnom princípe ako Google Tagy. V tomto prípade ale monitorujú užívateľskú aktivitu a optimalizujú dáta o sledovateľoch pre reklamné kampane.
Keď vedci analyzovali falošný Facebook pixel skript, všimli si, že vyzerá takmer rovnako, ako reálny skript. Namiesto odkazu na skutočnú Facebook doménu však škodlivý skript odkazuje na doménu útočníka. Cez ňu sa nahrávajú škodlivé funkcie na stránku. Škodlivý skript sleduje, či ste náhodou nevstúpili na platobnú stránku internetového obchodu. Keď áno, potom ukradne údaje vašej kreditnej karty.
Hackeri sa v kóde ubezpečili, že sa falošný skript aktivuje len vtedy, ak užívateľ vstúpi na stránku internetového obchodu alebo do košíka. V rámci tohto konkrétneho podvodu hackeri dokázali nahradiť časti originálneho kódu pomerne kreatívnym spôsobom.
Neprehliadnite
Podvodný skript prebieha v tichosti na pozadí
Ako sme už spomenuli, útočníci nahradili odkaz na pôvodnú doménu Facebooku svojou vlastnou. V tomto prípade ide o doménu b-connected. Bezpečnostní experti si všimli, že táto stránka existuje už od roku 2002 a ide o ozajstnú obchodnú stránku. V určitom bode sa však táto doména musela padnúť za obeť hackerom, nebolo by to prvýkrát.
Ďalšia časť kódu nahradí skutočný platobný formulár falošným. Po zadaní platobných informácií sa dáta posielajú útočníkovi na ďalšiu napadnutú doménu.
Nanešťastie táto forma útoku používa platný skriptový template, čo znamená, že sa škodlivý skript nemusí prezentovať nijak viditeľným spôsobom. Ukrytiu škodlivého skriptu pomáha aj to, že sa neaktivuje, až kým sa užívateľ nedostane k plateniu na stránke.
Bezpečnostní experti vysvetľujú, že väčšina platobných stránok sa dynamicky generuje na základe dát súborov cookies a ďalších premenných na stránke. Škodlivé skripty sa preto dokážu vyhnúť bezpečnostným opatreniam. Jediný spôsob ako malvér odhaliť je skontrolovať zdrojový kód stránky alebo sledovať premávku na sieti. Škodlivé skripty väčšinou prebiehajú ticho v pozadí.
Majitelia internetových obchodov by teda mali dbať na to, aby mali stránku aktualizovanú. Zároveň treba stránku monitorovať a skontrolovať aj admin účty a aktualizovať heslá.
Komentáre