Magecart-группировки извлекают данные ворованных карт через Telegram-каналы - «Новости» » Интернет технологии
sitename
Спутниковое телевидение после аварии вернули в Сибирь, но отключили на Дальнем Востоке - «Новости сети»
Спутниковое телевидение после аварии вернули в Сибирь, но отключили на Дальнем Востоке - «Новости сети»
 Беспроводная оптическая связь внутри помещений показала новые рекорды скорости и эффективности - «Новости сети»
Беспроводная оптическая связь внутри помещений показала новые рекорды скорости и эффективности - «Новости сети»
 Корабль Orion миссии Artemis II преодолел больше половины пути к Луне - «Новости сети»
Корабль Orion миссии Artemis II преодолел больше половины пути к Луне - «Новости сети»
 Учёные впервые наблюдали, как нечто внутри потока света двигалось быстрее него - «Новости сети»
Учёные впервые наблюдали, как нечто внутри потока света двигалось быстрее него - «Новости сети»
 Microsoft принудительно обновит до Windows 11 25H2 компьютеры с более старыми версиями ОС - «Новости сети»
Microsoft принудительно обновит до Windows 11 25H2 компьютеры с более старыми версиями ОС - «Новости сети»
 В «Ростелекоме» отрицают тестирование «белого списка» на домашнем интернете - «Новости»
В «Ростелекоме» отрицают тестирование «белого списка» на домашнем интернете - «Новости»
 Npm-пакет Axios взломан и распространял кроссплатформенную малварь - «Новости»
Npm-пакет Axios взломан и распространял кроссплатформенную малварь - «Новости»
 Компания Anthropic случайно допустила утечку исходного кода Claude Code - «Новости»
Компания Anthropic случайно допустила утечку исходного кода Claude Code - «Новости»
 СМИ: ИТ-компании могут лишить аккредитации Минцифры за пропуск VPN-трафика - «Новости»
СМИ: ИТ-компании могут лишить аккредитации Минцифры за пропуск VPN-трафика - «Новости»
 Антипираты закрыли платформу AnimePlay - «Новости»
Антипираты закрыли платформу AnimePlay - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Magecart-группировки извлекают данные ворованных карт через Telegram-каналы - «Новости»

✔Magecart-группировки извлекают данные ворованных карт через Telegram-каналы - «Новости»

04 сентября 2020 981 Новости 0
Magecart-группировки извлекают данные ворованных карт через Telegram-каналы - «Новости»

Хакинг для новичков


  • Содержание выпуска

  • Подписка на «Хакер»


ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.


Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные jаvascript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то уже к концу 2019 года, по данным IBM, их насчитывалось уже около 40.


Исследователь изучил один из таких вредоносных jаvascript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram.




Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.




Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.


Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки.




Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам.




Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных.


Источник новостиgoogle.com

Хакинг для новичков Содержание выпуска Подписка на «Хакер» ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками. Напомню, что изначально название MageCart было присвоено одной хак-группе, которая первой начала внедрять веб-скиммеры (вредоносные jаvascript) на страницы интернет-магазинов для хищения данных банковских карт. Но такой подход оказался настолько успешным, что у группировки вскоре появились многочисленные подражатели, а название MageCart стало нарицательным, и теперь им обозначают целый класс подобных атак. И если в 2018 году исследователи RiskIQ идентифицировали 12 таких группировок, то уже к концу 2019 года, по данным IBM, их насчитывалось уже около 40. Исследователь изучил один из таких вредоносных jаvascript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram. Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений. Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль. Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки. Исследователь отмечает, что кража данных происходит лишь в том случае, если текущий URL-адрес в браузере содержит одно из ключевых слов, указывающее на то, что это интернет-магазин, и лишь когда пользователь подтверждает покупку. После этого платежные реквизиты будут отправлены как обработчику платежей, так и киберпреступникам. Сегура пишет, что такой механизм извлечения данных – это весьма практическое решение, ведь он позволяет злоумышленникам не беспокоиться о создании специальной инфраструктуры для этих целей. Кроме того, защититься от такого варианта скиммера будет непросто. Блокировка Telegram-соединений будет лишь временным решением, так как затем злоумышленники могут начать использовать другой легитимный сервис, который так же будет маскировать «слив» данных. Источник новости - google.com
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: