Двойной сбой: хакеры используют ошибку 404 для кражи средств

Хакеры из группировки Magecart научились интегрировать вредоносный скрипт в страницы отказа доступа к веб-страницам с кодом ошибки 404 — об этом предупредили эксперты. Скрипт от киберпреступников крадет данные банковских карт у посетителей популярных интернет-магазинов.

Источник: Reuters

Подробности о том, как злоумышленники используют ошибки при загрузках для хищения банковских данных и как защититься от подобных угроз, — в материале «Известий».

Новая угроза

О мошеннической схеме группировки Magecart сообщило издание BleepingComputer со ссылкой на исследование компании Akamai Security Intelligence Group (ASIG). Целью нового вредоносного инструмента хакеров стали интернет-магазины, созданные на основе веб-платформ Magento и WooCommerce — они пользуются огромной популярностью в сфере e-commerce. Киберпреступники стали взламывать такие сайты и встраивать в их коды веб-скиммеры — модули для кражи данных банковских карт.

Эти скиммеры загружаются на устройства потенциальных жертв со страниц с ошибкой 404 — Page not found («Страница не найдена»). При этом злоумышленники могут сами инсценировать ситуации, при которых пользователи вместо интерфейса интернет-магазинов видят ошибку 404.

После того как страница с ошибкой (а вместе с ней и веб-скиммер) загрузилась, при повторном открытии интернет-магазина пользователи сталкиваются с фейковой формой для ввода платежных данных — она передает хакерам всю полученную информацию.

«Эта техника является инновационной: мы не наблюдали ее в предыдущих кампаниях Magecart, — отметили аналитики ASIG в своем отчете. — Идея манипулирования стандартной страницей ошибки 404 на целевом сайте предлагает злоумышленникам различные творческие варианты для улучшения скрытности и уклонения от обнаружения».

Механика обмана

Согласно данным специалистов ASIG, «инъекции» хакерских веб-скиммеров плохо детектируются администраторами скомпрометированных сайтов. Дополнительную нагрузку от вредоносного модуля аналитические системы определяют как легитимную. Между тем кейс киберпреступников, использующих ошибку 404, нельзя назвать продвинутым в техническом плане, говорит в беседе с «Известиями» эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов.

— К примеру, похожий кейс внедрения вредоносной нагрузки на страницу 404 мы описывали еще в 2012 году — в рамках исследования угрозы, детектируемой как Trojan.JS.Iframe.zs, — говорит специалист. — Это лишь подход злоумышленников к тому, где они «хранят» вредоносную нагрузку.

По словам Дениса Паринова, киберпреступники внедряют вредоносный скрипт на страницу, которая отличается от той, на которой находится пользователь в момент оплаты. Поэтому страница с ошибкой 404 может быть заменена на любую другую.

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников обращает внимание на то, что кейс с ошибкой 404 очень показательный: дело в том, что злоумышленники знают про системы защиты на сайтах и посредством маскировки исходящего трафика избегают обнаружения средствами сетевой детекции.

— Хакеры не осуществляют классическую фишинговую атаку с кражей платежных данных, где пользователь попадается только из-за своей невнимательности, а используют уязвимости сайтов, которым доверяет пользователь, — говорит эксперт.

Овчинников объясняет, что такая угроза становится возможной лишь благодаря наличию уязвимостей в стороннем программном обеспечении (ПО) Magneto и WooCommerce — на основе этих веб-платформ реализуется логика как многих интернет-магазинов, так и оплаты покупок на них.

Цена ошибки

По словам Дмитрия Овчинникова, использование уязвимостей в стороннем ПО — это распространенная практика среди киберпреступников. В процессе разведки атакуемого ресурса хакеры собирают максимально возможную информацию и ведут поиск известных им уязвимостей. А они есть даже у успешного коммерческого ПО, не говоря про свободно распространяемое.

— В целом провести атаку с использованием ошибки 404 достаточно проблематично: для этого нужна хорошая компетенция и достаточный запас терпения, которые есть лишь у опытных злоумышленников, — говорит собеседник «Известий». — Мошенники средней руки предпочтут провести классический фишинг: затрат денег и времени меньше, а прибыль больше.

Однако, как отмечает Овчинников, если хакеры всё же решат применить схему с ошибкой 404, защититься от нее будет крайне сложно. Операционный директор группы финтех-сервисов защиты потребителей в сфере e-commerce CosmoVisa Дмитрий Михайлов поясняет: коварство схемы в том, что жертва находится на проверенном сайте и не сомневается в его надежности и достоверности. И если классический фишинг можно распознать при должном внимании к деталям сайта, то в схеме с ошибкой 404 жертва до самого появления фейковой формы для ввода платежных данных находится на проверенном ресурсе. По словам Михайлова, к этой схеме у пользователей пока не выработан иммунитет.

— Данная угроза представляет опасность в той же степени, как и любой другой скиммер, жертвами которого потенциально могут стать пользователи небольших онлайн-магазинов по всему миру, — подчеркивает Денис Паринов.

Впрочем, указывает специалист, существующие сегодня защитные технологии уже научились детектировать подобные вредоносные скрипты вполне эффективно. А в некоторых случаях загрузка вредоносного кода со страницы с ошибкой не только не проходит незаметно, но, напротив, даже может привлечь больше внимания как со стороны защитных решений, так и со стороны специалистов по кибербезопасности.

Способы защиты

Несмотря на всю изощренность схемы хакеров с ошибкой 404, от нее можно защититься, соблюдая определенные правила безопасности. Как говорит Дмитрий Овчинников, владельцам интернет-магазинов необходимо регулярно проверять свои информационные ресурсы на наличие ошибок и уязвимостей, а также следить за новостями из сферы информационной безопасности, чтобы оперативно реагировать на возникающие угрозы.

— Важно применять свежие версии ПО, следить за его развитием, а также проводить регулярные тестирования на проникновение для сайта в целом, — говорит собеседник «Известий».

Что касается пользователей, то им Денис Паринов рекомендует использовать надежные защитные решения, поскольку они могут автоматически детектировать загрузку вредоносного кода (вне зависимости от того, откуда она идет). Кроме того, следует обращать внимание на необычную активность на странице.

Сомнения должны возникнуть, например, если доменное имя сайта отличается от оригинального — даже на одну букву, а сам он сверстан небрежно или отдельные элементы его дизайна отличаются от привычных. Если вы всё же ввели данные своей банковской карты в форму, которая показалась вам сомнительной, Дмитрий Михайлов советует сразу же заблокировать ее, чтобы избежать хищения средств.

— Лучше всего завести отдельную виртуальную карту, оплату в интернете производить только с нее, а деньги переводить на нее только перед совершением оплаты — так вы минимизируете риски, — советует Дмитрий Овчинников.

Специалист заключает, что крупные покупки, такие как бытовая техника, лучше всего оплачивать непосредственно в магазине. Соблюдение всех этих правил позволит повысить информационную защищенность и не стать жертвой кибератак, включая атаку с использованием ошибки 404.