Posté le avril 28, 2023 à 6:14
DES HACKERS PIRATENT DES BOUTIQUES EN LIGNE POUR AFFICHER DE FAUX FORMULAIRES DE PAIEMENT ET VOLER DES CARTES DE CRÉDIT
Des hackers se sont infiltrés dans des boutiques en ligne pour afficher de faux formulaires de paiement. Ces formulaires de paiement sont modernes et semblent réalistes. Cependant, ils sont utilisés pour voler les informations des cartes de crédit de clients peu méfiants.
Des hackers détournent des boutiques en ligne pour voler des informations de cartes de crédit
Les faux formulaires de paiement affichés par ces hackers sont des contenus HTML modaux superposés à la page web principale. Le formulaire de paiement permet aux utilisateurs d’interagir avec des formulaires de connexion ou des contenus de notification sans quitter la page. Lorsque ces fenêtres modales sont actives, le contenu d’arrière-plan est parfois indisponible ou flou afin d’attirer l’attention sur le contenu modal.
Un rapport récent de Malwarebytes indique que les skimmers de MageCart détournent les pages de paiement légitimes des magasins en ligne. Ces pages étaient utilisées pour afficher de faux formulaires de paiement sous forme de fenêtres modales. Ces formulaires étaient ensuite utilisés pour voler les informations des cartes de crédit des clients.
Les modèles utilisés par ces acteurs malveillants sont uniques parce qu’ils semblent parfois meilleurs que l’original. Ils sont également dépourvus de toute caractéristique distinctive susceptible d’éveiller les soupçons de l’utilisateur quant à leur authenticité.
Les hackers sont sophistiqués
Le rapport de Malwarebytes contient les détails de certaines parties compromises par les acteurs de la menace. L’un des cas concerne un magasin parisien d’accessoires de voyage impliqué dans une nouvelle campagne Kritec.
Kritec est un système JavaScript d’écrémage de cartes de crédit que Malwarebytes a initialement détecté dans les boutiques Magento en mars 2022. Le même hacker est vraisemblablement à l’origine de la récente attaque. Selon le rapport de Malwarebytes, le skimmer qui a affecté la page était complexe et le code était également caché à l’aide de l’encodage base64.
Après que l’acheteur a atteint la page de paiement d’un magasin infecté par ce logiciel malveillant, il ne verra pas le véritable formulaire de paiement du site. Au lieu de cela, le script malveillant affichera une fenêtre modale avec le logo de la marque, un langage correct et une interface transparente qui semble meilleure que l’interface originale.
Le faux formulaire de paiement a également été conçu pour voler les informations de carte de crédit des clients et les renvoyer aux hackers. Une fois que l’acheteur a fourni ses coordonnées dans la fenêtre modale, celle-ci affiche un faux chargeur pendant quelques instants avant d’afficher un faux message d’erreur. L’utilisateur est alors redirigé vers la véritable URL de paiement.
Cependant, pendant que les fausses pages se chargent, le hacker vole en arrière-plan toutes les données que l’utilisateur a partagées. Les informations volées comprennent le numéro de la carte de crédit, la date d’expiration, le numéro CVV et le nom du titulaire de la carte.
En outre, le skimmer dépose un cookie sur les utilisateurs que les hackers ont réussi à cibler. Ce cookie permet de s’assurer que l’appareil ciblé ne charge pas à nouveau la fenêtre modale malveillante sur le même site ou sur un site différent. Cela empêche le hacker de collecter des données identiques et réduit le risque de détection de l’activité malveillante.
Les analystes de Malwarebytes ont aussi bloqué le script d’écrémage des cartes de crédit. Cette action permet au formulaire de paiement original de se charger. En outre, si l’on compare les sites de paiement, le site authentique a un design moins attrayant et est moins convivial.
La page de paiement authentique redirige le client vers un processeur de paiement tiers. Une fois que le client a fourni ses coordonnées bancaires, il retourne sur la page du magasin et termine son achat.
L’action de rediriger les acheteurs vers un site externe est utilisée pour les paiements en ligne. Cependant, un client peut la considérer comme moins fiable que le formulaire modal de la page. Malwarebytes a également noté que l’utilisation de formulaires modaux est de plus en plus populaire au sein de la communauté des cybercriminels de Magecart.
Ce n’est pas la première fois que des sites web sont ciblés pour afficher de faux sites de paiement. D’autres sites web ont également été détectés affichant de faux modaux de paiement aux visiteurs, notamment des sites de commerce électronique au Danemark et en Finlande. Dans les deux cas, les faux modèles de paiement ont un design élégant qui les fait paraître authentiques.
Par ailleurs, le rapport indique qu’il est probable que ces campagnes impliquent plusieurs acteurs de la menace qui personnalisent les skimmers en fonction des besoins. Il note que la majorité des magasins piratés disposaient d’un skimmer générique, mais que des modèles personnalisés ont été créés récemment.
Les acheteurs en ligne doivent rester vigilants et s’assurer qu’ils sont à l’affût de ces faux formulaires de paiement. Il est également conseillé d’utiliser des méthodes de paiement électroniques ou d’avoir des cartes privées à usage unique avec des limites de débit, qui ne peuvent pas être exploitées par les cybercriminels.
