Целью атаки стали интернет-магазины на основе популярных веб-платформ WooCommerce и Magento. WooCommerce входит в топ-3 самых используемых CMS. Сайты взламывают и встраивают в код специальные веб-скиммеры — модули для кражи данных банковских карт.
Это не классическая фишинговая атака, когда у пользователя крадут данные только из-за его невнимательности. Используется уязвимость Magento и WooCommerce. Скиммер-загрузчик или маскируется под фрагмент кода Meta Pixel, или прячется в случайных встроенных скриптах, уже присутствующих на скомпрометированной странице оформления заказа онлайн-магазина.
Для пользователя это выглядит так: после загрузки страницы "404 File Not Found" и при последующем обновлении происходит подмена страницы ввода платёжных данных, которую пользователь заполняет, доверяя сайту, на котором находится. Такая тактика хакеров позволяет им избегать обнаружения, так как для средств мониторинга трафика происходящее выглядит обычным запросом для получения изображения. Лишь при декодировании строки Base64 можно обнаружить персональные данные человека и информацию о банковской карте. В итоге администраторам становится труднее обнаруживать вредоносный код на скомпрометированных сайтах и избавляться от него.
Что делать, чтобы случайно не поделиться данными с мошенниками?
- Использовать надёжные антивирусы, которые могут автоматически определять загрузку вредоносного кода, вне зависимости от того, откуда она идёт.
- Внезапно оказавшись на странице 404 интернет-магазина со странным сценарием, задуматься на долю секунды, а затем закрыть её.
- Использовать для оплаты на сайтах виртуальную карту с ограниченной суммой на счёте и выставленными лимитами.
- Заблокировать и перевыпустить карту, если вы уже ввели все данные в подозрительную форму, а потом поняли, что не стоило так делать.