Веб-скиммер Pipka: название смешное, а угрозы — реальные
Скиммеры кредитных карт представляют собой довольно серьезную угрозу в тех местах, где платежные терминалы остаются без присмотра, например на автозаправочных станциях. Это устройства, которые вставляются в слот считывания карт платежного терминала торговой точки и считывают данные карты, когда ее владелец выполняет транзакцию. Затем эти данные сохраняются, и мошенник может получить к ним доступ.
Скиммеры банковских карт являются для преступников хорошей возможностью заработать, поскольку данные карт могут быть использованы для совершения мошеннических покупок или перепродажи на черном рынке. Однако угроза кражи данных платежной карты не ограничивается только физическим миром. Скиммеры карт имеют и свое цифровое воплощение. Вместо физического устройства они представляют собой вредоносный код, который размещается на странице оплаты на веб-сайте организации и собирает информацию о платежной карте, когда пользователи вводят ее данные для совершения покупок в интернете.
Ярким примером последствий появления скиммера на веб-сайте организации стал штраф согласно GDPR, наложенный на British Airways в июле 2019 года. Финансовая санкция в размере 230 миллионов долларов США является самой крупной на сегодняшний день, по оценкам регуляторов. Причиной штрафа был скиммер Magecart, размещенный на странице оплаты British Airways и собиравший данные о платежах пассажиров.
Кратко о веб-скиммерах в целом
Веб-страница состоит из трех основных типов контента. Инструкции на языке гипертекстовой разметки (HTML) — каркас страницы, описывающий основные разделы и контент, который они содержат. Каскадные таблицы стилей (CSS) выступают в роли обложки, позволяя разработчику настраивать страницу и применять общий стиль для всего сайта организации. Скрипты — это исполняемый код, который обеспечивает анимацию и интерактивность на странице, но он также может использоваться злоумышленниками в противоправных целях.
Собственнно, что известно о Pipka
О Pipka стало известно в ноябре 2019 года из отчета Visa. Компания обнаружила новый скиммер в сентябре того же года на одном из веб-сайтов из сферы электронной коммерции и в ходе дальнейшего расследования смогла найти его на шестнадцати других сайтах.
Скиммер Pipka хорошо спроектирован. Он обладает возможностью настройки полей формы, которые он собирает, поддержку многостраничных процессов оформления заказов (когда информация о карте и сведения о клиенте находятся на разных страницах). Pipka также может удостовериться, собрал ли он необходимый набор реквизитов платежной карты перед отправкой ее на сервер управления и контроля (C2). Эта последняя функция помогает вредоносным программам быть более скрытными, так как обнаруживается меньше подозрительных передач данных. Другая скрытая особенность заключается в том, что скиммер использует GET запрос изображения для эксфильтрации данных, а не пытается отправить данные (POST) на сервер C2.
Защита сайтов от веб-скиммеров
Это всего лишь один из множества скиммеров, активно работающих в сети в настоящее время. Весьма заметные успехи группы Magecart, среди которых проникновение на сайт British Airways, вдохновили многих других киберпреступников начать собственные кампании по скиммингу. В результате скиммеры стали серьезной угрозой безопасности сайтов компаний и их способности поддерживать соответствие нормативным требованиям.
Для того чтобы скиммер был эффективным, он должен иметь возможность встраивать себя в веб-сайт организации. Наиболее распространенный метод достижения этой цели — использовать уязвимость веб-приложения, например, XSS. Развернув брандмауэр веб-приложений (WAF), способный выявлять и блокировать XSS и подобные атаки, компания может значительно уменьшить угрозу воздействия скиммеров на свои веб-страницы и лучше защитить данные платежных карт своих клиентов.
Об авторе
Бенджамин КЭМПБЕЛЛ — опытный автор, который регулярно публикуется в онлайн-медиа. Если он не читает Financial Times, то обычно слушает живую музыку или занимается серфингом на побережье.
Изображение: PYMNTS