Hakerzy użyli skimmera elektronicznego na HannaAndersson.com do zebrania wrażliwych danych, a teraz są sprzedawane online
Czasami cyberprzestępcy chcą ujawnić swoją obecność. Na przykład podczas ataku ransomware dowiadujesz się, że coś jest nie tak, gdy tylko Twoje pliki staną się bezużyteczne, a na ekranie wyświetli się informacja o okupie. W innych przypadkach jednak ataki milczą i pozostają niezauważone przez miesiące. Na przykład sprzedawca odzieży dziecięcej HannaAndersson.com został po raz pierwszy uderzony przez e-skimmer w połowie września 2019 r., Ale dopiero 5 grudnia firma dowiedziała się o problemie po tym, jak organy ścigania poinformowały ją, że niektóre dane kart kredytowych klientów były sprzedawane na rynkach podziemnych. Jeśli chodzi o wspomnianych klientów, nie mieli pojęcia o incydencie aż do tego miesiąca, kiedy Hanna Andersson w końcu wysłała powiadomienia o naruszeniu danych.
W tym konkretnym przypadku hakerzy byli bardzo szczęśliwi, że pozostali pod radarem, ponieważ podstęp jest kluczowym czynnikiem w każdej operacji e-skimmingu.
Co to jest e-skimmer?
Niektóre warunki bezpieczeństwa cybernetycznego są bardziej opisowe niż inne i uważamy, że „e-skimming” jest dość łatwy do zrozumienia. Jesteśmy prawie pewni, że większość z was zna koncepcję fizycznych intrygantów, którzy kradną dane kart bankowych w bankomatach i terminalach POS. E-odpieniacze działają w podobny sposób w sklepach internetowych.
Zazwyczaj e-skimmery składają się z kilku wierszy kodu JavaScript, które są wstrzykiwane na stronę kasy. Ten kod usuwa wszystkie informacje o płatnościach, które wprowadzają użytkownicy i wysyła je do oszustów. Przestępcy są zainteresowani najbardziej wrażliwymi danymi - numerem karty, imieniem posiadacza karty, datą ważności, kodem CVV oraz, w przypadku Hanny Andersson, adresami wysyłki i rozliczeń. W dobrze przeprowadzonym ataku sprzedawca i klient pozostają mądrzejsi, co oznacza, że kampania może zostać wznowiona na dłuższy czas.
W ciągu ostatnich kilku lat popularność e-skimmerów gwałtownie wzrosła. Z narzędzi tych korzysta wielu cyberprzestępców o różnych umiejętnościach i poziomach zaawansowania. Nie tak dawno temu wymyślono słowo Magecart, które jest obecnie używane jako wspólne określenie wielu różnych wersji e-skimera używanego przez wiele grup hakerskich rozsianych po całym świecie. Obecnie większość ekspertów ds. Cyberbezpieczeństwa zgadza się, że Magecart jest jednym z najpotężniejszych zagrożeń, z którymi mamy do czynienia.
Czy Hanna Andersson została trafiona przez Magecart?
Wiele serwisów informacyjnych doszło do wniosku, że Hanna Andersson jest kolejnym z długiej linii ofiar Magecart, ale prawdą jest, że w oficjalnym ogłoszeniu sprzedawcy nigdzie nie ma słowa „Magecart”. W rzeczywistości, jeśli powiadomienie jest ważne, incydent nie miał miejsca u Hanny Andersson.
Wiadomość głosi, że szkodliwe oprogramowanie faktycznie wpłynęło na Salesforce Cloud - platformę CRM używaną przez Hannę Andersson. Potencjalnie jest to zła wiadomość, ponieważ Salesforce to duża firma z dużą liczbą klientów. Jeśli naprawdę istnieje problem w systemach Salesforce, liczba dotkniętych osób może być znaczna.
Dostawca usług CRM nie potwierdził publicznie ani nie zaprzeczył, że został zainfekowany jakimkolwiek złośliwym oprogramowaniem, ale rzecznik Hanna Andersson powiedział CyberScoop, że zespół Salesforce pomaga w dochodzeniu. Eksperci ds. Cyberbezpieczeństwa oraz przedstawiciele FBI i Departamentu Bezpieczeństwa Wewnętrznego zostali również wysłani, aby pomóc, i mamy nadzieję, że wkrótce będziemy mieli więcej informacji na temat tego, co się naprawdę wydarzyło.
W międzyczasie osoby, które kupiły towary w sklepie internetowym Hanny Andersson między 16 września a 11 listopada (kiedy szkodliwe oprogramowanie zostało usunięte), powinny szczególnie uważać na wyciągach bankowych. W powiadomieniu o naruszeniu danych stwierdzono, że nie dotyczy to wszystkich klientów, ale na wszelki wypadek każdemu, kto dokonał zakupu w wyżej wymienionym okresie, przysługuje bezpłatny rok ochrony przed kradzieżą tożsamości i usługi monitorowania kredytu. Kwalifikujący się powinni pamiętać, że termin rejestracji upływa 15 kwietnia.
Jak już wspomnieliśmy, nie jest to pierwszy tego typu atak i możesz być całkiem pewien, że nie będzie to ostatni. Dotknęło to kilku głównych sprzedawców internetowych i można śmiało powiedzieć, że żaden sklep internetowy, bez względu na to, jak duży i popularny jest, nie jest bezpieczny. Oznacza to, że nawet jeśli nie otrzymałeś ostrzeżenia Hanny Andersson o naruszeniu danych, nadal powinieneś regularnie sprawdzać wyciągi bankowe pod kątem transakcji, których możesz nie rozpoznać.