Gli Skimmers delle carte Magecart ampliano il portfolio degli attacchi

Magecart non è il nome di una nuova API del carrello degli acquisti online, ma il nome di una rete di criminali informatici che hanno rubato le credenziali delle carte di credito per alcuni anni. Uno dei gruppi che comprende la rete più grande conosciuta con il nome di Magecart è stato recentemente individuato dai ricercatori della sicurezza per utilizzare un nuovo metodo di attacco.

Magecart ora ha la capacità di iniettare siti Web al dettaglio con iframe che assomigliano a una normale interfaccia di pagamento con carta di credito. Il diverso approccio utilizzato in questo caso è che Magecart non ricerca un modulo di pagamento legittimo da sostituire con uno che può essere scremato. Invece, l'iframe con il modulo di pagamento malevolo viene scaricato nel codice di ogni pagina PHP, ma viene visualizzato solo quando la pagina ha un normale carrello per il check-out.

Il frame dannoso è formattato in un modo che dovrebbe essere relativamente ovvio per gli utenti esperti e dovrebbe essere in grado di individuare immediatamente il problema, poiché i campi richiesti non si trovano in nessun modulo di pagamento normale. Il processo dice anche alla vittima che saranno reindirizzati a un sito Web di terze parti in cui la transazione sarà finalizzata, un altro omaggio che qualcosa non è giusto con il pagamento e la procedura utilizzata.

Se tutto va secondo il piano di Magecart, la pagina carica il codice JavaScript esterno da un dominio registrato da un'entità russa. Questo, ovviamente, accade tutto senza avvisare un utente normale in alcun modo. Una volta che le informazioni sulla carta di credito vengono raschiate e raccolte dai cattivi attori, il cliente inconsapevole viene reindirizzato alla pagina di pagamento legittimo dal rivenditore e deve reinserire i dati della carta di credito. Questo secondo passo di fare essenzialmente la stessa cosa dovrebbe essere un'altra bandiera rossa per far capire agli utenti che qualcosa non va bene.