Shopping Skimmer : vol de données bancaires

Le Shopping Skimmer est une forme et technique qui vise à voler des données bancaires.
Il s’agit en général de pirater un site de eCommerce pour injecter du code.
Ce dernier permet ensuite de récupérer les données bancaires lors des transactions.
L’attaque peut se nommer Magecart. Il s’agit au départ du groupe à l’origine de ce type d’attaque.

Voici quelques informations à propos de ces piratages et hack.

Shopping Skimmer : vol de données bancaires

Achats en ligne et eCommerce

Internet est devenu un media important pour les informations mais aussi la vente soit donc le eCommerce.
Les grandes enseignes possèdent leurs propres sites afin d’effectuer des achats en ligne.
Ces derniers le gèrent et en cas d’attaques réagissent.

Mais n’importe qui peut créer son site d’achat.
Ainsi que les PME.
En effet, il existe des logiciels tout fait ou CMS qui proposer des modules de eCommerce et d’achat.
Enfin il existe des CMS dédié au commerce comme Magento.

En général ces sites soit moins bien gérés car ils n’ont pas de service dédié pour le maintenir.
Ainsi ce n’est pas le métier premier du webmaster.

Les pirates visent ces sites afin d’injecter des codes JavaScript.
Ce dernier se charge sur le navigateur WEB du visiteur.
Lors de la transaction et de la saisie des données bancaires, le script permet de les récupérer pour les envoyer à un serveur tiers.
On appelle ces technique le Shopping Skimmer.

Schéma des attaques

Voici les principales attaques menées afin de pirater le site d’eCommerce.

  • Exploitation d’une vulnérabilité dans le système de gestion de contenu (CMS) du site Web.
  • Exploitation d’une vulnérabilité dans le logiciel ou la configuration du serveur Web. Cela inclut les vulnérabilités du logiciel utilisé qui pourraient permettre l’injection de code.
  • Exploiter une vulnérabilité dans le logiciel de commerce électronique lui-même. Cela pourrait entraîner un accès direct aux transactions sans recourir à un script supplémentaire. Dans le passé, il y a eu de nombreux cas où des vulnérabilités du logiciel de commerce électronique Magento ou de son extension ont été exploitées. De nos jours, les attaquants s’attaquent à toutes sortes de logiciels de magasin en ligne.
  • Brute force sur le mot de passe d’un compte administratif ou en obtenant le mot de passe via un phishing ou à partir d’une précédente violation de données.
  • Attaques de la chaîne logistique contre les fournisseurs d’outils et de scripts tiers.

Enfin le pirate met en place un code afin de récupérer les données bancaires saisies.

Source Symantec

Enfin les pirates revendent les CB sur des sites de carding.

site de carding et de reventes de cartes bancaires
source group-ib.com

Formjacking et JS-Sniffer

L’attaque fonctionne par JS-Sniffer.
C’est à dire que le pirate va injecter du JavaScript qui va se charger sur le navigateur WEB au moment du paiement.
Ce dernier va récupérer les données saisies dans le formulaire de paiement dont les informations bancaires.
Enfin ces données sont transmises à serveur tiers.
On parle alors de FormJacking pour Formulaire Jacking.
En effet ici, c’est le formulaire de saisie de la CB qui intéresse les pirates.
Le fonctionne est donc assez similaire aux Trojan Banker lorsque c’est le PC du visiteur qui infecté.
Mais cette fois-ci l’attaque se porte au niveau du site WEB.

Par exemple dans ce site de paiement piraté, on voit que dans les sites chargés, on a :

  • www.google-analystics.com : qui correspond au site de suivi et d’analyse de Google. Il permet d’établir des statistiques de visites.
  • www.google-analystics.cm qui tente de se faire passer pour ce dernier et qui est malveillant.
FormJacking et JS-Sniffer pour voler des données bancaires
FormJacking et JS-Sniffer pour voler des données bancaires

Tout ceci est transparent et invisible pour le visiteur.
Ce dernier ne voit rien et le vol de données se fait à son insu.

