Хакеры используют страницу 404 для кражи денег

Новая кампания по скиммингу карт Magecart использует модифицированные страницы с ошибкой 404 на веб-сайтах интернет-магазинов, сообщили Akamai Security Intelligence Group. В них мошенники прячут вредоносный код, с помощью которого они могут украсть данные о кредитных картах клиентов. Среди жертв могут быть компании, занимающиеся продажей продуктов питания или розничной торговлей. 

Как работает схема: хакеры скрывают вредоносный код в атрибуте onerror тега изображения HTML и двоичном файле изображения, чтобы он выглядел как фрагмент кода Meta Pixel. Скиммер-загрузчик может также находиться в случайных встроенных скриптах, уже присутствующих на скомпрометированной веб-странице оформления заказа. 

Важно, что загрузчик содержит совпадение с регулярным выражением для поиска определенной строки в возвращенном HTML-коде страницы 404. Расшифровка этой строки выявила скиммер JavaScript, который скрывается на всех страницах 404 сайта. Это подтверждает, что злоумышленники успешно изменили страницу ошибок по умолчанию для всего сайта и скрыли на ней вредоносный код. 

В итоге код скиммера отображает поддельную форму, которую посетители веб-сайта должны заполнить, указав персональные данные, включая номер своей кредитной карты, срок ее действия и CVC. После этого жертва видит поддельную страницу с ошибкой при завершении сеанса оплаты. 

Нередко мошенники используют в своих схемах пользуются уязвимостью людей. Так, в Telegram обнаружено несколько мошеннических каналов, в которых россиянам предлагают приобрести у перекупщиков заграничные лекарства для домашних животных. По словам специалистов, главная цель мошенников — вынудить пользователей перейти по фишинговой ссылке.