Веб-скиммер Pipka: название смешное, а угрозы — реальные

Скиммеры кредитных карт представляют собой довольно серьезную угрозу в тех местах, где платежные терминалы остаются без присмотра, например на автозаправочных станциях. Это устройства, которые вставляются в слот считывания карт платежного терминала торговой точки и считывают данные карты, когда ее владелец выполняет транзакцию. Затем эти данные сохраняются, и мошенник может получить к ним доступ.

Скиммеры банковских карт являются для преступников хорошей возможностью заработать, поскольку данные карт могут быть использованы для совершения мошеннических покупок или перепродажи на черном рынке. Однако угроза кражи данных платежной карты не ограничивается только физическим миром. Скиммеры карт имеют и свое цифровое воплощение. Вместо физического устройства они представляют собой вредоносный код, который размещается на странице оплаты на веб-сайте организации и собирает информацию о платежной карте, когда пользователи вводят ее данные для совершения покупок в интернете.

И хотя в первую очередь страдают владельцы банковских карт, скиммеры также наносят ущерб компании-владельцу сайта. Поскольку кража информации о платежной карте считается нарушением конфиденциальности данных, организации, которые не в состоянии обеспечить надежную защиту сайтов и позволяющие скиммерам появляться на своих страницах, могут стать нарушителями новых правил защиты данных, таких как Общее положение ЕС о защите данных (GDPR). Поскольку GDPR позволяет взимать колоссальные штрафы в размере до 20 млн евро или 4% от общего дохода организации, то способность защищать сайт от веб-скиммеров жизненно важна для организаций.

Ярким примером последствий появления скиммера на веб-сайте организации стал штраф согласно GDPR, наложенный на British Airways в июле 2019 года. Финансовая санкция в размере 230 миллионов долларов США является самой крупной на сегодняшний день, по оценкам регуляторов. Причиной штрафа был скиммер Magecart, размещенный на странице оплаты British Airways и собиравший данные о платежах пассажиров.

Кратко о веб-скиммерах в целом

Веб-страница состоит из трех основных типов контента. Инструкции на языке гипертекстовой разметки (HTML) — каркас страницы, описывающий основные разделы и контент, который они содержат. Каскадные таблицы стилей (CSS) выступают в роли обложки, позволяя разработчику настраивать страницу и применять общий стиль для всего сайта организации. Скрипты — это исполняемый код, который обеспечивает анимацию и интерактивность на странице, но он также может использоваться злоумышленниками в противоправных целях.

Скиммеры — это вредоносные скрипты, которые киберпреступнику удалось внедрить в код веб-страницы. Структура HTML позволяет CSS и содержимому скрипта встраиваться в веб-страницу или импортироваться из отдельного файла. Если злоумышленник получает возможность встроить вредоносный скрипт в платежную страницу или убрать его с этой страницы, то он способен реализовать скиммер. А достигнуто это может быть различными способами: от атаки межсайтовых сценариев (XSS) до взлома сети организации и добавления вредоносного кода на страницу вручную. Несколько групп киберпреступников используют скиммеры, в том числе их наиболее позднюю модификацию под названием Pipka.

Собственнно, что известно о Pipka

О Pipka стало известно в ноябре 2019 года из отчета Visa. Компания обнаружила новый скиммер в сентябре того же года на одном из веб-сайтов из сферы электронной коммерции и в ходе дальнейшего расследования смогла найти его на шестнадцати других сайтах.

Скиммер Pipka хорошо спроектирован. Он обладает возможностью настройки полей формы, которые он собирает, поддержку многостраничных процессов оформления заказов (когда информация о карте и сведения о клиенте находятся на разных страницах). Pipka также может удостовериться, собрал ли он необходимый набор реквизитов платежной карты перед отправкой ее на сервер управления и контроля (C2). Эта последняя функция помогает вредоносным программам быть более скрытными, так как обнаруживается меньше подозрительных передач данных. Другая скрытая особенность заключается в том, что скиммер использует GET запрос изображения для эксфильтрации данных, а не пытается отправить данные (POST) на сервер C2.

Тем не менее, особенность, которая действительно отличает Pipka от других скиммеров — это функционал, позволяющий “заметать следы”. Как только скиммер был вызван и запущен, встроенный код удалит тег скрипта из HTML-документа, который его вызвал. Поскольку этот тег связывает его с основной HTML-страницей, удаление его значительно усложняет идентификацию наличия скиммера после завершения атаки.

Защита сайтов от веб-скиммеров

Это всего лишь один из множества скиммеров, активно работающих в сети в настоящее время. Весьма заметные успехи группы Magecart, среди которых проникновение на сайт British Airways, вдохновили многих других киберпреступников начать собственные кампании по скиммингу. В результате скиммеры стали серьезной угрозой безопасности сайтов компаний и их способности поддерживать соответствие нормативным требованиям.

Для того чтобы скиммер был эффективным, он должен иметь возможность встраивать себя в веб-сайт организации. Наиболее распространенный метод достижения этой цели — использовать уязвимость веб-приложения, например, XSS. Развернув брандмауэр веб-приложений (WAF), способный выявлять и блокировать XSS и подобные атаки, компания может значительно уменьшить угрозу воздействия скиммеров на свои веб-страницы и лучше защитить данные платежных карт своих клиентов.

Об авторе

Бенджамин КЭМПБЕЛЛ — опытный автор, который регулярно публикуется в онлайн-медиа. Если он не читает Financial Times, то обычно слушает живую музыку или занимается серфингом на побережье.

Изображение: PYMNTS