Хакеры использовали электронный скиммер на HannaAndersson.com для сбора конфиденциальных данных, и теперь они продаются онлайн

Иногда киберпреступники хотят заявить о своем присутствии. Например, при атаке вымогателей вы узнаете, что что-то не так, как только ваши файлы станут непригодными для использования, и на экране отобразится примечание о выкупе. В других случаях, однако, атаки молчат и остаются незамеченными в течение нескольких месяцев. Например, ритейлер детской одежды HannaAndersson.com впервые был атакован электронным скиммером в середине сентября 2019 года, но только 5 декабря компания узнала о проблеме после того, как правоохранительные органы сообщили, что некоторые из ее данные кредитных карт клиентов продавались на подпольных рынках. Что касается упомянутых клиентов, они понятия не имели об инциденте до того, как в начале этого месяца Ханна Андерссон наконец разослала уведомления о взломе данных.

В этом конкретном случае хакеры были более чем счастливы оставаться под радаром, потому что скрытность является ключевым фактором в любой операции электронного скимминга.

Что такое электронный скиммер?

Некоторые термины кибербезопасности являются более описательными, чем другие, и мы считаем, что «электронный скимминг» довольно легко понять. Мы уверены, что большинство из вас знакомы с концепцией физических мошенников, которые крадут данные банковских карт людей в банкоматах и POS-терминалах. E-скиммеры работают аналогичным образом в онлайн-магазинах.

Обычно электронные скиммеры состоят из нескольких строк кода JavaScript, которые вставляются на страницу оформления заказа на сайте. Этот код очищает всю введенную пользователями информацию о платеже и отправляет ее мошенникам. Преступники интересуются наиболее конфиденциальными данными - номером карты, именем владельца карты, датой истечения срока действия, кодом CVV и, в случае Ханны Андерссон, адресами доставки и выставления счетов. В хорошо выполненной атаке ритейлер и покупатель не остаются никому мудрее, что означает, что кампания может продолжаться в течение длительного периода времени.

За последние несколько лет популярность электронных скиммеров взорвалась. Эти инструменты используются многочисленными киберпреступниками с различными наборами навыков и уровнями сложности. Не так давно было придумано слово Magecart, которое теперь используется в качестве общего термина для многих различных версий электронного скиммера, используемых многочисленными хакерскими группами по всему миру. В настоящее время большинство экспертов по кибербезопасности согласны с тем, что Magecart является одной из самых грозных угроз, с которыми мы сталкиваемся.

Была ли Ханна Андерссон поражена Magecart?

Множество новостных агентств пришли к выводу, что Ханна Андерссон - просто следующая в длинной череде жертв Magecart, но правда в том, что слово «Magecart» нигде не встречается в официальном объявлении ритейлера. На самом деле, если уведомление о чем-либо должно было пройти, инцидент на самом деле не произошел в Ханне Андерссон.

В сообщении говорится, что вредоносное ПО действительно затронуло Salesforce Cloud - платформу CRM, используемую Ханной Андерссон. Потенциально, это плохие новости, потому что Salesforce - крупная компания с большим количеством клиентов. Если в системах Salesforce действительно есть проблема, число затронутых лиц может быть значительным.

Поставщик услуг CRM публично не подтвердил и не опроверг заражение каким-либо вредоносным ПО, но представитель Ханны Андерссон сказала CyberScoop, что команда Salesforce помогает в расследовании. Эксперты по кибербезопасности и представители ФБР и Министерства внутренней безопасности также были направлены для оказания помощи, и мы надеемся, что скоро у нас будет больше информации о том, что на самом деле произошло.

Тем временем люди, которые покупали товары в интернет-магазине Ханны Андерссон в период с 16 сентября по 11 ноября (когда вредоносное ПО было удалено), должны быть особенно осторожны со своими банковскими выписками. В письме с уведомлением о нарушении данных говорится, что не все клиенты были затронуты, но на всякий случай, всем, кто совершил покупку в течение вышеупомянутого периода, бесплатно предоставляется год защиты от хищения личных данных и кредитный мониторинг. Лица, имеющие право на участие, должны помнить, что крайний срок регистрации - 15 апреля.

Как мы уже упоминали, это едва ли не первая атака такого рода, и вы можете быть уверены, что она не будет последней. Многие крупные интернет-магазины пострадали, и можно с уверенностью сказать, что ни один интернет-магазин, каким бы большим и популярным он ни был, не является безопасным. Это означает, что даже если вы не получили предупреждение о нарушении данных от Ханны Андерссон, вам все равно следует регулярно проверять выписки по счету на предмет транзакций, которые вы можете не распознать.