O grupo de cibercriminosos conhecido por "Magecart" está colocando skimmers de cartões de crédito digitais em sites de e-commerce, e o número de fornecedores afetados é muito maior do que o previsto. A empresa de segurança americana RiskIQ identificou as atividades em maio, e descobriu que sete fornecedores terceirizados de e-commerce foram infectados com códigos skimmers, afetando milhares de outros sites que utilizam seus serviços. Contudo, o alcance dessa campanha é ainda maior, pois o atacantes automatizaram o processo de comprometimento dos websites ao buscar ativamente por buckets do Amazon S3 mal configurados. Ou seja, isso permite que uma conta da Amazon Web Services seja afetada. ?
Funciona assim: os atacantes verificam automaticamente se os buckets estão configurados incorretamente, e ao identificá-los, o examinam em busca de qualquer arquivo JavaScript que termine em .js. Em seguida, eles fazem o download desses arquivos, anexam o código skimming e sobrescrevem o script, o que é possível de ser feito devido às permissões mal configuradas do bucket, que concedem a qualquer pessoa a permissão para edição. Os atacantes usam um skimmer para extrair dados de pagamento para seus próprios servidores. Um roubo de informações foi bem-sucedido quando os dados roubados são enviados na forma de uma imagem falsa que é incluída numa URL no padrão <domínio>/img.
Esses atacantes começaram a comprometer os buckets não protegidos do Amazon S3 no início de abril e, de acordo com dados do RiskIQ, o grupo conseguiu impactar mais de 17 mil domínios, incluindo 2 mil dos melhores sites rankeados pela Alexa. Há uma possibilidade, porém, dos cibercriminosos não conseguirem nada com isso. Como eles usaram essa técnica para alcançar uma rede mais ampla possível, muitos dos scripts comprometidos não são carregados nas páginas de pagamento. Ou seja, se o skimming script não for carregado, os atores não conseguem coletar dados de pagamento da vítima. ?
O recomendável é que os administradores monitorem seus controles de acesso a conteúdo, limitem as permissões dos buckets e bloqueiem o acesso público para impedir que qualquer pessoa abra um bucket, independentemente da política do Amazon S3.
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.