Group-IB corporate blog
Information Security
Payment systems
Reverse engineering
Research and forecasts in IT
Comments 9
0
И как это всё ловить со стороны пользователя? Скажем, есть условная моя мама, которая где-то на сайте что-то пытается купить. Как ей понять, что её кредитку на этой платежной форме никто не свистнет?
+3
Может я что-то упустил, но ни в одном примере не увидел ответа на вопрос «Как *** внедряется в код онлайн-магазина». То есть, написано, куда внедряется, но не написано, как.

И да, что пользователям делать, тоже не ясно. Разве только использовать виртуальные карты на каждый платёж или использовать только доверенные платёжные шлюзы…
+1
Зачастую установить способ заражения сайта без проведения криминалистической экспертизы почти невозможно. Как было описано в части «Анализ сайта злоумышленников» для сниффера Illum, на их сайте мы обнаружили два эксплоита, которые могут применяться для внедрения вредоносного кода в Magento-сайты. Также, помимо эксплоитов, злоумышленники используют брутфорс-атаки на phpMyAdmin и административные панели Magento.

К сожалению, пользователь перед этой угрозой почти беззащитен, вы правы. Мы рекомендуем для платежей в Интернете использовать либо виртуальную карту, либо отдельную карту для онлайн-платежей, на которой всегда будет только та сумма, которая необходима для конкретного онлайн-платежа.
0
Это всё очевидно. По крайней мере тем, кто хоть немного сечёт в сайтостроительстве и хостинге.
Но вот в статье заголовки не сходятся с содержанием. Под тот набор информации, который выложен тут, годнее были бы советы пользователям, кроме очевидных про карты, как, например, настроить какой-нибудь адблок для фильтрации сомнительных скриптов… Или ещё что придумать в том же роде.
А саму статью назвать бы в духе «подробный анализ самых популярных снифферов в зарубежных онлайн-магазинах» :)
0
учитывая, что заражается и серверный скрипт, со стороны клиента вообще ничего не увидеть.

uBlock с блокировкой по умолчанию всех скриптов и изображений и ручным разрешением только минимально необходимого конкретному сайту — немного повысит шансы уцелеть
0
Все эти снифферы должны куда-то отправлять данные, много загружаются с внешних сайтов. Эту вот деятельность как-то пресечь бы…
+2
Работаю с магазинами на Magento 1/2. Так вот был клиент из Дании, ему пришел эмайл от гугл что у него на сайте был, как они написали, «Unwanted script». Линк у него был такой: api.ustore.pw/statistics.js
На сайте у клиента была открыта страница PhpMyAdmin и у кого-то, судя по всему, был к ней логин и пароль. Через базу данных они просто вставили код <script src="…
Клиент сказал что вообще не знал про ПхпМайАдмин и просто попросил его удалить. На мои предложения потратить пару часов на более глубоке изучение того что еще могло быть украденно клиент просто проигнорировал сказав сухое «Сэнкс». Хозяин барин.
Но из логов было видно что там далеко не один запрос к базе данных был. Каждый день. В течении несольких месяцов.
Скрипт был на половину обфусцирован. Все что я смог разобрать это, что скрипт реагировал на input'ы паролей, инфорцации кредитной карты и т.д.
0
Вы правы, этот скрипт — представитель одного из семейств JS-снифферов. Брутфорс-атаки на административные панели CMS и веб-интерфейсы систем управления БД (phpMyAdmin) являются одним из способов установки снифферов на целевой сайт, это достигается за счет того, что многие структурные элементы сайта хранятся именно в БД, к примеру, нам известны случаи, когда атакующие перезаписывали в базе данных сайта элемент, соответствующий footer-у и внедряли в него вредоносный скрипт для кражи карт. Именно поэтому так важно использовать стойкие пароли, регулярно ставить обновления и ответственно относиться к безопасности, особенно когда пользователи доверяют магазину свои платежные данные.
Only those users with full accounts are able to leave comments., please.