Електронна търговия

Черният петък се утвърди и у нас като своеобразен старт на празничното пазаруване.

Изследователи по сигурността разкриват как се подготвят хакерите:

1. Инжектират скимер за кредитни карти в уебсайтовете на онлайн магазини. Това е скрипт, маскират го като *.jpg файл, който краде и ексфилтрира плащанията и личната информация на клиентите.
2. Използват скрипта, за да изтеглят и фалшифицират платежни документи, които да изпратят на клиентите – по този начин пренасочват плащанията им към собствените си сметки.
3. Освен това, веднъж компрометирали сървърите на търговците, хакерите допълнително внедряват Linux бекдор, който остава скрит за популярните софтуери за сигурност

We found a new Golang malware agent „linux_avp“.

✔️ targets eCommerce sites
✔️ hidden as „ps -ef“ process
✔️ uses PKI
✔️ Alibaba hosted control server
✔️ compiled by user „dob“https://t.co/b40yS00EEd

— Sansec (@sansecio) November 18, 2021

Малуерът е засечен от киберспециалистите като изпълним linux_avp файл. Веднъж стартиран, той незабавно се премахва от диска и се маскира като „ps -ef“ процес, който се използва за получаване на списък с текущо работещи процеси.

Препоръки:

• За администратори: Използвайте утвърдена защитна стена (firewall), предназначена за предпазване на уеб сайтове и уеб приложения
• За потребители: Уверете се, че сайтовете, от които пазаруване са защитени (HTTPS, SSL); проверявайте защитата на плащанията, която онлайн магазина прилага; пазете всички документи, свързани с онлайн покупката ви

ФБР публикува официално предупреждение, че хакери използват уязвимост в модул на повече от 3 години, за да крадат информация за кредитни карти на потребители на Magento магазини. Този тип атаки се наричат уебскиминг и не се случват за първи път.

Уязвимият модул се нарича MAGMI (съкратено от Magento Mass Import), в който е налична уязвимостта CVE-2017-7391,позволяваща на хакери да добавят зловредни скриптове в HTML кода на засегнатите страници. Благодарение на нея киберпрестъпниците крадат потребителски имена и пароли, с които да придобият контрол върху засегнатите магазини и да имплементират други зловредни PHP и JavaScript кодове. С тях се крадат данни за кредитни карти – номера, дата на валидност и др.

За да се избегне засичане, информацията за откраднатите платежни средства се кодира в Base64 формат, вгражда се в JPEG файлове и се качва на отдалечен сървър. Самият сървър е добре известен на правоприлагащите органи и се използва за престъпна дейност поне от 2019 г.

MAGMI е съвместим с по-стари версии на Magento – 1.x. Модулът е ъпдейтнат и проблемът с уязвимостта е разрешен във версия 0.7.23. Препоръката ни е да ъпдейтнете версията си на Magento до 2.х, която ще бъде поддържана занапред.

[button color=“green“ size=“big“ link=“https://www.zdnet.com/article/fbi-warns-about-attacks-on-magento-online-stores-via-old-plugin-vulnerability/#ftag=RSSbaffb68″ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Едно от най-важните неща при покупката на крадени карти е какъв процент от дъмпа, на който ще станете собственик, съдържа реална информация за истински кредитни карти. Колкото повече са легитимни, толкова по-висока става репутацията на продава, толкова по-доволен е клиентът – и толкова по-висока е цената на самия дъмп и кредитните карти в него.

Как обаче да се разбере дали кредитната карта е валидна, без да се усети собственика ѝ и банката му? И как да се тестват хиляди кредитни карти едновременно? Отговорът на тези два въпроса е даден с разкрита уязвимост в една от най-популярните системи за електронна търговия – Magento.

Как работи уязвимостта

Хакери са използвали уязвимост в PayPal Payflow Pro интеграцията на Magento, за да осъществяват стотици трансакции с нулева стойност, за да тестват валидността на крадените си кредитни карти. Със сигурност е потвърдено, че уязвимостта засяга Magento Open Source v2.1.x, 2.2.x и Magento Commerce v2.1.x, 2.2.x, а има вероятност и Merchants on v2.3.x да е уязвим.

Техниката на хакерите не е да осъществяват реални поръчки с кредитните карти, за да могат да останат колкото се може по-дълго невидими за собствениците на кредитните карти и банки. Същевременно, те получават индиректно потвърждение за валидността на картите в базата им данни, като по този начин увеличат цената им на черния пазар. За сравнение – данните за невалидирана карта може да струват около 0.40 USD, докато за валидирана – 20 USD (50 пъти повече).

Интеграцията с PayPal Payflow Pro позволява на ползващите Magento като система за управление на електронните си магазини да приемат плащания с PayPal от клиентите си, без да се налага последните да излизат от самия електронен магазин.

Как може да станете жертва

От Magento коментират в специален бюлетин до ползвателите си, че са засегнати и двете версии на платформата – и версията ѝ в облака, и тази, която може да бъде инсталирана и използвана на собствен сървър.

Една от основните препоръки на създателите на платформата е собствениците на електронни магазини да използват web application firewall (WAF) или други системи срещу brute-force атаки или за засичане на ботове, за да се предпазят от експлоатиране на системите им за подобни атаки.

Ако имате подобен магазин и мислите, че експлоатацията му за валидиране на крадени кредитни карти няма да ви навреди, по-скоро бъркате. Най-малкото, PayPal акаунта ви може да бъде спрян принудително заради огромния обем фалшиви трансакции.