Хакеры из группировки Magecart научились интегрировать в стандартные страницы ответа веб-серверов с кодом ошибки 404 вредоносный скрипт. Исследование ИБ-компании Akamai Security Intelligence Group (ASIG) показывает, что внедрённый код используется для кражи реквизитов банковских карт у посетителей популярных интернет-магазинов. Мошенники используют уязвимости в популярных платформах электронной коммерции Magento и плагине WooCommerce для Wordpress.
Если оставить в стороне вопросы противозаконности действий хакеров и их неэтичности, то в целом хакерство — творческая «профессия». Необходимость постоянно искать новые возможности и изобретать новые способы для достижения своих сомнительных целей приводит к развитию исследовательских и экспериментаторских качеств у хакеров. Наряду с глубокими техническими познаниями зачастую они используют психологические приёмы и методы социальной инженерии. Например, в данном случае применена их комбинация — заражение уязвимого сайта вредоносным кодом и размещение поддельной платёжной формы на сайте, который не вызывает подозрений.
Хакеры постоянно находятся в поиске новых уязвимостей и способов для совершения киберпреступлений. Любой доступный им способ будет применён на практике, поэтому в подмене 404-ой страницы в уязвимых движках нет ничего удивительного.
Очевидно, это весьма эффективный мошеннический приём, который будет трудно распознать пользователям. Платёжная форма открывается на знакомом сайте, на котором пользователь уже, вероятно, совершал покупки. Домен и SSL-сертификат, подтверждающий его, легитимные и также не вызывают подозрений у браузера и антивирусов.
Опасность приёма заключается в его полной мимикрии под легитимную платёжную форму. У антивирусов, систем противодействия фишингу нет оснований не доверять вполне легальному интернет-магазину, тем более на котором пользователь уже ранее, возможно, успешно совершал покупки. Они не уведомят пользователя об потенциальной опасности и не поднимут тревогу.
Поэтому потенциально в группе риска находятся все покупатели платформ электронной коммерции Magento и WooCommerce и интернет-магазинов их использующих.
Защита от конкретного вредоносного кода в первую очередь должна осуществляться самими владельцами интернет-магазинов. Возможно, им следует отказаться от применения бесплатного уязвимого движка WooCommerce в пользу коммерческого, а в случае использования — оперативно следить за обновлениями и вовремя устанавливать их.
Пользователю распознать поддельную платёжную форму будет крайне затруднительно. Способом выявить подделку будет проверка HTTP-кода ответа платёжной страницы — он должен быть 200. 404-ый код соответствует странице с ошибкой и должен насторожить пользователя, от покупки на таком сайте следует отказаться. Проверить код ответа страницы можно в консоли инструментов для веб-разработчиков браузера, вызов клавишами CTRL+SHIFT+I или F12 в Mozilla Firefox и Google Chrome.
Если платёжные данные уже введены, следует проверить банковский счёт на незнакомые списания. Если они есть, следует связаться со службой поддержки банка и указать на сайт, где был выполнен ввод платёжных реквизитов. В некоторых банк-клиентах можно запретить платежи в интернете выключение соответствующей опции. Это также поможет оградить от мошеннических списаний. Как кардинальный способ можно использовать перевыпуск банковской карты, а также смену адреса электронной почты, если он вводился в мошеннической форме.
