И эффективный метод нейтрализации хакерского «ноу-хау» пока не придумали.
Хакеры научились интегрировать вредоносный скрипт в страницы отказа доступа с кодом ошибки 404, чтобы красть данные банковских карт посетителей популярных интернет-магазинов – об этом предупреждает издание «Известия» со ссылкой на экспертов.
Новая угроза
О мошеннической схеме группировки Magecart сообщило издание BleepingComputer со ссылкой на исследование компании Akamai Security Intelligence Group (ASIG). Целью нового вредоносного инструмента хакеров стали интернет-магазины, созданные на основе веб-платформ Magento и WooCommerce - они пользуются огромной популярностью в сфере e-commerce.
Киберпреступники стали взламывать такие сайты и встраивать в их коды веб-скиммеры - модули для кражи данных банковских карт. Эти скиммеры загружаются на устройства потенциальных жертв со страниц с ошибкой 404 («Page not found» - «Страница не найдена»). При этом злоумышленники могут сами инсценировать ситуации, при которых пользователи вместо интерфейса интернет-магазинов видят ошибку 404.
После того как страница с ошибкой (а вместе с ней и веб-скиммер) загрузилась, при повторном открытии интернет-магазина пользователи сталкиваются с фейковой формой для ввода платежных данных - и она передает хакерам всю полученную информацию.
«Эта техника является инновационной, - признали аналитики ASIG в своем отчете. - Идея манипулирования стандартной страницей ошибки 404 на целевом сайте предлагает злоумышленникам различные творческие варианты для улучшения скрытности и уклонения от обнаружения».
Механика обмана
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников обращает внимание на то, что кейс с ошибкой 404 очень показательный: дело в том, что злоумышленники знают про системы защиты на сайтах и посредством маскировки исходящего трафика избегают обнаружения средствами сетевой детекции.
«Хакеры не осуществляют классическую фишинговую атаку с кражей платежных данных, где пользователь попадается только из-за своей невнимательности, а используют уязвимости сайтов, которым доверяет пользователь», - объясняет эксперт.
С другой стороны, собеседник «Известий» утверждает, что провести атаку с использованием ошибки 404 достаточно проблематично:
«Для этого нужна хорошая компетенция и достаточный запас терпения, которые есть лишь у опытных злоумышленников. Мошенники средней руки предпочтут провести классический фишинг: затрат денег и времени меньше, а прибыль больше».
Однако, как отмечает Овчинников, если хакеры всё же решат применить схему с ошибкой 404, защититься от нее будет крайне сложно. Операционный директор группы финтех-сервисов защиты потребителей в сфере e-commerce CosmoVisa Дмитрий Михайлов поясняет: коварство схемы в том, что жертва находится на проверенном сайте и не сомневается в его надежности и достоверности. И если классический фишинг можно распознать при должном внимании к деталям сайта, то в схеме с ошибкой 404 жертва до самого появления фейковой формы для ввода платежных данных находится на проверенном ресурсе. И, по словам Михайлова, к этой схеме у пользователей пока не выработан иммунитет.
Способы защиты
Несмотря на изощренность схемы с ошибкой 404, от нее можно защититься, соблюдая определенные правила безопасности. Как говорит Дмитрий Овчинников, владельцам интернет-магазинов необходимо регулярно проверять свои информационные ресурсы на наличие ошибок и уязвимостей, а также следить за новостями из сферы информационной безопасности, чтобы оперативно реагировать на возникающие угрозы.
«Важно применять свежие версии ПО, следить за его развитием, а также проводить регулярные тестирования на проникновение для сайта в целом», — говорит собеседник «Известий».
Что касается пользователей, то эксперт по кибербезопасности «Лаборатории Касперского» Денис Паринов. рекомендует им использовать надежные защитные решения, поскольку они могут автоматически детектировать загрузку вредоносного кода - вне зависимости от того, откуда она идет.
Кроме того, следует обращать внимание на необычную активность на странице. Сомнения должны возникнуть, например, если доменное имя сайта отличается от оригинального — даже на одну букву, а сам он сверстан небрежно или отдельные элементы его дизайна отличаются от привычных.
Если вы все же ввели данные своей банковской карты в форму, которая показалась вам сомнительной, эксперты советуют сразу же заблокировать ее, чтобы избежать хищения средств.
«Лучше всего завести отдельную виртуальную карту, оплату в интернете производить только с нее, а деньги переводить на нее только перед совершением оплаты - так вы минимизируете риски», - отмечает Дмитрий Овчинников.
При этом специалист советует крупные покупки (например, бытовую технику) оплачивать непосредственно в магазине.
Соблюдение всех этих правил позволит повысить информационную защищенность и не стать жертвой кибератак, включая атаку с использованием ошибки 404.
Фото: ru.freepik.com
