Shopping Skimmer : vol de données bancaires

Le Shopping Skimmer est une forme et technique qui vise à voler des données bancaires.
Il s’agit en général de pirater un site de eCommerce pour injecter du code.
Ce dernier permet ensuite de récupérer les données bancaires lors des transactions.

Voici quelques informations à propos de ces piratages et hack.

Shopping Skimmer : vol de données bancaires

Achats en ligne et eCommerce

Internet est devenu un media important pour les informations mais aussi la vente soit donc le eCommerce.
Les grandes enseignes possèdent leurs propres sites afin d’effectuer des achats en ligne.
Ces derniers le gèrent et en cas d’attaques réagissent.

Mais n’importe qui peut créer son site d’achat.
Ainsi que les PME.
En effet, il existe des logiciels tout fait ou CMS qui proposer des modules de eCommerce et d’achat.
Enfin il existe des CMS dédié au commerce comme Magento.

En général ces sites soit moins bien gérés car ils n’ont pas de service dédié pour le maintenir.
Ainsi ce n’est pas le métier premier du webmaster.

Les pirates visent ces sites afin d’injecter des codes JavaScript.
Ce dernier se charge sur le navigateur WEB du visiteur.
Lors de la transaction et de la saisie des données bancaires, le script permet de les récupérer pour les envoyer à un serveur tiers.
On appelle ces technique le Shopping Skimmer.

Schéma des attaques

Voici les principales attaques menées afin de pirater le site d’eCommerce.

  • Exploitation d’une vulnérabilité dans le système de gestion de contenu (CMS) du site Web.
  • Exploitation d’une vulnérabilité dans le logiciel ou la configuration du serveur Web. Cela inclut les vulnérabilités du logiciel utilisé qui pourraient permettre l’injection de code.
  • Exploiter une vulnérabilité dans le logiciel de commerce électronique lui-même. Cela pourrait entraîner un accès direct aux transactions sans recourir à un script supplémentaire. Dans le passé, il y a eu de nombreux cas où des vulnérabilités du logiciel de commerce électronique Magento ou de son extension ont été exploitées. De nos jours, les attaquants s’attaquent à toutes sortes de logiciels de magasin en ligne.
  • Brute force sur le mot de passe d’un compte administratif ou en obtenant le mot de passe via un phishing ou à partir d’une précédente violation de données.
  • Attaques de la chaîne logistique contre les fournisseurs d’outils et de scripts tiers.

Enfin le pirate met en place un code afin de récupérer les données bancaires saisies.

Source Symantec

Enfin les pirates revendent les CB sur des sites de carding.

site de carding et de reventes de cartes bancaires
source group-ib.com

Formjacking et JS-Sniffer

L’attaque fonctionne par JS-Sniffer.
C’est à dire que le pirate va injecter du JavaScript qui va se charger sur le navigateur WEB au moment du paiement.
Ce dernier va récupérer les données saisies dans le formulaire de paiement dont les informations bancaires.
Enfin ces données sont transmises à serveur tiers.
On parle alors de FormJacking pour Formulaire Jacking.
En effet ici, c’est le formulaire de saisie de la CB qui intéresse les pirates.
Le fonctionne est donc assez similaire aux Trojan Banker lorsque c’est le PC du visiteur qui infecté.
Mais cette fois-ci l’attaque se porte au niveau du site WEB.

Par exemple dans ce site de paiement piraté, on voit que dans les sites chargés, on a :

  • www.google-analystics.com : qui correspond au site de suivi et d’analyse de Google. Il permet d’établir des statistiques de visites.
  • www.google-analystics.cm qui tente de se faire passer pour ce dernier et qui est malveillant.
FormJacking et JS-Sniffer pour voler des données bancaires
FormJacking et JS-Sniffer pour voler des données bancaires

Tout ceci est transparent et invisible pour le visiteur.
Ce dernier ne voit rien et le vol de données se fait à son insu.

Protection et mitigation

Pour éviter ces piratages, vous pouvez n’acheter que sur des sites de grandes enseignes.
Une autre solution consiste à utiliser le paiement par Paypal.
En effet, les données à saisir s’ouvrent sur une autre page.
Si le site est piraté, l’authentification Paypal se fait à part.
On peut aussi protéger son compte : Sécuriser son compte en ligne Paypal

Côté client

Les antivirus peuvent filtrer ces scripts malveillants.
Deux méthodes pour cela :

  • L’antivirus va détecter le code malveillant et le bloquer. En général, on obtient une alerte et détection JS/XXXX pour JavaScript.
  • La liste noire ou blacklist bloque toute connexion vers le site en question.

Ces méthodes ont leurs avantages et inconvénient.
Pour les listes noires on en parle sur la page : La limite des listes noires dans la protection contre les virus

Enfin pour aller plus loin, vous pouvez ajouter une extension de protection sur le navigateur WEB.
L’avantage est qu’elle peut très bien s’éditionner à votre antivirus sans causer de conflit.
Malwarebytes en propose une : Malwarebytes Browser Guard : extension de protection pour Mozilla Firefox et Google Chrome
L’article suivant donne une liste des extensions de protection : Liste extensions de protection pour Firefox ou Chrome

Par exemple ci-dessous, l’extension Netcraft bloque le site en Shopping Site Skimmer.

Blocage Shopping Site Skimmer

Côté serveur

Les serveurs WEB peuvent limiter et interdire le chargement de scripts provenant de certaines URLs.
Le but ici est d’empêcher l’injection de Script.
Il faut alors mettre en place des règles comme Security-Policy (CSP) et Subresource Integrity (SRI).

Enfin l’installation d’un Web Application Firewall (WAF) peut bloquer et détecter le comportement anormal du site.

Liens

L’article suivant aborde le vol de données bancaires.

Quelques autres liens autour du hack et vol de données bancaires.

image_pdfimage_print
(Visité 403 fois, 1 visites ce jour)