Les acteurs de la menace se préparent pour les vacances avec des attaques par écrémage de carte de crédit qui restent non détectées pendant des mois, car les informations de paiement sont volées aux clients.
Le skimming Magecart est une attaque qui implique l’injection de code JavaScript malveillant sur un site Web cible, qui s’exécute lorsque le visiteur est sur la page de paiement.
Le code peut voler des informations de paiement telles que le numéro de carte de crédit, le nom du titulaire, les adresses et le CVV, et les envoyer à l’acteur.
Les acteurs menaçants peuvent ensuite utiliser ces informations pour acheter des biens en ligne ou les vendre à d’autres acteurs sur des forums clandestins et des marchés du Web sombre connus sous le nom de sites de « carding ».
La connexion SCUF
En octobre 2021, des chercheurs d’Akamai ont découvert une attaque Magecart contre SCUF Gaming International, l’un des principaux fabricants de contrôleurs personnalisés pour PC et consoles, qui a entraîné la compromission des détails financiers de 32 000 personnes.
En enquêtant plus en profondeur, les analystes ont découvert que le même acteur responsable de l’attaque contre SCUF exploitait un vaste réseau d’écumeurs qui volaient les détails de la carte de crédit sur plusieurs sites.
Ceux-ci sont:
- whitemountainshoes.com – Chaussures et chaussures (classement Alexa : 425k)
- goldboutique.com – Bijoux (Rang Alexa : 1,4 M)
- nafnaf.com – Vêtements de mode (Rang Alexa : 85k)
- schlafstaette.de – Produits de sommeil
- proaudiostar.com – Équipement audio professionnel (Rang Alexa : 150k)
- truebrands.com – Accessoires de boissons professionnels (Rang Alexa : 113k)
- loudmouth.com – Vêtements et vêtements spéciaux (Rang Alexa : 1,2 M)
Plus le numéro de classement Alexa est petit, plus le site Web reçoit de trafic, donc plus le skimmer reste non détecté longtemps, plus les acteurs de Magecart volent des détails de carte de crédit.
En tant que tels, les acteurs limitent l’activité de leurs scripts aux pages utiles uniquement pour garder leurs écumeurs cachés sur les sites infectés, ce qui complique l’enquête d’Akamai.
« Nous avons constaté que le serveur de commande et de contrôle (C2) du skimmer répond avec un code propre lorsqu’il s’exécute sur des pages non sensibles… », explique Le rapport d’Akamai.
« … et (le skimmer) n’envoie le code malveillant que s’il s’exécute sur les pages de paiement, où les informations de carte de crédit peuvent être trouvées. »
Une autre technique anti-détection suivie par les acteurs de Magecart consiste à enregistrer un nouveau domaine d’écrémage pour chaque site Web ciblé.
Si leur opération d’écrémage est exposée/découverte, ils désactivent ce domaine et poursuivent les activités malveillantes sur les autres sites.
Dans ce cas particulier, les acteurs ont utilisé le même domaine C2 pour quatre sites Web, donc un petit cluster a été dévoilé presque immédiatement.
Vigilance conseillée à Noël
Les consommateurs qui se livrent à des achats en ligne sont invités à être très prudents à Noël lorsque les acteurs de Magecart augmentent leurs efforts.
La détection des skimmers est de la responsabilité des propriétaires de sites e-commerce, et non de leurs visiteurs, ces derniers peuvent donc à la place :
- Utilisez une solution de sécurité Internet à jour
- Préférez payer avec des méthodes électroniques au lieu de cartes
- Utilisez des solutions de cartes « virtuelles » uniques
- Payer en espèces à la livraison si possible
Si vous avez acheté quelque chose en utilisant votre carte de crédit parmi les sept énumérés ci-dessus cette année, considérez que vos informations de paiement sont compromises et appelez votre banque pour demander un remplacement de carte.