Le scénario classique :

  • Le visiteur valide ce qu’il / elle veut acheter sur le magasin compromis
  • Le magasin compromis redirige le visiteur vers une fausse page de paiement
  • Le visiteur entre ses informations de paiement sur la page de faux paiement et clique sur le bouton « payer »
  • Les données de paiement deviennent rapidement le serveur du mauvais type pour la collecte
  • La victime est maintenant redirigée vers la page du processeur de paiement réel et peut en réalité finaliser son achat sur cette page.
Autre FormJacking qui fonctionne comme keylogger
source : https://www.riskiq.com/blog/labs/fullz-house/

Des attaques importantes

Bien sûr des centaines d’attaques ont lieu, durant l’année avec des pics pendant le Black Friday ou Noel.
Deux groupes semblent très actifs : MageCart et Fullz House.

Magecart est un terme générique englobant plusieurs groupes de menaces utilisant le même mode opératoire: ils compromettent les sites Web dans le but d’injecter des scripts superflus sur les pages de paiement..
Ils dérobent la carte de paiement de clients peu méfiants Détails et autres informations saisies dans les champs de la page.

Par exemple un site piraté avec 320k followers avec un script malveillant.

Les attaques Magecart lors du Black Friday

Ou encore un autre site WEB avec 35k followers et le site de Smith & Wesson.
Le site forbes et Macy ont aussi fait l’objet de ces attaques Formjacking et JS-Sniffer.

Les attaques Magecart lors du Black Friday

Encore ici une capture vers un faux site google sur lowe alpine.

Les attaques Magecart lors du Black Friday

Le groupe Fullz House va plus loin car il créé deux faux sites de paiements.
Au moment de payer depuis un site de vente, vous êtes redirigé vers ce dernier.

Enfin le CERT Eu alerte sur une attaque sur le WiFi de routeurs.
Une étude menée récemment par IBM a révélé que le groupe Magecart 5 (MG5) vise des routeurs publiques.
Souvent ces routeurs proposent une page de paiement avec des publicités.
L’injection de code dans les routeurs permet de récupérer les données bancaires.
Les attaquants peuvent aussi injecter des publicités durant le surf.
Ces attaques ne sont pas de grandes envergures mais en tests.

Protection et mitigation

Pour éviter ces piratages, vous pouvez n’acheter que sur des sites de grandes enseignes.
Une autre solution consiste à utiliser le paiement par Paypal.
En effet, les données à saisir s’ouvrent sur une autre page.
Si le site est piraté, l’authentification Paypal se fait à part.
On peut aussi protéger son compte : Sécuriser son compte en ligne Paypal

Côté client

Les antivirus peuvent filtrer ces scripts malveillants.
Deux méthodes pour cela :

  • L’antivirus va détecter le code malveillant et le bloquer. En général, on obtient une alerte et détection JS/XXXX pour JavaScript.
  • La liste noire ou blacklist bloque toute connexion vers le site en question.

Ces méthodes ont leurs avantages et inconvénient.
Pour les listes noires on en parle sur la page : La limite des listes noires dans la protection contre les virus

Enfin pour aller plus loin, vous pouvez ajouter une extension de protection sur le navigateur WEB.
L’avantage est qu’elle peut très bien s’éditionner à votre antivirus sans causer de conflit.
Malwarebytes en propose une : Malwarebytes Browser Guard : extension de protection pour Mozilla Firefox et Google Chrome
L’article suivant donne une liste des extensions de protection : Liste extensions de protection pour Firefox ou Chrome

Par exemple ci-dessous, l’extension Netcraft bloque le site en Shopping Site Skimmer.

Blocage Shopping Site Skimmer

Côté serveur

Les serveurs WEB peuvent limiter et interdire le chargement de scripts provenant de certaines URLs.
Le but ici est d’empêcher l’injection de Script.
Il faut alors mettre en place des règles comme Security-Policy (CSP) et Subresource Integrity (SRI).

Enfin l’installation d’un Web Application Firewall (WAF) peut bloquer et détecter le comportement anormal du site.

Carte de crédits temporaires

On peut aussi jouer sur les services de paiements.
Il en existe qui créé des cartes de crédits temporaires.
Vous pouvez à tout moment arrêter la carte de crédit pour en créer une autre.
Ainsi cela limite dans le temps les vols de données bancaires.

Liens

L’article suivant aborde le vol de données bancaires.

Quelques autres liens autour du hack et vol de données bancaires.

(Visité 738 fois, 2 visites ce jour)

Add Comment