Web skimming
Web skimming és una forma de frau a Internet o per enganyar pel qual una pàgina de pagament en un lloc web es veu compromesa quan s'injecta programari maliciós a la pàgina mitjançant el compromís d'un servei de script de tercers per robar informació de pagament.
Un informe del 2016 va suggerir que fins a 6.000 llocs de comerç electrònic podrien haver estat compromesos a través d'aquesta classe d'atacs.[1] El 2018, a British Airways li robaren 380.000 dades de la targeta a través d'aquesta classe d'atacs.[2] Un atac similar va afectar Ticketmaster el mateix any amb 40.000 clients afectats[3] per codi injectat maliciosos a les pàgines de pagament.
Magecart
[modifica]Magecart és un programari utilitzat per una àmplia gamma[4] de grups de pirateria per injectar codi maliciós en llocs de comerç electrònic per a robar les dades de pagament.[5] A més dels atacs dirigits com a Newegg,[6] s'ha utilitzat en combinació amb atacs d'extensió de magento de productes bàsics.[7] El conjunt d'eines de comerç electrònic aprovat per compradors utilitzat en centenars de llocs de comerç electrònic també va ser compromès per Magecart[8] com també va ser el lloc web de conspiracions InfoWars.[9]
Defensa
[modifica]Es recomanen pràctiques de seguretat normals com ara l'avaluació del venedor, les actualitzacions del servidor, el control d'accés i les proves de penetració externes. A més, l'ús de la política de seguretat de contingut i les configuracions d'integritat de subrevés pot evitar modificacions de guió malicioses.[5] A més de les bones pràctiques destacades anteriorment, també hi ha venedors que atenuen la mitigació contra els atacs de Magecart i de skimming web.
Referències
[modifica]- ↑ «Stowaways: malicious skimming code hiding in almost 6,000 online shops». , 13-10-2016 [Consulta: 9 desembre 2018].
- ↑ «British Airways breach caused by credit card skimming malware, researchers say». , 11-09-2018 [Consulta: 9 desembre 2018].
- ↑ «The Ticketmaster hack is a perfect storm of bad IT and bad comms». , 28-06-2018 [Consulta: 9 desembre 2018].
- ↑ «Meet the Magecart hackers, a persistent credit card skimmer group of groups you’ve never heard of». , 13-11-2018 [Consulta: 9 desembre 2018].
- ↑ 5,0 5,1 «Magecart: Time to Focus on Web Security to Mitigate Digital Skimming Risk». , 01-10-2018 [Consulta: 9 desembre 2018]. Arxivat 10 de desembre 2018 a Wayback Machine. «Còpia arxivada». Arxivat de l'original el 2018-12-10. [Consulta: 19 agost 2020].
- ↑ «Magecart claims another victim in Newegg merchant data theft». , 19-09-2018 [Consulta: 9 desembre 2018].
- ↑ «Magecart group leverages zero-days in 20 Magento extensions». , 23-10-2018 [Consulta: 9 desembre 2018].
- ↑ «Payment-card-skimming Magecart strikes again: Zero out of five for infecting e-retail sites». , 09-10-2018 [Consulta: 9 desembre 2018].
- ↑ «Alex Jones' Infowars store infected with malware capable of skimming payment data». , 14-11-2018 [Consulta: 9 desembre 2018].