Pod koniec czerwca firma biletowa Ticketmaster potwierdziła, że Inbenta, dostawca stron internetowych, padł ofiarą ataku na ich system zabezpieczeń. Jednak obecnie naukowcy ujawniają, że było to bardziej skomplikowane, niż się wydawało i zdecydowanie zaprzeczają jakoby był to jednorazowy atak, donosi RiskIQ.
Dochodzenie pokazuje, że było to częścią wysoce wyrafinowanego oszustwa, którego celem było 800 witryn e-commerce na całym świecie. Grupa hekerów odpowiedzialna za ataki zwana jest Magecart, „skimmerzy” z cyfrowymi kartami o skomplikowanej technice. Atakują firmy, które integrują swoje oprogramowanie z Ticketmaster i zastępują ich moduły javascript złośliwym kodem zaprojektowanym w celu kradzieży informacji o płatnościach. Tym sposobem moduł javascript Inbenta został naruszony podczas ataku. Oprócz strony Inbeta w Wielkiej Brytanii, dotknęło to wiele stron internetowych Ticketmaster na całym świecie, w tym strony z Irlandii, Turcji i Nowej Zelandii.
Ticketmaster Niemcy, Ticketmaster Australia i Ticketmaster International (wcześniej wymienione w zmiance o naruszeniu Inbenta) również zostały naruszone poprzez serwis postronnej firmy, która jest dostarczycielem usług, stwierdziła firma.
Wygląda na to, że przeciętne hackowanie stron internetowych straciło swoją świetność, a Magecart to grupa, którą badacze znają i w przeszłości już wyrażali swój niepokój związany z jej działalnością. Poprzednie naruszenia, w które hakerzy byli zamieszani dotyczyły m.in. firmy zajmującej się integracją mediów społecznościowych, firmy związanej z analityką internetową i platformy CMS. Jak pokazało dochodzenie, hakerzy wysyłali fałszowane dokumenty ze szczegółami płatności już w grudniu 2016 roku.
Nasze śledztwo po naruszeniu Inbenta ujawniło dowody, że atak Inbenta nie był jednorazowy, ale wskazywał na zmianę strategii stosowaną przez Magecart z koncentracji na fragmentarycznych kompromisach na kierowaniu ataku na zewnętrznych dostawców takich jak Inbenta w celu wykonywania bardziej dotkliwych szkód kart danych - napisali analitycy.
„JavaScript jest od dawna używany jako narzędzie do infekowania stron internetowych, ponieważ jest to język programowania, który powstaje w ramach codziennego życia użytkownika. W rzeczywistości, w połowie 2016 roku pojawiły się informacje na temat szczepu oprogramowania ransomware całkowicie zakodowanego w JavaScript, ukrytego w załącznikach do wiadomości e-mail. Zagrożenie w tych atakach ma jeden kluczowy aspekt: złośliwe oprogramowanie dostarczane przez zainfekowane pliki JavaScript nie wymaga interakcji ze strony użytkownika. Powinniśmy zdawać sobie sprawę z kilku rzeczy: Unikać przesyłania plików, sprawdzać hasła, ostrzegać przed komunikatami o błędach i aktualizować oprogramowanie” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
Komentarze